DiscoverCISO praat
28 Episodes
Reverse
Stemcomputers: in Nederland hebben we deze tien jaar lang gebruikt.
Tot de hackers kwamen!
Op WICCON24 vertelde ik het verhaal van de Nederlandse stemcomputers.
Wat hebben we geleerd van dit verhaal? En welke fundamentele problemen kleven aan stemcomputers?
In deze aflevering vertel ik daar alles over.
YouTube: https://youtu.be/1CcVXB72F7I
Met alle discussie rondom de politie-hack vrijwilliger die op een linkje zou hebben geklikt,
heb ik besloten een extra aflevering rondom phishing simulaties te maken.
In deze aflevering haal ik een aantal onderzoeken rondom phishing aan en een blogpost van de
security manager van Google.
Tevens ga ik in op de argumenten die ik vaak hoor in de comments bij mijn posts en presentaties
over dit onderwerp.
Google post: https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html
COMCAST onderzoek: https://business.comcast.com/community/browse-all/details/2023-comcast-business-cybersecurity-threat-report
Wetenschappelijk onderzoek: https://arxiv.org/pdf/2112.07498
YouTube: https://youtu.be/3aBl_oo-AH4
Binnen security bestaan verschillende soorten certificaten. Wat zijn de voordelen? En de nadelen?
Zou ik slagen voor het CISM examen als ervaren security expert, zonder training of boeken? En wat zegt dat over CISM als certificaat? Om dit te testen maak ik voor jullie een oefenexamen en bespreek ik daaruit een aantal vragen.
Luister de podcast en oordeel zelf!
YouTube: https://youtu.be/8o17-UAwymc
ONE Conference, BlackHat, DEFCON, WICCON, MayContainHackers... zoveel congressen. Maar zijn ze de moeite waard? Wat maakt ze bijzonder? En welke mag je niet missen?
In deze aflevering alles over security congressen!
YouTube: https://youtu.be/ilAw11PYOBc
De CISO rol staat onder druk. Vaak sta je ver weg van het bestuur, terwijl je eigenlijk een C suite rol hebt. Wat kunnen we daar aan veranderen? En waarom moeten bestuurders ook willen dat dit verandert? Luister naar deze aflevering!
=====
YouTube: https://youtu.be/VvA2gzUHyBM
PDF: https://drive.google.com/file/d/1m3JHhEAF13SCeYXVSWZDY-P3F5aINvFJ/view?usp=sharing
Bron genoemde onderzoek uit de aflevering:
https://www.iansresearch.com/resources/all-blogs/post/security-blog/2024/01/17/state-of-the-ciso-2023-2024-benchmark-report-is-live
Vorig jaar september vond hacker Maarten Boone een beveiligingsprobleem in de optelsoftware voor de verkiezingen.
Gelukkig kwam hij dit bij mij melden, zodat de Kiesraad het probleem snel kon verhelpen.Wat had hij precies gevonden? Hoe gingen wij daarmee om en wat kunnen andere organisaties daarvan leren?
Luister naar deze aflevering van CISO praat!
Deze talk is oorspronkelijk gemaakt voor het SURF congres op 27 juni 2024.
=========
YouTube: https://youtu.be/b_SbxiOjs8I
Omdat deze presentatie op template van de Kiesraad is, is er geen pdf bijgevoegd.
Als er iets is waar security mensen zoals ik goed in zijn, dan is het wel klagen (en heel hard lachen).
Immers, het alternatief is veelal veel huilen en dat wil niemand.
Erger jij je wel eens aan de clickbait-statistieken op LinkedIN? De oneindige stroom aan sales mensen en recruiters in je DMs, waarvan sommigen niet eens je naam goed schrijven (of in mijn geval zelfs een compleet andere naam gebruiken!)?
Luister dan vooral naar deze aflevering!
====
Deze aflevering heeft geen video op YouTube of pdf met presentatie.
Deze talk is oorspronkelijk gegeven als key note op het event van het Digital Trust Center. Het is bedoelt voor het MKB om hen te laten zien waar hun daadwerkelijke risico's zich bevinden en waar zij zich dus op zouden moeten richten. Daarnaast benoem ik risico's die angst zaaien kunnen worden genoemd, omdat ze geen echte risico's zijn of niet realistisch.
YouTube: https://youtu.be/jreWxrRKxcg
PDF: https://drive.google.com/file/d/15X9iUVv7z3E1yoryNKqWtQC4YAZV0vvQ/view?usp=sharing
Fear, Uncertainty and Doubt: mensen bang maken voor niet-realistische risico's is schadelijk.
Hierdoor zullen mensen ons minder snel serieus nemen als er echt iets aan de hand is.
Baad het niet, dan schaad het niet; gaat hierbij zeker niet op. Het schaadt namelijk wel degelijk.
Om wat voor soort risico's gaat het dan? De random USB stickjes op parkeerplaatsen, de gehackte oplaadkabeltjes op het treinstation en openbare WIFI in de McDonalds... om maar wat te noemen.
In deze aflevering waarom is dit FUD en waarom vinden we het zo moeilijk hier vanaf te stappen?
PDF: https://drive.google.com/file/d/19UqvlMml59yothOwC90jYTtZhuDEmNgP/view?usp=sharing
YouTube: https://youtu.be/s502HrhhQV4
Je ziet regelmatig de rollen CISO/Privacy Officer gecombineerd worden. Ik heb het zelf ook een tijd lang gecombineerd gedaan.
Ondanks dat de twee onderwerpen overlap met elkaar hebben, zijn zij ook heel verschillend.
Doordat de belangen (betrokkenen vs organisatie) uit elkaar liggen en tevens de reikwijdte verschilt van elkaar. De AVG gaat alleen over informatie in relatie tot persoonsgegevens, terwijl security kijkt naar ALLE informatie.
Waar liggen de raakvlakken en waar de verschillen? Luister naar deze aflevering!
Hackers zijn van onschatbare waarde voor jouw organisatie. Zij hebben de tijd en motivatie om oneindig lang aan een draadje te frutselen, tot de gehele trui is gereduceerd tot een hoopje garen.
Waar pentesters maar beperkt de tijd hebben en per uur worden betaald, rekenen melders bij een CVD vaak helemaal niets. Ze willen alleen graag een T-shirt en een eervolle vermelding.
Hoe krijg je hackers zo ver dat zij voor je aan de slag gaan? Luister naar deze aflevering!
================
YouTube: https://youtu.be/5hEqe9WXckE
PDF: https://drive.google.com/file/d/10hmhKSDG8XYWmTDl_B6j1jtc30Q3vvlR/view?usp=sharing
Oorspronkelijk een talk die ik heb gehouden tijdens een lunchbijeenkomst met verschillende zbo's.
ZBO staat voor zelfstandig bestuursorgaan. Dit zijn overheidsorganisaties die een onafhankelijk bestuur hebben, maar wel horen bij een ministerie.
Dat dit een complexe constructie is, zal je al begrijpen. Maar hoe werk je nou constructief samen met een ministerie als je bij een ZBO werkt? Zonder dat je daarbij jouw onafhankelijke positie op het spel zet?
Luister (of bekijk, want hij is weer op YouTube!) deze aflevering nu!
YouTube:
https://youtu.be/cuHs94ely4U
PDF: https://drive.google.com/file/d/18TTZfZvuQIwlSfgc7u_EN0S3HakiiMqb/view?usp=sharing
"Wij zijn ISO gecertificeerd en dus 100% cyberveilig!" Een uitspraak die denk ik weinig beveiligingsexperts zullen onderschrijven.
En toch is compliance een belangrijk en soms handig middel binnen informatiebeveiliging.
Je ontkomt er ook eigenlijk niet aan met de huidige wet en regelgeving om voor een deel met compliance bezig te zijn.
Maar compliance is soms saai, taai en complex. Met name wanneer comply or lie - oh nee, explain, een optie is.
In deze aflevering alles over compliance in informatiebeveiliging!
=====
Deze aflevering heeft geen YouTube of PDF.
Logging en monitoring. Een gouden duo. Maar wat is dat eigenlijk... logging? En hoe doe je dat goed?
Ik hoor veel gepraat over de "next gen" oplossingen als XDR en het "SIEM is dood". Maar is dat wel zo? Als de meeste organisaties hun logging niet eens op orde hebben, hoe kan je dan verwachten dat ze gaan nadenken over iets als XDR?
In deze aflevering vertel ik over logging en monitoring. Hoe je het goed doet en hoe wat je fout kunt doen.
====
Geen powerpoint of YouTube bij deze aflevering.
"Geeft gevraagd en ongevraagd advies" staat vaak in onze functieomschrijving.
Advies geven is een vaardigheid. Een welke relevant is voor een scala aan rollen binnen informatiebeveiliging. Zowel voor (C)ISOs als consultants als pentesters.
Maar hoe geef je een goed advies? Waar moet een goed advies minimaal aan voldoen?
Bereik meer met jouw adviezen door de principes te hanteren die in deze aflevering worden besproken.
Dit keer geen YouTube of PowerPoint. Dus 100% luisteren!
Een kwalitatief goede risico analyse is er een waar jij als expert achter staat. Jij moet de uitkomst kunnen uitleggen en verdedigen.
Risico analyses gebruik je om risico's in kaart te brengen, maatregelen te bepalen en verantwoordelijkheid te kunnen leggen waar deze hoort. Maar na de rapportage ben je als (C)ISO nog niet klaar.
In deze aflevering alles over de risico analyse en hoe je dit in goede banen kunt leiden.
PDF:
https://drive.google.com/file/d/1yyzwJtsh33TE2FQRQ88ICZZGNYb5e5KF/view?usp=sharing
YouTube:
https://youtu.be/Y8trEoGPqgM
"Openbare WIFI is onveilig" en "Wachtwoordenboekjes zijn een slecht idee!". Deze mythes en nog 8 andere ontmasker ik in deze aflevering. Niet geheel zonder controversie (#OPHEF?!) naar mijn vermoeden, maar dat mag de pret niet drukken.
PDF:
https://drive.google.com/file/d/1k7KWtDOWJQ3luye62AHujfLpkTvAyuwT/view?usp=sharing
YouTube:
https://youtu.be/JIKwbKkT8aI
Systeemverantwoordelijk, procesverantwoordelijk, eindverantwoordelijk, lijnverantwoordelijk...
Hoe zorg je dat verantwoordelijkheid rondom informatiebeveiliging in de organisatie goed geregeld is? In deze podcast alles rondom verantwoordelijkheid over informatiebeveiliging en hoe je dit als (C)ISO goed borgt.
PDF:
https://drive.google.com/file/d/1ZgsDcQCM9JaHkhTlZwStuZt78cs-V8Tt/view?usp=sharing
YouTube:
https://youtu.be/1qTrnho-2F4
Is een CISO niet constant bang voor een aanval of een incident?
Wat voor ISMS gebruik ik?
En belangrijker:
Hoeveel selfies neem ik op een dag?
Luister naar het antwoord op jouw brandende vragen in deze speciale aflevering van CISO Praat!
Bekijk deze aflevering met beeld via YouTube: https://youtu.be/zSXE5x1kV5E
We gebruiken steeds meer SaaS applicaties. Onze data raakt hierdoor verspreid en de beveiliging is anders dan een lokaal netwerk. Hoe beveilig je SaaS (cloud) applicaties? Waar moet je op letten als je een leverancier kiest? Wat zijn de belangrijkste risico's?
Bekijk deze aflevering om hier achter te komen!
Gerelateerde info (volgt, moet eerst verificatie van Google doorlopen):
Cloud checklist: https://docs.google.com/document/d/1Qnd6wLQe769sNhX4ZB2S0TYJosKp52Sm/edit?usp=sharing&ouid=100673747953687858356&rtpof=true&sd=true
PowerPoint als PDF: https://drive.google.com/file/d/1aBEsneBVbvmN4RdLokO8PpwFhtnHn4mn/view?usp=drive_link
Bekijk deze aflevering ook als video op YouTube:
https://youtu.be/8oI9uq0s384
Comments
Top Podcasts
The Best New Comedy Podcast Right Now – June 2024The Best News Podcast Right Now – June 2024The Best New Business Podcast Right Now – June 2024The Best New Sports Podcast Right Now – June 2024The Best New True Crime Podcast Right Now – June 2024The Best New Joe Rogan Experience Podcast Right Now – June 20The Best New Dan Bongino Show Podcast Right Now – June 20The Best New Mark Levin Podcast – June 2024
United States