Aflevering 64 - Eric de Maar - Hack The Bank
Ben je ooit nieuwsgierig geweest naar hoe je een bank kunt hacken? Nou, dan ben je hier aan het verkeerde adres. Maar als je geïnteresseerd bent in het verbeteren van applicatiebeveiliging, dan zit je hier helemaal goed.
In deze aflevering gaan we in gesprek met Eric de Maar, de CEO van Dimaros, een snelgroeiend technologiebedrijf dat gespecialiseerd is in cloud architectuur en voornamelijk met de Microsoft-stack. We duiken echter niet alleen in de wereld van applicatieontwikkeling; we verkennen ook de cruciale kwestie van applicatiebeveiliging.
Het is een feit dat zelfs de meest bekwame ontwikkelaars soms niet bewust zijn van mogelijke beveiligingslekken in hun applicaties. Eric heeft hier een unieke oplossing voor bedacht: de "Hack the Bank" security awareness training voor developers.
Dit is geen gewone trainingservaring. Het is een traject dat e-learning, puzzels en gaming-elementen combineert, allemaal ontworpen om ontwikkelaars bewust te maken van de potentiële beveiligingsrisico's die inherent zijn aan het ontwikkelen van applicaties. Het speelt zich daarbij niet af in een gewone trainingsruimte; nee, deze training vindt plaats in een speciaal ontworpen kelder. Een echt uniek concept, zelfs in de wereld van trainingen in Nederland.
Eric deelt graag zijn inzichten over dit innovatieve trainingsprogramma en hoe het bijdraagt aan het creëren van een veiligere ontwikkelomgeving. Als gepassioneerde CEO van Dimaros heeft hij een diepgaand begrip van de technische aspecten van cloud architectuur, maar hij is ook zeer bedreven in het afstemmen van zakelijke doelstellingen met technische roadmaps.
Kortom, deze aflevering biedt niet alleen een fascinerend inzicht in de wereld van applicatiebeveiliging, maar ook in de unieke benadering van Dimaros om ontwikkelaars bewust te maken van dit kritieke aspect van softwareontwikkeling. Blijf luisteren om meer te weten te komen over Hack the Bank en hoe het de norm stelt voor beveiligingsbewustzijnstrainingen in Nederland en daarbuiten.
CGIT EXTRA - CloudExpo 2023
Op woensdag 6 december zijn wij afgereisd naar de Cloud Expo 2023 in Houten voor weer eens een nieuwe EXTRA aflevering!
Het was voor ons het eerste bezoek aan dit evenement dat nu voor het tweede jaar is georganiseerd.
We hebben zoals gewoonlijk de beursvloer bezocht, een aantal breakout-sessies bijgewoond en weer interessante personen gesproken.
De mensen die we wisten te spreken in deze aflevering zijn (in chronologische volgorde):
- Marco Bal - Principal Systems Engineer Benelux bij Pure Storage
- Sjoerd de Jong - Sr. Sales Engineer bij SentinelOne
- Philip van Gendt - Distribution Business Manager bij AvePoint
Luister naar ons verslag verslag van dit evenement!
Aflevering 53 - Curtis Partoredjo - Tien Security
In aanloop naar ons eigen evenement op Woensdag 10 Mei, samen met onze partner Tien Security, leek het ons een goed idee onze podcast set op te bouwen in het kantoor van Tien Security te ‘s Graveland en hebben we gesproken met Curtis Partoredjo, .
Curtis spreekt graag over Cybersecurity, Ethical hacking, Security awareness en Application security en neemt ons ook graag mee hoe hij de kans heeft gekregen om een ICT-dienstverlener te transformeren naar een Security specialist.
We bespreken met Curtis het gehele spectrum van Security (en dat richt zich niet alleen tot ICT) en hoe Tien een MKB klant kan ondersteunen op het gebied van informatiebeveiliging en zo helpt aan een tien voor Security!
Reden genoeg om deze aflevering weer te beluisteren en Curtis zie je, samen met onze andere gasten, op het Come Get IT live-podcast event op 10 Mei!
Heb je je nog niet ingeschreven, klik dan hier en meld je aan!
Aflevering 45 - Robert Speulstra - Power BI
Iedereen kent het programma Microsoft Excel. Zowel binnen als buiten de IT industrie maken meer dan een miljard mensen gebruik van deze applicatie en is Excel al vele jaren de standaard applicatie voor het maken van (complexere) berekeningen waarbij, onder andere, draaitabellen worden gebruikt om inzicht te krijgen in data.
Minder bekend bij het grote publiek maar veel gebruikt in enterprise omgevingen is Microsoft Power BI, een business intelligence instrument om bedrijfsgegevens uit verschillende bronnen te verzamelen die vervolgens, door middel van een gebruiksvriendelijke interface., gebundeld kunnen werden in een rapportage.
Om hier meer over te weten hebben wij Robert Speulstra uitgenodigd, Robert werkt met Power BI vanaf dag 1 en heeft hierdoor als Power BI consultant al veel mooie en uitgebreide rapportages visueel gemaakt voor diverse organisaties. Robert legt uit hoe simpel het is, hoe makkelijk het is om gebruik te maken van Power BI en wat je er mee kan.
Wil je meer weten over Power BI en hoe het werkt luister dan snel deze aflevering.
Aflevering 42 - Roos Rooijakkers - Data Science
Het belang van data, modellen en sturende informatie in organisaties en bedrijven, wat heeft dat met ICT te maken zou je kunnen denken.
Om deze vraag te beantwoorden hebben we voor deze aflevering Roos Rooijakkers uitgenodigd.
Als datawetenschapper, statisticus en consultant ontdekt zij zakelijke kansen op het gebied van data, analyses, modellen en algoritmen en is ze goed in staat de relatie tussen haar vakgebied en ICT te schetsen.
Haar passie ligt bij data, code schrijven en om data te transformeren, data te visualiseren, algoritmen en modellen te ontwikkelen en dat met behulp van verschillende machine-learning- en optimalisatietechnieken.
Daarnaast is ze mede-initiatiefnemer van het Women in Data Science (WiDS)-initiatief, dat als doel heeft datawetenschappers wereldwijd te inspireren en op te leiden, ongeacht geslacht, en vrouwen in het veld te ondersteunen. WiDS begon in november 2015 als een eendaagse technische conferentie op Stanford. Vijf jaar later is WiDS een wereldwijde beweging die een aantal wereldwijde initiatieven omvat:
Weer een interessante aflevering met een interessant onderwerp zoals je van ons gewend bent.
Aflevering 40 - Eddy Willems - Ransomware en Malware
Aflevering 40 alweer van de Come Get IT Podcast en dat is toch wel een mijlpaal mogen we zeggen.
Om deze mijlpaal extra cachet te geven hebben we onze eerste internationale gast weten te strikken (waarmee we toch lekker in het Nederlands kunnen praten).
Tevens is hij de eerste gast die zichzelf security expert 'by design' noemt, een eigen Wikipedia pagina heeft, is een graag geziene gast in de internationale media en momenteel werkzaam is voor de Duitse beveiligingssoftwarespecialist G DATA.
Vanuit België sprak Eddy Willems met ons.
Met hem gaan we in deze aflevering dieper in op het fenomeen Ransomware, iets waar we allemaal wel een keer mee te maken hebben gehad of bekend mee zijn op z'n minst.
We hebben Eddy gevraagd hoe hij hiermee in aanraking is gekomen en hoe het nu staat met de ontwikkelingen rond ransomware en malware, mede op basis van de recente ontwikkelingen in Europa.
Reden genoeg om op play te drukken en op naar de volgende mijlpaal!
Aflevering 32 - Meint Post - Veilig E-mailen
In deze nieuwe aflevering van de Come Get IT Podcast hebben we onderzoek gedaan naar de mogelijkheden van het veilig versturen van e-mails.
Mail ik niet veilig dan?
Wij merken op dat dit een vraag is die regelmatig aan ons wordt gesteld. Daarnaast spelen een groot aantal van onze collega’s met deze vraag.
Hoe los je het op? Wat is eigenlijk veilig e-mailen? Wat moeten we als organisatie allemaal veilig versturen via email?
Allemaal vragen waarmee wij jou een handje willen helpen. Dat hebben we niet alleen gedaan, maar samen met Meint Post.
Meint is de COO van Secumailer, een organisatie die zich bezighoudt met alleen maar het veilig versturen en ontvangen van beveiligde email.
Meint is een gedreven Senior-executive die met veel passie kan vertellen hoe veilig e-mailen werkt, welke meerwaarde Secumailer heeft in het huidige IT landschap en niet geheel onbelangrijk; hoe hun product ingezet kan worden.
Reden genoeg om te luisteren naar deze aflevering.
Vergeet ook niet om de podcast te abonneren om niets te missen.
Wij vinden het heel tof als je een recensie achterlaat in je favoriete podcast app.
Podcast aflevering 4 - Informatie beveiliging en privacy in de cloud
“Security, bescherming van persoonsgegevens, AVG, staat mijn data wel veilig in de cloud”
Dit lijken vrij standaard vragen en termen die je met regelmaat wel hebt gehoord. Maar hoe zit het met Informatie beveiliging en bescherming van de data. Waar kun jij samen met je klant helpen om dit op orde te krijgen? Waar moet jij zelf als consultant aan denken?
Een aantal vragen die wij voor je gesteld hebben aan Jaap Ruijgrok (Security Consultant - Avensus) en Gerhard Mars (Audit Manager - AuditConnect)
Nieuwsgierig? Just Listen and Come and Get IT!
28 januari, de dag van de privacy
Vandaag, 28 januari 2019 is de dag van de privacy. Deze dag is enkele jaren geleden in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties.
Bij de dag van de privacy denken we al gauw aan de Algemene verordening gegevensbescherming (hierna: AVG). Toch verwijst de dag van de privacy niet naar de invoeringsdatum van de AVG: 25 mei 2018. Er is gekozen voor de invoeringsdatum van het Dataportectieverdrag: 28 januari 1981. Het Dataprotectieverdrag kan worden gezien als de grondlegger van het privacy-recht in Europa.
Als we artikel 5 uit het Dataprotectieverdrag vergelijken met artikel 5 lid 1 AVG dan zien we veel overeenkomsten. Beide artikelen beschrijven de basisbeginselen van het privacy-recht: persoonsgegevens mogen alleen worden verwerkt voor legitieme doeleinden. Daarnaast moeten persoonsgegevens: toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het grote verschil tussen beide artikelen staat in artikel 5 lid 2 AVG:
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De Autoriteit Persoonsgegevens beschrijft deze verplichting als volgt:
De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Hoe kan een organisatie inzicht krijgen in hoeverre ze voldoet aan de AVG?
Hiervoor zijn verschillende invalshoeken denkbaar:
- Nulmeting: inventarisatie van de huidige situatie op basis van de belangrijkste artikelen uit de AVG; de resultaten geven input aan de organisatie over het opstellen van een plan van aanpak voor het implementeren van beheersmaatregelen voor de beheersing van privacy aspecten om te voldoen aan de AVG;
- Toetsing op Volwassenheidsniveau: Bepalen van het niveau van beheersing van privacy aspecten door een organisatie. Hierbij spelen de inrichting van processen, gebruikte tooling en de uitvoering van de processen een belangrijke rol om de mate van volwassenheid te bepalen. Het onderzoek wordt uitgevoerd op basis van bijvoorbeeld het volwassenheidsnormenkader van het Centrum informatiebeveiliging en privacybescherming(hierna: CIP) voor dit onderzoek; Met de resultaten van het volwassenheidsonderzoek heeft de organisatie inzicht in het volwassenheidsniveau met betrekking tot het beheersen van de privacy aspecten in de organisatie, met deze informatie kan de organisatie bepalen of zij op het gewenste volwassenheidsniveau staat en op welke aspecten verbeteracties ondernomen dienen te worden om op het gewenst niveau te komen.
- Assurance audit: op basis van een bepaald normenkader wordt conform de ISAE-3000 richtlijn Assurance gegeven over de mate waarin de organisatie in control is op de privacy aspecten en de geïmplementeerde maatregelen. Het te hanteren normenkader hiervoor kan het Privacy Control Framework(hierna: PCF) van NOREA (de beroepsorganisatie van IT-auditors)
Een privacy-audit is hét geschikte middel om te voldoen aan de verantwoordingsplicht uit de AVG.
Het belangrijkste van een privacy-audit is het bepalen van het normenkader. De AVG is voor een privacy-audit geen geschikt normenkader omdat de AVG geen concrete normen bevat die een auditor kan toetsen. Voor een nulmeting is de AVG wel een geschikt kader. Er zijn verschillende normenkaders beschikbaar voor een privacy-audit die een auditor wel kan toetsen en dus gebruiken.
Eén hiervan is het Privacy Control Framework(PCF) van de NOREA . Het PCF maakt geen onderscheid in beheersmaatregelen voor verwerkers en verwerkingsverantwoordelijke. Het PCF kan hierdoor in veel gevallen niet integraal gebruikt worden voor een privacy-audit: bepaalde normen zullen buiten scope worden geplaatst omdat ze niet van toepassing zijn voor verwerkers.
Een privacy-audit is hiermee altijd maatwerk. Uiteindelijk moeten organisaties volgens de huidige wetgeving voldoen aan de AVG. Het voldoen aan bijvoorbeeld het PCF is enkel een middel om aan te kunnen tonen dat een organisatie voldoet aan de AVG.
Een volgende stap in de wereld van privacy-audits is het behalen van een AVG-certificaat. In artikel 42 AVG wordt de basis hiervoor gelegd. Het behalen van een AVG-certificaat is momenteel nog niet mogelijk omdat er momenteel nog geen zogenoemde certificatieschema’s zijn goedgekeurd door de Autoriteit Persoonsgegevens.
De voorzichtige verwachting is dat de eerste certificatieschema’s in 2019 worden goedgekeurd. AuditConnect houdt de ontwikkelingen hierin met belangstelling nauwlettend in de gaten.
AuditConnect heeft IT-experts op het gebied van Privacy en IT-Security en voert regelmatig o.a. privacy audits bij organisaties uit. Onze aanpak is no-nonsense en resulteert in pragmatische en betrouwbare oplossingen en adviezen. Wij realiseren deze oplossingen tegen betaalbare tarieven.
Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.
Auteur: Gosse Bijlenga, Privacy Consultant AuditConnect
