CISO praat

"Politiek/bestuurlijke sensitiviteit is toneelspelen."De "next-gen" CISO is een CISO zonder technische kennis, maar wel één die verdomd goed toneel kan spelen tegenover bestuurders. Op Cybersec Netherlands dook ik samen met niemand minder dan Bert Hubert in CISO-gerelateerde vraagstukken als "Hoe C is de CISO-rol eigenlijk?" en "Hoe komt het dat er zulke grote verschillen lijken te zijn tussen bedrijven in de CISO-rol?".Ook vertelde Bert over zijn eigen ervaringen als dingen mis gaan en legt hij uit waarom we ons meer bewust zouden moeten zijn van de geopolitieke situatie en wat dit voor impact kan hebben op onze samenleving via onze digitale afhankelijkheden.YouTube: https://youtu.be/HXIsQDOzLBsMet veel dank aan mijn gast Bert Hubert en Beyond Products voor het mogen lenen van jullie apparatuur om deze aflevering op te nemen op de beursvloer!

Ann-Nina is geopolitiek communicatie expert met ervaring bij grote bedrijven als Ikea en Eon en was daarnaast adviseur aan president Zelensky.Communicatie en security hebben meer met elkaar gemeen dan je misschien denkt.Deze aflevering geeft een unieke inkijk in waarom het voor bedrijven soms zo moeilijk is om communicatie tijdens een crisis goed te doen. Hoe we verzanden van "green washing" in inmiddels "soeverein washing". Zij verteld hoe je als CISO kunt zorgen dat je nauw samenwerkt met communicatie op een zo effectief mogelijke manier. En dat heeft alles te maken met snelheid, transparantie, integriteit en je verantwoordelijkheid nemen.Verder hebben we het over de (on)zin van mission statements en crisisscenario's.Een volle aflevering met waardevolle informatie voor ons allemaal dus!

Deze column verscheen oorspronkelijk bij Security Innovation Stories:https://www.securityinnovationstories.com/phishingsimulaties-zijn-een-vorm-van-digitale-gaslighting/

Edit: inmiddels hebben de makers van de website alle feedback uit deze aflevering opgepakt en de site aangepast. Respect!===Een aflevering over Datalekt[.nl]. Dat wilde jullie graag. En dat krijgen jullie! Maarliefst 33% van de stemmers op de poll wilde een aflevering over deze website.Een website die met steun van het SIDN fonds tot stand is gekomen. Gemaakt door Maria Genova en Joram Teusink. Het doel is meer bewustzijn rondom security incidenten te creëren door middel van een kaart van Nederland met daarop verschillende incidenten (niet alleen datalekken) geplot. Tevens bevat de site een aantal kennis quizzen, bedoelt om kennis op te doen rondom security.Jullie wilden dat ik eens naar de website ging kijken en deze zou reviewen; hoe nuttig is de website? En klopt de informatie die erop staat?YouTube: https://youtu.be/xxxlaHYIynw

In deze special praat ik met Daniel Card, ook bekend als MrR3b00t.We praten over security Fear Uncertainty and Doubt (FUD). De veiligheid van openbare WIFI, phishing simulaties etc.

Is een storing onder kwade actor een incident in de zin van informatiebeveiliging?Enige tijd geleden hebben we daar op LinkedIN een stevige discussie over gevoerd en heb ik er een poll tegenaan gegooid. De meningen zijn verdeeld.Een CISO waar ik een tegengestelde mening van leek te hebben was Frank Breedijk, top-CISO van Schuberg Philis. Daarom nodigde ik Frank uit voor een CISO praat special over wat nu eigenlijk een informatiebeveiligingsincident is.Is daar altijd kwaadaardige opzet voor nodig? Hoe strak moeten we eigenlijk beschikbaarheid, integriteit en vertrouwelijkheid van informatie interpreteren?

In deze special praat ik met de enige echte Chantal Stekelenburg. Ik praat met haar over hackers en hoe je omgaat met coordinated vulnerability disclosure, bug bounty en wat je eigenlijk mist als je stopt bij pentesten.Daarnaast hebben we het over security congressen en het organiseren daarvan.Daarover gesproken, de CFP van WICCON is nog open. Hier kan jij als vrouw in security jouw talk insturen:https://wiccon.nl/call-for-papers

"Bestuurlijke sensitiviteit". Hoe doe je dat eigenlijk? En waarom is het belangrijk? In deze aflevering geef ik voorbeelden hoe je bepaalde security-gerelateerde uitspraken nét even wat "bestuurlijk sensitiever" kunt formuleren.YouTube:https://youtu.be/pnz7avYrWss

"Omgaan met weestand en teleurstelling" en "harmonie in het team brengen" zijn vaardigheden die worden gevraagd aan de CISO.En dat omgaan met teleurstellingen, komt af en toe zeker van pas als je naar de geboden salarissen kijkt (als die er überhaupt al bij worden genoemd!).Vacatures lezen voor de CISO rol is bijna een vaardigheid op zich. Weet jij bijvoorbeeld chocolade te maken van uitspraken als "Je bevordert de inzet van leden voor het groepsdoel, soms ten koste van eigen korte termijn belangen."? En kun je tegen ChatGPT-achtige teksten als: "Je ontwikkelt en implementeert een robuuste strategie die onze digitale vesting tegen alle cyberbedreigingen beschermt."?Luister dan nu de nieuwste aflevering en ontcijfer samen met mij de mysterieuze vacature teksten voor verschillende CISO rollen.Ook nuttig voor wie nog op zoek is naar een CISO en nieuwsgierig is hoe een CISO een vacature leest.📺 YouTube:https://youtu.be/YoTbaBiDh9Q

Eet je vegetarisch of vegan? Dan is een pak kipfilet in de supermarkt met het label "vegan" erop waarschijnlijk niet iets wat jij acceptabel zou vinden om te eten.De afgelopen tijd praat men binnen security over "digitale soevereiniteit" en "digitale autonomie". Maar wat is dat eigenlijk? En hoe zorg je dat je een echt soevereine dienst inkoopt en geen digitale vegan kipfilet?Ik gaf deze talk oorspronkelijk voor The Dutch Cyberwarfare Community.YouTube: https://youtu.be/tRa1C8CsvbE

Ik deed het al eens met CISM, maar zou ik ook slagen voor Certified Ethical Hacker zonder training?In deze aflevering gaan we het hebben over het (denk ik) meest omstreden certificaat in de security-wereld.Zou ik, die totaal geen pentester is, slagen voor CEH? En wat zegt dat over dit certificaat?Luister de aflevering nu of kijk op YouTube:https://youtu.be/oZC35XLs_vI

Wat is een dreiging en wat is het verschil met een risico? Hoe maak je een dreigingsanalyse en waar is het nuttig voor? In deze aflevering vertel ik over dreigingen en het maken van dreigingsanalyses. === YouTube: https://youtu.be/EMyTC_KQ4uA En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

De CISO rol is een senior rol. De rol vraagt een bepaald type mens. Vaak zijn wij analytisch sterk, hebben een directe stijl van communiceren en denken we in zwart/wit-stijl. En dat is juist heel goed! Tegelijkertijd helpt het om te proberen voor sommige momenten/doelgroepen onze stijl iets aan te passen. In deze aflevering vertel ik over de lessen die ik in mijn loopbaan heb geleerd. Wat ik bedoel met het "is this a hill I will die on"-principe toepassen en het jezelf aanmeten van een "come at me bro"-attitude. ==== YouTube: https://youtu.be/6L1sue04Qt8 En de coole All the Cyber Ladies hoodie die ik draag is te koop via https://docs.google.com/forms/d/e/1FAIpQLSerRGenFuCHRIT1WfeGpXv1s41AfjnhehGdysSs4o3Sqt-OUw/viewform

De BIO2 is al een eind op weg. We gaan er samen in duiken en ik vertel je wat er nieuw en opvallend is. Tevens op welke manier de CISO rol er in terug komt. Hou je vast. Had ik al gezegd dat het VEEL was? =============== Links uit de aflevering: Blogpost met overzicht van Erna: https://www.linkedin.com/pulse/indeling-bio-20-een-overzicht-erna-havinga-ccmie?utm_source=share&utm_medium=member_android&utm_campaign=share_via Webpagina view BIO2: https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/ GitHub BIO2: https://github.com/MinBZK/Baseline-Informatiebeveiliging-Overheid ============= Deze aflevering op YouTube: https://youtu.be/23cVvtxVICY

🏆 𝗗𝗘 𝗖𝗜𝗦𝗢 𝗣𝗥𝗔𝗔𝗧 𝗔𝗪𝗔𝗥𝗗𝗦 𝗭𝗜𝗝𝗡 𝗨𝗜𝗧𝗚𝗘𝗥𝗘𝗜𝗞𝗧! 🏆  Kijk nu de laatste aflevering van 2025 en ontdek wie de winnaar zijn geworden. In deze post lees je wie er genomineerd zijn. De winnaars kijk/luister je natuurlijk in de aflevering zelf. 🏆 𝗚𝗿𝗼𝗼𝘁𝘀𝘁𝗲 𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗱𝘂𝗺𝗽𝘀𝘁𝗲𝗿𝗳𝗶𝗿𝗲 𝘃𝗮𝗻 𝟮𝟬𝟮𝟰 🏅 CrowdStrike 🏅 Fortinet 🏅 Microsoft 🏆 𝗚𝗿𝗼𝗼𝘁𝘀𝘁𝗲 𝗼𝗽𝗵𝗲𝗳 (𝗼𝘃𝗲𝗿 𝗶𝗲𝘁𝘀 𝘄𝗮𝘁 𝗶𝗸 𝘇𝗲𝗶) 🏅 "Openbare WIFI is veilig genoeg voor gewone gebruikers." 🏅 Mijn discussies met security snake oil mensen op de socials. 🏅 "Politievrijwilliger is niet de schuldige bij klikken op phishing link." 🏆 𝗕𝗲𝘀𝘁𝗲 𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗰𝗼𝗻𝗴𝗿𝗲𝘀 🏅 WICCON - Women In Cybersecurity Community Association 🏅 ONE Conference 🏅 DefCon 🏆 𝗦𝗹𝗲𝗰𝗵𝘁𝘀𝘁 𝗯𝗲𝗹𝘂𝗶𝘀𝘁𝗲𝗿𝗱𝗲 𝗖𝗜𝗦𝗢 𝗽𝗿𝗮𝗮𝘁 𝗮𝗳𝗹𝗲𝘃𝗲𝗿𝗶𝗻𝗴 𝘃𝗮𝗻 𝟮𝟬𝟮𝟰 🏅 ZBO zonder embargo 🏅 Incident response en crisismanagement 🏅 Stemcomputers 🏆 𝗕𝗲𝘀𝘁 𝗯𝗲𝗹𝘂𝗶𝘀𝘁𝗲𝗿𝗱𝗲 𝗖𝗜𝗦𝗢 𝗽𝗿𝗮𝗮𝘁 𝗮𝗳𝗹𝗲𝘃𝗲𝗿𝗶𝗻𝗴 𝘃𝗮𝗻 𝟮𝟬𝟮𝟰 🏅 De moeilijke positie van de CISO 🏅 Mijn top 10 security ergernissen 🏅 Certificaten; zou ik slagen voor CISM zonder training? 🏆 𝗕𝗲𝘀𝘁𝗲 𝗮𝗻𝗱𝗲𝗿𝗲 𝗡𝗲𝗱𝗲𝗿𝗹𝗮𝗻𝗱𝘀𝘁𝗮𝗹𝗶𝗴𝗲 𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗽𝗼𝗱𝗰𝗮𝘀𝘁 🏅 All the Cyber Ladies 🏅 Angry Nerds Podcast 🏅 CISO secure the future - ESET Nederland Wie zijn de winnaars? Kijk/luister nu via de links in de comments! ==== 𝘋𝘪𝘴𝘤𝘭𝘢𝘪𝘮𝘦𝘳: 𝘥𝘦𝘻𝘦 𝘢𝘸𝘢𝘳𝘥𝘴 𝘻𝘪𝘫𝘯 𝘷𝘰𝘭𝘭𝘦𝘥𝘪𝘨 𝘴𝘶𝘣𝘫𝘦𝘤𝘵𝘪𝘦𝘧 𝘦𝘯 𝘮𝘪𝘫𝘯 𝘮𝘦𝘯𝘪𝘯𝘨. 𝘋𝘦 𝘸𝘪𝘯𝘯𝘢𝘢𝘳𝘴 𝘸𝘪𝘯𝘯𝘦𝘯 𝘥𝘦 𝘦𝘦𝘳𝘷𝘰𝘭𝘭𝘦 𝘷𝘦𝘳𝘮𝘦𝘭𝘥𝘪𝘯𝘨 𝘪𝘯 𝘮𝘪𝘫𝘯 𝘱𝘰𝘥𝘤𝘢𝘴𝘵 𝘦𝘯 𝘬𝘶𝘯𝘯𝘦𝘯 𝘨𝘦𝘦𝘯 𝘳𝘦𝘤𝘩𝘵𝘦𝘯 𝘰𝘯𝘵𝘭𝘦𝘯𝘦𝘯 𝘢𝘢𝘯 𝘩𝘶𝘯 𝘢𝘸𝘢𝘳𝘥. 💘 jullie allemaal!  YouTube: https://youtu.be/fa_itMjo0MY

🚨 Is een IT storing een informatiebeveiligingsincident? 🚨 Wat moet je altijd doen met je crisis plan (naast oefenen)? 🚨 Waarom moet je incidenten registreren en analyseren? 🚨 Wanneer informeer je een CIO/directeur en hoe doe je dat handig? 🚨 Hoe kan je zelf makkelijk tracken of een website online of offline is? In deze gloednieuwe aflevering van CISO praat vertel ik alles over incident response en crisismanagement. Wellicht voor de ervaren CISO een boel open deuren, maar ik hoop nuttige tips te kunnen delen die anderen kunnen helpen op dit vlak. Trek dat superheldencomplex maar uit de kast en trek ten strijde tegen die ransomware! 🦸‍♀️ Ik had woensdag geen zin om mijzelf op te doffen en te worstelen met YouTube. Dus sorry voor de YouTubers, maar dit keer even audio only. De dienst waar ik het in de aflevering over heb om te monitoren of websites down zijn met SMS bundel is deze: https://www.downnotifier.com/

Stemcomputers: in Nederland hebben we deze tien jaar lang gebruikt. Tot de hackers kwamen! Op WICCON24 vertelde ik het verhaal van de Nederlandse stemcomputers. Wat hebben we geleerd van dit verhaal? En welke fundamentele problemen kleven aan stemcomputers? In deze aflevering vertel ik daar alles over. YouTube: https://youtu.be/1CcVXB72F7I

Met alle discussie rondom de politie-hack vrijwilliger die op een linkje zou hebben geklikt, heb ik besloten een extra aflevering rondom phishing simulaties te maken. In deze aflevering haal ik een aantal onderzoeken rondom phishing aan en een blogpost van de security manager van Google. Tevens ga ik in op de argumenten die ik vaak hoor in de comments bij mijn posts en presentaties over dit onderwerp. Google post: https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html COMCAST onderzoek: https://business.comcast.com/community/browse-all/details/2023-comcast-business-cybersecurity-threat-report Wetenschappelijk onderzoek: https://arxiv.org/pdf/2112.07498 YouTube: https://youtu.be/3aBl_oo-AH4

Binnen security bestaan verschillende soorten certificaten. Wat zijn de voordelen? En de nadelen? Zou ik slagen voor het CISM examen als ervaren security expert, zonder training of boeken? En wat zegt dat over CISM als certificaat? Om dit te testen maak ik voor jullie een oefenexamen en bespreek ik daaruit een aantal vragen. Luister de podcast en oordeel zelf! YouTube: https://youtu.be/8o17-UAwymc

ONE Conference, BlackHat, DEFCON, WICCON, MayContainHackers... zoveel congressen. Maar zijn ze de moeite waard? Wat maakt ze bijzonder? En welke mag je niet missen? In deze aflevering alles over security congressen! YouTube: https://youtu.be/ilAw11PYOBc