Fundamenten van informatiebeveiliging

Eindelijk is het zover. Mijn nieuwe boek is beschikbaar: Fundamenten van informatiebeveiliging.

Digitale veiligheid faalt zelden door een gebrek aan maatregelen, maar vaak door onduidelijke verantwoordelijkheden, een zwakke organisatiecultuur of het vergeten van de menselijke maat.

In Fundamenten van informatiebeveiliging breng ik die werelden samen: de harde kant van techniek en wetgeving, én de zachte kant van organisatie, leiderschap en gedrag.

Het boek laat zien hoe informatiebeveiliging echt kan slagen wanneer regulering, organisatie en techniek met elkaar in balans worden gebracht. Met praktische voorbeelden, lessen uit andere (meer volwassen) sectoren (zoals de luchtvaart) en direct toepasbare handvatten voor bestuurders, CISO’s en professionals.

Vergeet IT als verkiezingsthema: dat regelen ze in Brussel wel

De verkiezingen komen eraan en op sociale media buitelen de meningen over IT, AI en cybersecurity over elkaar heen. Maar wie de verkiezingsprogramma’s leest of kijkt naar de kandidatenlijsten, ziet het meteen: IT of digitale veiligheid is in Den Haag geen echt thema. Er staan amper mensen op verkiesbare plekken met verstand van IT, cybersecurity of data. Dus stem vooral op andere thema’s dan IT, de digitale hygiëne wordt voorlopig toch vooral in Brussel geregeld.

Dank aan de Digitale Dolle Mina's

Dank aan de Digitale Dolle Mina’s

De (Digitale Dolle Mina’s)[https://digitaledollemina.nl/] grijpen terug op een naam die in Nederland geschiedenis schreef. De Dolle Mina’s uit de jaren ’70 waren een feministische actiegroep die met zichtbaar en vasthoudend protest misstanden aankaartte en maatschappelijke verandering afdwong. Hun boodschap: neem vrouwen serieus, geef ze een stem, en leg pijnlijk bloot waar systemen falen. Die erfenis klinkt door in deze digitale variant: ook nu gaat het om zichtbaarheid, vasthoudendheid en het doorbreken van stilte.

Het belang van kritische evaluatie van technologieën om cybersecurity te versterken (podcast) - Eddy Willems

Eddy Willems in gesprek met Brenno de Winter, expert informatiebeveiliging en privacy.

In de nieuwste aflevering van de podcastserie ‘My Precious Data’ gaat Eddy Willems, Security Evangelist bij WAVCi, in gesprek met Brenno de Winter, een vooraanstaand expert op het gebied van informatiebeveiliging en privacy. Brenno is bekend om zijn diepgaande kennis en ervaring, onder andere door zijn betrokkenheid bij het kraken van de OV-chipkaart en zijn werk als Chief Security & Privacy Operations bij het Ministerie van Volksgezondheid, Welzijn en Sport in Nederland.

Iedere dag beter: maar nu echt

In een tijd van snel evoluerende digitale dreigingen is een cultuur van continu verbeteren cruciaal voor effectieve informatiebeveiliging. Bedrijven kunnen niet volstaan met een eenmalige risico-inventarisatie of een stapel beveiligingsbeleid; ze moeten hun processen voortdurend aanscherpen. De Plan-Do-Check-Act (PDCA)-cyclus – in het Nederlands vaak Plan, Do, Check, Act genoemd, ofwel Plannen, Uitvoeren, Controleren, Bijstellen – biedt een gestructureerde aanpak om dit te doen. Deze PDCA-cyclus vormt de kern van veel kwaliteits- en veiligheidsprogramma’s, en wordt expliciet aangeraden in normen als ISO 27001 voor informatiebeveiliging.

Holistisch veiligheidsdenken: meer dan alleen techniek

Cybersecurity staat in vrijwel elke organisatie hoog op de agenda. Toch blijven veel bedrijven­ kwetsbaar, omdat informatiebeveiliging niet altijd diep in de bedrijfsvoering verankerd is. Vaak worden maatregelen pas achteraf getroffen, bijvoorbeeld bij incidenten of onder druk van nieuwe wet- en ­ regelgeving. Tegelijker­ tijd zien we dat organisaties die wél een proactieve, holistische aanpak­ hanteren, minder vaak ernstige ­ problemen ervaren. In dit artikel laten we zien waarom een ­ integrale visie op ­ cybersecurity zo belangrijk is, waar het in de praktijk vaak misgaat en hoe bedrijven hun­ veiligheidsniveau duurzaam kunnen verhogen.

Holistic security

Recent ransomware attacks on European companies demonstrate that cyber threats are inevitable; organizations must prepare proactively rather than reacting after an incident occurs.

On January 11, 2025, a Dutch technology company specializing in sustainable waste processing was forced to halt operations due to a ransomware attack by the BlackBasta group, which encrypted over 500 GB of critical data. The same day, a Belgian manufacturing company suffered a similar attack, losing 600 GB of sensitive information. These incidents, while not directly impacting individual users’ personal data, disrupted supply chains and caused significant financial and reputational damage. Cybercriminals are targeting not just high-profile corporations, but critical industries. It’s no longer a matter of if an organization will be attacked, but when, and whether it is prepared.

Communicatie in The Oval Office

Bij het inmiddels infame gesprek in de Oval Office tussen president Donald Trump, vice-president JD Vance en president Zelenski was een bepaald onderdeel erg opvallend. Bij cruciale gesprekken waar iemand wordt aangesproken kies je doorgaans voor een lijn: de inhoud, het patroon of de relatie. Gooi je teveel door elkaar heen dan gaat het gesprek nergens naartoe.

Wat gisteren opvallend was bij vooral JD Vance is dat hij sprong van inhoud, naar patroon en vervolgens relatie en weer terug. Daarmee was het eigenlijk onmogelijk voor Zelensky om überhaupt te reageren of iets terug te zeggen. Want iedere reactie zal vervolgens worden ontmoet door een aanval op basis van het andere gespreksniveau. Gaat het over iets inhoudelijk dan wissel je naar relatie en als je reageert op de relatie dan spreek je iemand aan op patroon.

Hoe managers de balans moeten vinden tussen technologie en controle

In een wereld waarin technologie steeds meer onze beslissingen bepaalt, is de roep om kritische reflectie groter dan ooit. Blind vertrouwen in technologie leidt tot fouten met verstrekkende gevolgen, zo schrijft hij in zijn boek De. ICT-managers hebben de sleutel in handen om technologie effectief en veilig te benutten, maar dit lukt alleen als zij begrijpen hoe data, systemen en processen elkaar beïnvloeden.

Een centraal thema in De Validatiecrisis is het belang van data. Een mooi voorbeeld is een experiment met kunstmatige intelligentie (AI), waarbij een AI-systeem wordt gevoed met data van eerdere wervingsbeslissingen, wat vooroordelen kan versterken. In dit geval was het model getraind op een dataset waarin mannen vaker werden aangenomen dan vrouwen. Toen de AI in de praktijk werd ingezet, reproduceerde het deze bias zonder dat de gebruikers hiervan op de hoogte waren. Met als gevolg dat mannen sneller werden aangenomen dan vrouwen.