In deze podcast deel ik talks die ik in het verleden heb gehouden, voor wie deze graag wil naluisteren.

CISO's zouden meer met hackers moeten bier drinken. Dat vind OG hacker Edwin van Andel. Je moet als CISO een band krijgen met je security minded IT-ers in de organisatie. Zo krijg je een veel sterkere positie.Ik sprak Edwin in CISO praat om te mogen tappen uit de jarenlange ervaring van deze meesterhacker.Meesterhacker? Absoluut. Edwin hackte samen met zijn vrienden op een congres het X account van Donald Trump. Hij verteld daarnaast in deze aflevering over zijn hack op een "slim hotelslot" (spoiler; dat lukte in seconden!). En over hoe je een automatische deur open krijgt met wiskey (ja, echt!).Hacker zijn is een mindset, maar volgens Edwin kan je hackervaardigheden wel leren. Tegelijkertijd komt hij tegenwoordig jonge hackers tegen die webapplicaties met gemak hacken, maar die zodra hun browser het even niet doet gewoon een nieuwe computer kopen, omdat ze niet in staat zijn hun eigen computerproblemen te troubleshooten.Verder hebben we het over het gebruik van AI en wat dit doet met platforms die bug bounty aanbieden. AI is vooral goed in het volgende woord voorspellen. En omdat AI veel rapporten heeft gelezen en toegang tot tools heeft is het een prima hacker, maar het zal nooit zo goed worden als een menselijke hacker.Ik uit ook nog even mijn decennialange frustraties als voormalig helpdesk medewerker. ☠️ En nog veel meer!

"Een CISO moet door een bestuurder en toezichthouder op een zetel worden gezet. De CISO draagt het voortbestaan van een organisatie in zich. Het is een onmisbare schakel in de organisatie. De centrale figuur voor de weerbaarheid."Wim Kuijken was 14 jaar lang allerhoogste ambtenaar (secretaris-generaal) van verschillende ministeries. 10 jaar bestuursvoorzitter van de Security Delta (HSD), tevens was hij Delta Commissaris en is voorzitter van de Kiesraad (en heeft nog veel meer gedaan!).Een bestuurder in hart en nieren. Ik noem hem een "eindbaas".Tegen CISO's wordt wel eens gezegd dat we meer "de taal van de bestuurder" moeten spreken. Maar wat is die taal dan? En moeten bestuurders eigenlijk niet ook meer de taal van de CISO leren? Ik sprak er met Wim over voor CISO praat. Een CISO moet veel zelfvertrouwen hebben en niet bang zijn, zegt Wim. Als je niet serieus genomen en op waarde geschat wordt, vertrek dan en leg uit waarom, is zijn boodschap aan de CISOs.

Powervrouw Astrid Oosenbrug; als je in security werkt en je kent haar niet, moet je wel onder een steen hebben gelegen.Voormalige Tweede Kamerlid en huidig directeur van stichting HackShield, oprichter DIVD Academy en lid Digitale Dollemina's.Zij zet zich al jaren in voor een veiliger Nederland. Met nadruk op het belang van veiligheid voor en door jongeren.In deze aflevering van CISO praat verteld ze over hoe zij met stichting HackShield door middel van een spel (wat ik overigens ook voor volwassenen zeer kan aanraden!) proberen kinderen spelenderwijs veilig gedrag online aan te leren.Daarnaast hoe zij jongeren met DIVD Academy tracht op het rechte hackers-pad te houden en kansen te bieden hun kennis en skills in te zetten ten goede in plaats van "the dark side".Ik sprak haar daarnaast over een akkefietje over onze kleding toen wij recent met de Digitale Dollemina's een rondetafel gesprek van de Commissie Digitale Zaken wilde bekijken in de Tweede Kamer.Kortom; een interessante aflevering!

"Als je echt geen argumenten meer hebt als CISO, dan zeg je dat het moet van de wet."Aart Jochem ✓ was vijf jaar lang CISO Rijk. Sinds januari is hij CISO bij Centric. Ik spreek met hem voor CISO praat over zijn tijd als CISO Rijk. Over zijn eerste overleg met de directeur generaal en staatssecretaris (spoiler; dat ging niet heel soepel!). Over het nieuwe rijksbrede cloudbeleid en de nationale digitaliseringsstrategie. Hij vertelde mij de top drie belangrijkste lessen voor elke CISO:

Deze column verscheen oorspronkelijk bij Security Innovation Stories hier:https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/

(Deze versie heeft verbeterde audio kwaliteit tov de versie van voor 11 mei)Hebben we in deze tijden van AI nog anti virus nodig? AI kan zich immers eenvoudig aanpassen om onder de radar van detectie te blijven, zo gaat het verhaal.Dave Maasland, CEO van ESET verteld in deze aflevering waarom hij denkt dat juist de verdedigers in het voordeel zijn in deze tijden van AI.Daarnaast hebben we het over waar je als CISO op zou moeten letten als je end point beveiliging wil gaan inkopen.Wederom een interessante aflevering dus!YouTube

Simone is SOC analist. Belangrijk werk aan de frontlinies van security.SOC analisten zien vaak als eerste nieuwe dreigingen. Komen in actie en onderzoeken incidenten. Belangrijk voor een CISO om alles van te weten, zou je denken.Ik sprak met Simone over de relatie tussen de CISO en een SOC. Wat de impact van AI is zowel aan de analisten kant, als aan de kant van de aanvallers. En nog veel meer.Waardevolle informatie zowel als CISO met een organisatie die een SOC heeft, als zonder SOC.Deze wil je niet overslaan!

Wat had ik graag willen weten aan het begin van mijn carrière? Ik mocht een keynote geven voor de Openbare Les van Martine Groen bij het Lectoraat Cybersecurity van de Hogeschool Utrecht.De lessen die ik studenten wilde meegeven gingen vooral over communicatiestijlen en het belang van de opties om daarin af te wisselen.De oorspronkelijke openbare les is opgenomen en hier terug te kijken.Van deze podcast is ook een videoversie, te bekijken via YouTube hier.

Oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/we-hebben-geen-tekort-aan-cisos-we-hebben-een-tekort-aan-leiders-in-security-die-nog-weten-wat-security-eigenlijk-is/

Oorspronkelijk verschenen bij Security Innovation Stories: https://www.securityinnovationstories.com/het-duivelse-dilemma-bij-ransomware-is-een-excuus-om-betalen-goed-te-praten/

Oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/big-tech-bezwijkt-onder-de-druk-van-hun-eigen-succes/

Jeroen Schipper was zeven jaar lang CISO van de gemeente Den Haag. In die hoedanigheid heeft hij veel bereikt. Hij organiseerde meermaals de hackers wedstrijd Hack the Hague en werd uitgeroepen tot allereerste CISO van het Jaar.Wat zijn de lessen die hij heeft geleerd en wat vind hij belangrijk om aan ons mee te geven? We hebben het over de balans tussen compliance en risico's, de taal die bestuurders spreken, de NAVO top en diversiteit.Kortom; deze wil je niet missen!

Op cybersecurity congressen zie je vaak tafels met mensen die aan het "lockpicken" zijn. Ze prutsen aan sloten om te kijken of ze deze open kunnen krijgen. Bijvoorbeeld op WICCON, MCH, DefCon de ONE Conference.Het verband tussen lockpicken en digitale veiligheid gaat al heel veel jaar terug en is een internationaal fenomeen.Sloten zijn wat betreft design fundamenteel nog exact hetzelfde als in de tijd van het oude Egypte. We hebben inmiddels "slimme sloten", waar overigens regelmatig beveiligingsproblemen worden gevonden, maar deze zijn vooral nuttig in heel specifieke situaties.Met OG hacker en lockpicker Jos weyers duik in voor CISO praat in de wondere wereld van het lockpicken en probeer te ontdekken waar de analogieën te vinden zijn met de cyberz. Wat kunnen CISO's opsteken van de wijsheden der lockpicking? Denk aan zaken als encryptie en aanvalsoppervlak.Het boek van Jos heet "Locksport".

Recent was er naar aanleiding van de Odido hack enige discussie over de relatie tussen journalisten en criminele ransomware bendes.Ik spreek in deze aflevering met journalist Saar Slegers van o.a. Argos. Zij maakte meerdere reportages over security onderwerpen. Ik vroeg haar wat een security incident nieuwswaardig maakt en hoe zij naar incidenten kijkt.Wat moet je als CISO aan je woordvoerder geven aan informatie, zodat deze journalisten goed te woord kan staan? En waarom is het belangrijk dat journalisten security incidenten verslaan en onderzoeken?Luister de aflevering!

Ik praat met CISO (en developer) Hugo Leisink over waarom het toch zo moeilijk blijkt om software te bouwen zonder kwetsbaarheden.Met name waarom grote bedrijven als Citrix en Microsoft het maar niet wil lukken om uit het nieuws te blijven met ernstige kwetsbaarheden.Wat zouden ze daar aan kunnen/moeten doen? En waarom lijken ze dat niet te doen?En hoe ga je als CISO om met het ontwikkelen van software in jouw organisatie? Hoe zorg je dat je veilige software inkoopt?Ik duik met Hugo in de wereld van software ontwikkeling.(Bij deze aflevering is geen YouTube video gemaakt)

Wat is een IB incident precies? En waarom is het belangrijk om incidenten te registreren en te analyseren?In deze nieuwe aflevering van CISO praat vertel ik hoe je zoveel mogelijk waarde kunt halen uit jouw incidentmanagement. Zonder ingewikkelde of dure tooling, maar eenvoudig. Dit helpt bij dingen als:- Prioriteren- Strategie formuleren- Budget/capaciteit aanvragenKortom; incidenten bijhouden heeft veel waarde. Leer er alles over in deze aflevering.YouTube:https://youtu.be/ESeWyBzWT9g

Deze column verscheen oorspronkelijk voor Security Innovation Stories.

Deze column verscheen oorspronkelijk voor Security Innovation Stories: https://www.securityinnovationstories.com/ai-ransomware-bestaat-niet-je-lekke-firewall-wel/

We hebben het er eerder al over gehad. Maar nu heb ik ook daadwerkelijk met een aantal grote Amerikaanse techreuzen gesproken over hun 'vegan kipfilet' (soevereine cloud).In deze aflevering vertel ik wat mijn conclusies zijn over de soevereine cloud van big US tech.YouTube: https://youtu.be/vqlcoBkgn3Q

Deze column verscheen oorspronkelijk bij: https://www.securityinnovationstories.com/de-kans-op-een-goede-risicoanalyse-is-50-50/

Je hoopt als CISO dat je ze nooit hoeft te bellen; incident response partijen. Maar als je ze nodig hebt, dan ben je blij dat ze er zijn.Hoe zorg je dat je een goede incident response partij selecteert? Hoe zit het eigenlijk met de relatie tussen ransomware verzekeraars en incident response partijen? Wie is er dan eigenlijk de klant? En hoeveel waarde moeten we hechten aan het nieuwe keurmerk voor incident response?Ik sprak Lisa de Wilde tijdens Cybersec Netherlands over deze vragen. Als incident responder met vele jaren ervaring weet zij alles wat je moet weten om te zorgen dat je een gedegen partij kiest als het er écht toe doet.Met dank aan Beyond Products wederom voor het mogen gebruiken van de opname apparatuur. Helaas mist aan het einde een deel van de video, maar dat mag de pret niet drukken!YouTube:https://youtu.be/dsALjRxoPPE

Deze column is oorspronkelijk gepubliceerd voor Security Innovation Stories.

"Politiek/bestuurlijke sensitiviteit is toneelspelen."De "next-gen" CISO is een CISO zonder technische kennis, maar wel één die verdomd goed toneel kan spelen tegenover bestuurders. Op Cybersec Netherlands dook ik samen met niemand minder dan Bert Hubert in CISO-gerelateerde vraagstukken als "Hoe C is de CISO-rol eigenlijk?" en "Hoe komt het dat er zulke grote verschillen lijken te zijn tussen bedrijven in de CISO-rol?".Ook vertelde Bert over zijn eigen ervaringen als dingen mis gaan en legt hij uit waarom we ons meer bewust zouden moeten zijn van de geopolitieke situatie en wat dit voor impact kan hebben op onze samenleving via onze digitale afhankelijkheden.YouTube: https://youtu.be/HXIsQDOzLBsMet veel dank aan mijn gast Bert Hubert en Beyond Products voor het mogen lenen van jullie apparatuur om deze aflevering op te nemen op de beursvloer!

Deze column verscheen oorspronkelijk bij Security Innovation Stories: https://www.securityinnovationstories.com/opgelicht-door-je-ransomware-hulpdienst/

Deze column is oorspronkelijk verschenen bij Security Innovation Stories:https://www.securityinnovationstories.com/gelijk-hebben-is-niet-hetzelfde-als-gehoor-krijgen/

Ann-Nina is geopolitiek communicatie expert met ervaring bij grote bedrijven als Ikea en Eon en was daarnaast adviseur aan president Zelensky.Communicatie en security hebben meer met elkaar gemeen dan je misschien denkt.Deze aflevering geeft een unieke inkijk in waarom het voor bedrijven soms zo moeilijk is om communicatie tijdens een crisis goed te doen. Hoe we verzanden van "green washing" in inmiddels "soeverein washing". Zij verteld hoe je als CISO kunt zorgen dat je nauw samenwerkt met communicatie op een zo effectief mogelijke manier. En dat heeft alles te maken met snelheid, transparantie, integriteit en je verantwoordelijkheid nemen.Verder hebben we het over de (on)zin van mission statements en crisisscenario's.Een volle aflevering met waardevolle informatie voor ons allemaal dus!

Deze column verscheen oorspronkelijk bij Security Innovation Stories:https://www.securityinnovationstories.com/phishingsimulaties-zijn-een-vorm-van-digitale-gaslighting/

Een aflevering over Datalekt[.nl]. Dat wilde jullie graag. En dat krijgen jullie! Maarliefst 33% van de stemmers op de poll wilde een aflevering over deze website.Een website die met steun van het SIDN fonds tot stand is gekomen. Gemaakt door Maria Genova en Joram Teusink. Het doel is meer bewustzijn rondom security incidenten te creëren door middel van een kaart van Nederland met daarop verschillende incidenten (niet alleen datalekken) geplot. Tevens bevat de site een aantal kennis quizzen, bedoelt om kennis op te doen rondom security.Jullie wilden dat ik eens naar de website ging kijken en deze zou reviewen; hoe nuttig is de website? En klopt de informatie die erop staat?YouTube: https://youtu.be/xxxlaHYIynw

In deze special praat ik met Daniel Card, ook bekend als MrR3b00t.We praten over security Fear Uncertainty and Doubt (FUD). De veiligheid van openbare WIFI, phishing simulaties etc.

Is een storing onder kwade actor een incident in de zin van informatiebeveiliging?Enige tijd geleden hebben we daar op LinkedIN een stevige discussie over gevoerd en heb ik er een poll tegenaan gegooid. De meningen zijn verdeeld.Een CISO waar ik een tegengestelde mening van leek te hebben was Frank Breedijk, top-CISO van Schuberg Philis. Daarom nodigde ik Frank uit voor een CISO praat special over wat nu eigenlijk een informatiebeveiligingsincident is.Is daar altijd kwaadaardige opzet voor nodig? Hoe strak moeten we eigenlijk beschikbaarheid, integriteit en vertrouwelijkheid van informatie interpreteren?

In deze special praat ik met de enige echte Chantal Stekelenburg. Ik praat met haar over hackers en hoe je omgaat met coordinated vulnerability disclosure, bug bounty en wat je eigenlijk mist als je stopt bij pentesten.Daarnaast hebben we het over security congressen en het organiseren daarvan.Daarover gesproken, de CFP van WICCON is nog open. Hier kan jij als vrouw in security jouw talk insturen:https://wiccon.nl/call-for-papers

"Bestuurlijke sensitiviteit". Hoe doe je dat eigenlijk? En waarom is het belangrijk? In deze aflevering geef ik voorbeelden hoe je bepaalde security-gerelateerde uitspraken nét even wat "bestuurlijk sensitiever" kunt formuleren.YouTube:https://youtu.be/pnz7avYrWss

In deze allereerste special van CISO praat verwelkom ik een speciale gast: Don Eijndhoven.Ervaren CISO en oprichter van de Dutch Cyberwarfare Community.Ik praat met hem over solliciteren, over de (on)zin van assessments en we delen over en weer "war-stories" van dingen die we hebben meegemaakt.Een feest der herkenning voor anderen denk ik zo. En anders gewoon vermakelijk om naar te luisteren!

Deze column is oorspronkelijk verschenen op het platform Security Innovation Stories:https://www.securityinnovationstories.com/microsoft-trekt-de-stekker-uit-het-icc-maar-niemand-weet-wie-op-de-knop-drukte-of-waarom/

Deze column is oorspronkelijk verschenen op de website van Security Innovation Stories:

"Omgaan met weestand en teleurstelling" en "harmonie in het team brengen" zijn vaardigheden die worden gevraagd aan de CISO.En dat omgaan met teleurstellingen, komt af en toe zeker van pas als je naar de geboden salarissen kijkt (als die er überhaupt al bij worden genoemd!).Vacatures lezen voor de CISO rol is bijna een vaardigheid op zich. Weet jij bijvoorbeeld chocolade te maken van uitspraken als "Je bevordert de inzet van leden voor het groepsdoel, soms ten koste van eigen korte termijn belangen."? En kun je tegen ChatGPT-achtige teksten als: "Je ontwikkelt en implementeert een robuuste strategie die onze digitale vesting tegen alle cyberbedreigingen beschermt."?Luister dan nu de nieuwste aflevering en ontcijfer samen met mij de mysterieuze vacature teksten voor verschillende CISO rollen.Ook nuttig voor wie nog op zoek is naar een CISO en nieuwsgierig is hoe een CISO een vacature leest.

Deze column is verschenen op de website van Security Innovation Stories:https://www.securityinnovationstories.com/soevereine-cloud-de-vegan-kipfilet-van-de-digitale-wereld/

Eet je vegetarisch of vegan? Dan is een pak kipfilet in de supermarkt met het label "vegan" erop waarschijnlijk niet iets wat jij acceptabel zou vinden om te eten.De afgelopen tijd praat men binnen security over "digitale soevereiniteit" en "digitale autonomie". Maar wat is dat eigenlijk? En hoe zorg je dat je een echt soevereine dienst inkoopt en geen digitale vegan kipfilet?Ik gaf deze talk oorspronkelijk voor The Dutch Cyberwarfare Community.YouTube: https://youtu.be/tRa1C8CsvbE

Deze column is oorspronkelijk verschenen op de website van Security Innovation Stories:https://www.securityinnovationstories.com/innovatie-in-de-leveranciersketen-is-hard-nodig/

Ik deed het al eens met CISM, maar zou ik ook slagen voor Certified Ethical Hacker zonder training?In deze aflevering gaan we het hebben over het (denk ik) meest omstreden certificaat in de security-wereld.Zou ik, die totaal geen pentester is, slagen voor CEH? En wat zegt dat over dit certificaat?Luister de aflevering nu of kijk op YouTube:https://youtu.be/oZC35XLs_vI

"Ze hadden vast hun BCM niet op orde!" "Hey, ik hoor net op het journaal dat jullie gehackt zijn. Wat is er aan de hand joh??" Sommige dingen kan je gewoon beter niet doen als een ander middenin een crisis verkeerd. En sommige dingen zijn juist goed om te doen.In deze aflevering alles over wat je wel en niet moet doen tijdens een cybercrisis (van een ander!).YouTube: https://youtu.be/RPdj3CzEpio

Column oorspronkelijk gepubliceerd door Security Innovation Stories: [link volgt]

Wat is een dreiging en wat is het verschil met een risico? Hoe maak je een dreigingsanalyse en waar is het nuttig voor? In deze aflevering vertel ik over dreigingen en het maken van dreigingsanalyses. === YouTube: https://youtu.be/EMyTC_KQ4uA En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

Column oorspronkelijk verschenen via Security Innovation Stories: [link volgt]

De CISO rol is een senior rol. De rol vraagt een bepaald type mens. Vaak zijn wij analytisch sterk, hebben een directe stijl van communiceren en denken we in zwart/wit-stijl. En dat is juist heel goed! Tegelijkertijd helpt het om te proberen voor sommige momenten/doelgroepen onze stijl iets aan te passen. In deze aflevering vertel ik over de lessen die ik in mijn loopbaan heb geleerd. Wat ik bedoel met het "is this a hill I will die on"-principe toepassen en het jezelf aanmeten van een "come at me bro"-attitude. ==== YouTube: https://youtu.be/6L1sue04Qt8 En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

De BIO2 is al een eind op weg. We gaan er samen in duiken en ik vertel je wat er nieuw en opvallend is. Tevens op welke manier de CISO rol er in terug komt. Hou je vast. Had ik al gezegd dat het VEEL was? =============== Links uit de aflevering: Blogpost met overzicht van Erna: https://www.linkedin.com/pulse/indeling-bio-20-een-overzicht-erna-havinga-ccmie?utm_source=share&utm_medium=member_android&utm_campaign=share_via Webpagina view BIO2: https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/ GitHub BIO2: https://github.com/MinBZK/Baseline-Informatiebeveiliging-Overheid ============= Deze aflevering op YouTube: https://youtu.be/23cVvtxVICY

Column oorspronkelijk gepubliceerd door Security Innovation Stories: https://www.securityinnovationstories.com/een-beveiligingsincident-is-zelden-de-schuld-van-een-iemand/

Column oorspronkelijk gepubliceerd door Security Innovation Stories: https://www.securityinnovationstories.com/cybercolumn-over-cyber-innovatie/

Column oorspronkelijk gepubliceerd voor Security Innovation Stories: https://www.securityinnovationstories.com/verbied-ladders-om-inbraak-te-voorkomen-en-andere-onzin/

Column oorspronkelijk geschreven voor Security Innovation Stories: https://www.securityinnovationstories.com/cyberfud-sells-maar-tegen-welke-prijs/