CISO praat

CISO's zouden meer met hackers moeten bier drinken. Dat vind OG hacker Edwin van Andel. Je moet als CISO een band krijgen met je security minded IT-ers in de organisatie. Zo krijg je een veel sterkere positie.

Ik sprak Edwin in CISO praat om te mogen tappen uit de jarenlange ervaring van deze meesterhacker.

Meesterhacker? Absoluut. Edwin hackte samen met zijn vrienden op een congres het X account van Donald Trump. Hij verteld daarnaast in deze aflevering over zijn hack op een "slim hotelslot" (spoiler; dat lukte in seconden!). En over hoe je een automatische deur open krijgt met wiskey (ja, echt!).

Hacker zijn is een mindset, maar volgens Edwin kan je hackervaardigheden wel leren. Tegelijkertijd komt hij tegenwoordig jonge hackers tegen die webapplicaties met gemak hacken, maar die zodra hun browser het even niet doet gewoon een nieuwe computer kopen, omdat ze niet in staat zijn hun eigen computerproblemen te troubleshooten.

Verder hebben we het over het gebruik van AI en wat dit doet met platforms die bug bounty aanbieden. AI is vooral goed in het volgende woord voorspellen. En omdat AI veel rapporten heeft gelezen en toegang tot tools heeft is het een prima hacker, maar het zal nooit zo goed worden als een menselijke hacker.

Ik uit ook nog even mijn decennialange frustraties als voormalig helpdesk medewerker. ☠️

En nog veel meer!

"Een CISO moet door een bestuurder en toezichthouder op een zetel worden gezet. De CISO draagt het voortbestaan van een organisatie in zich. Het is een onmisbare schakel in de organisatie. De centrale figuur voor de weerbaarheid."

Wim Kuijken was 14 jaar lang allerhoogste ambtenaar (secretaris-generaal) van verschillende ministeries. 10 jaar bestuursvoorzitter van de Security Delta (HSD), tevens was hij Delta Commissaris en is voorzitter van de Kiesraad (en heeft nog veel meer gedaan!).

Een bestuurder in hart en nieren. Ik noem hem een "eindbaas".

Tegen CISO's wordt wel eens gezegd dat we meer "de taal van de bestuurder" moeten spreken. Maar wat is die taal dan? En moeten bestuurders eigenlijk niet ook meer de taal van de CISO leren? Ik sprak er met Wim over voor CISO praat.

Een CISO moet veel zelfvertrouwen hebben en niet bang zijn, zegt Wim. Als je niet serieus genomen en op waarde geschat wordt, vertrek dan en leg uit waarom, is zijn boodschap aan de CISOs.

Powervrouw Astrid Oosenbrug; als je in security werkt en je kent haar niet, moet je wel onder een steen hebben gelegen.
Voormalige Tweede Kamerlid en huidig directeur van stichting HackShield, oprichter DIVD Academy en lid Digitale Dollemina's.
Zij zet zich al jaren in voor een veiliger Nederland. Met nadruk op het belang van veiligheid voor en door jongeren.
In deze aflevering van CISO praat verteld ze over hoe zij met stichting HackShield door middel van een spel (wat ik overigens ook voor volwassenen zeer kan aanraden!) proberen kinderen spelenderwijs veilig gedrag online aan te leren.
Daarnaast hoe zij jongeren met DIVD Academy tracht op het rechte hackers-pad te houden en kansen te bieden hun kennis en skills in te zetten ten goede in plaats van "the dark side".
Ik sprak haar daarnaast over een akkefietje over onze kleding toen wij recent met de Digitale Dollemina's een rondetafel gesprek van de Commissie Digitale Zaken wilde bekijken in de Tweede Kamer.
Kortom; een interessante aflevering!

"Als je echt geen argumenten meer hebt als CISO, dan zeg je dat het moet van de wet."

Aart Jochem ✓ was vijf jaar lang CISO Rijk. Sinds januari is hij CISO bij Centric.

Ik spreek met hem voor CISO praat over zijn tijd als CISO Rijk. Over zijn eerste overleg met de directeur generaal en staatssecretaris (spoiler; dat ging niet heel soepel!). Over het nieuwe rijksbrede cloudbeleid en de nationale digitaliseringsstrategie.

Hij vertelde mij de top drie belangrijkste lessen voor elke CISO:
💡 Het is altijd erger dan je denkt - een incident dat klein lijkt, kan razendsnel escaleren.
💡 Je bent altijd te laat met opschalen - dus schaal liever te snel op, dan dat je het nog even afwacht. Beter te snel/onnodig hogerop geïnformeerd, dan te laat.
💡 Blijf zicht op de langere termijn houden - als je de hoeveelheid incidenten niet meer kunt managen, stop dan met individuele incidenten afhandelen en ga coördineren/er boven hangen.

Volgens Aart is security een maatschappelijk probleem. Organisaties zijn nog teveel bezig met de impact die het op hen zelf heeft als zij gehackt worden en te weinig met de impact voor hun omgeving/de maatschappij.

Kortom; een aflevering die voor elke CISO waardevol is!

Dit keer opgenomen met mijn gloednieuwe podcastset, dus alleen met audio en geen video.

Deze column verscheen oorspronkelijk bij Security Innovation Stories hier:
https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/https://www.securityinnovationstories.com/de-angst-voor-de-ai-vulner-apocolypse/