Woensdag 6 oktober Security-Congres 2021

Kleur bekennen

21Programma

12:30

Ontvangst met lunch

13:10

Opening en inleiding door dagvoorzitter André Beerten

13:15

Kleur bekennen in een wereld die graag zwart wit denkt - Remco Bakker, Vedosa

13:50

Risicobeheersing en zekerheden in leveringsnetwerken
Wat als een leveringsketen de karakteristieken vertoont van een netwerk? - André Smulders, TNO

14:25

Zaalwissel

14:35

Parallelle sessies

 

Blauw/Assurance

Geel/Innovatie

Rood/Use cases

Sponsortrack

 

14:35

Big Tech en Pooled audits
Op welke wijze kan Cloud outsourcing bij grote techpartijen in de grip worden gehouden?

Jean Zweers, Rabobank

Als u deze waarschuwing leest, is het waarschijnlijk al te laat…
'het digitale leven door de ogen van helpende hackers'

Astrid Oosenbrug,  (DIVD)

Compliance in oorlogstijd
Juist in een Coronacrisis wil je security op orde hebben

Brenno de Winter

Making the cloud as secure as your own data centre
How do you achieve a zero-trust security and encryption strategy for the cloud

Volker Semmelmann, Entrust (ENGELS

 

15:10

PAUZE

15:40

TISAX, een volwassenheidsmodel voor beheersmaatregelen in de praktijk

Frits Ruwhoff,  TÜV Nederland

Value Driven Security

Stef Hoffman, Philips

Naar de cloud of liever de duivel die je kent? 
Een genuanceerd beeld van de risico’s en kansen van public cloud en eigen datacenter infrastructuren gebaseerd op voorbeelden uit de praktijk

Sandeep Gangaram / Frank Breedijk, Schuberg Philis

Zet Data in het middelpunt van uw beveiligingsstrategie

Dick Tolboom, SLTN

 

16:15

Zaalwissel

16:25

Van vertrouwen in de cloud, naar zekerheid in de cloud

Michiel Steltman,  DINL / Jan Matto,  Mazars Nederland

Controlling cloud without becoming controlled
A discussion about the latest in compliance in and of the cloud

Martin Vliem, Microsoft Nederland

Cybersecurity Fusion: Can’t We All Just Get Along?Challenges Faced and Overcome in a Collaborative Cybersecurity Model

Jacob (Jake) Norwood, Booz Allen Hamilton (ENGELS)

# itsallaboutaccess; setting security strategy

Peter Rietveld, Traxion

 

17:00

PAUZE

17:30

Joop Bautz Informatie Security Award

17:55

Jochem Nooyen, illusionist

18:40

Afsluiting door de dagvoorzitter André Beerten

18:45

Diner

 

 

 

 

 

 

 


Groen = Awareness [extra 'fun track'] - Infosequre cyber security escape truck

Learning-by-doing, gamification en teambuilding zijn een drietal termen die van toepassing zijn op onze cyber security escape truck.

De security awareness escape room bestaat uit een ruimte waarin telkens een groep van maximaal 8 deelnemers een security awareness game speelt. Gedurende de game, die ongeveer 30 minuten duurt, proberen je medewerkers een cyberaanval op hun bedrijf te voorkomen. Als ze de phishing mails van de cybercriminelen die het netwerk van jouw bedrijf proberen binnen te dringen herkennen, installatie van malware voorkomen en de code kraken, dan verijdelen ze de cyberaanval.  

Doelstelling

  • Boost de betrokkenheid van je medewerkers bij informatieveilig werken.
  • Motiveert medewerkers en wijst hen op de eigen verantwoordelijkheid.
  • Houdt het onderwerp top-of-mind en brengt het op een leuke manier onder de aandacht.
  • Vergroot het effect van een intern security awareness programma.
  • Stimuleert samenwerken en verhoogt het groepsgevoel.


SPREKERSOVERZICHT


André Beerten

André is sinds 2001 actief in de informatiebeveiliging, zoals velen eerst vanuit de techniek en diensten (bij KPN) maar gaandeweg meer en meer als beheerder van het ISMS. Hij focust zich op de kloof die gaapt tussen informatiebeveiligers en hun normen enerzijds en de mensen met hun voeten in de klei anderzijds.

Als adviseur informatiebeveiliging werkte hij voor veel organisaties in landelijke, regionale en lokale overheid, zorg en zakelijke diensten.

'Ik ben apetrots dat ik voor de 8e keer het security-congres mag presenteren. Ik zal opnieuw proberen iedereen bij de les te houden en het gesprek tussen bezoekers en sprekers stimuleren.'


Remco Bakker
Remco was 25 jaar ondernemer in IT security, van groentje tot grijsaard. Houdt van eenvoud maar niet van lapmiddelen. 

INHOUD
Kleur je binnen de lijntjes, of niet? Ik hoop, dat het antwoord op deze vraag past met de rol die je vervult binnen de informatiebeveiliging. 

 

 


André Smulders

Ir. Andre (A.C.M.) Smulders CISSP werkt meer dan 20 jaar op het gebied van informatiebeveiliging, cybersecurity en risico management. Hij is de co-auteur van het boek “Foundations of Information Security – based on the ISO27001 and 27002“ en de TNO publicatie “Networked Risk Management”. 

INHOUD
Is het niet vreemd dat we nog steeds praten over ketens als het gaat om leveringsketens en ketenpartners? In de praktijk komen we zowel ketens als netwerken tegen. De eigenschappen van een keten anders zijn dan die van een netwerk. Het herkennen van die verschillen en het effect daarvan, wordt een essentiële randvoorwaarde voor het efficiënt en effectief uit kunnen voeren van assurance en risicomanagement.


Jean Zweers

Jean Zweers is zijn IT carrière gestart in 1989 bij Olivetti Systems en Networks werkzaam op het gebied van netwerken en informatiebeveiliging. In 1998 is hij  overgestapt naar Rabobank ICT. Hij is hier werkzaam als Netwerk specialist en betrokken bij de inrichting van Netwerk Management systemen. Sinds 2007 is hij werkzaam als IT auditor, met name op het gebied van IT infra audits in Nederland en wereldwijd in landen als Indonesië, India en Australië. Als consultant heeft hij voor Rabo Development opdrachten uitgevoerd in opkomende landen als Uganda en Myanmar. Sinds 2018 is hij als IT auditor betrokken bij het CCAG. Een Europees samenwerkingsverband van financiële instellingen die in pooled audit verband Audits uitvoeren bij Cloud Service Providers. Daarnaast heeft hij zitting in de Cyber Kennis groep van de NOREA en participatie in het opstellen van Cloud security examens (ISC2). 

INHOUD
Deze sessie gaat in op het fenomeen dat uitbesteding naar de Cloud een grote vlucht heeft genomen. Vanuit security perspectief en vanuit de toezichthouder worden eisen gesteld aan deze vorm van outsourcing. Hoe Europese Financiële Instellingen hier in de praktijk invulling aangeven door in gezamenlijke audit verband (d.m.v. pooled audits) audits uit te voeren bij deze Big Tech partijen. Denk hierbij aan partijen als Microsoft, Amazon (AWS) en Google.


Astrid Oosenbrug

Astrid Oosenbrug is oud-Tweede Kamerlid en werkte bij een aantal bedrijven als senior systeembeheerder. Zij was kritisch over aantasting van privacy door nieuwe opsporingswetgeving en heeft zich sterk gemaakt voor invoering van Responsible Disclosure beleid binnen de Nederlandse overheid, ze is mede-oprichter van DIVD.nl en Public Affairs Officer voor ESET Nederland.

INHOUD
DIVD spant zich in om informatie over kwetsbaarheden tijdig en begrijpelijk te krijgen bij organisaties die er wat aan kunnen doen. Dit geldt voor kwetsbaarheden die DIVD zelf vindt of opspoort en kwetsbaarheden die anderen aan DIVD melden. Daarnaast speelt DIVD een rol bij slachtoffernotificatie, b.v. bij het ontdekken van slachtofferinformatie van een botnet. Via de DIVD Academy leiden we (jonge) hackers op om op een verantwoorde wijze met deze informatie om te gaan. Tijdens deze talk leer je meer over de werkwijze en wat je zelf kunt doen om kwetsbaarheden in je eigen omgeving tot een minimum te beperken.


Brenno de Winter

Brenno de Winter, bekend van onder andere de hack op de OV-chipkaart, is verantwoordelijk voor privacy en security van alle Nederlandse Corona-technologie. 

INHOUD
Bij CoronaMelder waren er twee zaken niet onderhandelbaar: privacy en security. Alle technologie die daarna volgde staat of valt bij het kunnen vertrouwen. Hoe bouw je met onmogelijke deadlines technologie die secure en privacyvriendelijk is. Hoe garandeer compliance als er voor uitloop geen tijd is. En welke rol spelen katten daarbij. Brenno gebruikt katten als de springplank voor een onconventionele manier om informatiebeveiliging te benaderen en compliancy vorm te geven. De technologie die VWS aan het bouwen is, zal als open source beschikbaar komen.

Brenno neemt je in sneltreinvaart mee achter de schermen van de corona-technologie die we elke dag gebruiken en hoe juist compliance in oorlogstijd de enige houvast is.


Volker Semmelmann (ENGELSE TRACK)

Volker Semmelmann is the Senior Technical Consultant for the Data Protection Solutions at Entrust, to secure a world in motion.
He is an experienced IT security expert who has worked for leading IT security companies the last 15 years and became an expert in data protection, cryptography and zero trust security strategies.

INHOUD

  • Multi cloud data security and compliancy
  • Latest Encryption trends the Netherlands vs the world
  • Solutions for Microsoft Azure - Double Key Encryption, Google, AWS and VMWare & Tanzu Kubernetes

Frits Ruwhoff

Frits Ruwhoff is afkomstig uit de grafische automatisering. Na ruim 20 jaar ervaring op het gebied van informatiebeveiliging en privacy te hebben opgebouwd in printbedrijven en drukkerijen, heeft hij de stap gemaakt naar auditing. Bij TÜV Nederland is hij naast lead auditor ook schemacoördinator voor de ISO/NEN normen rond informatiebeveiliging, privacy en bedrijfscontinuïteit.

 

INHOUD
Bij (kleinere) organisaties is het toepassen van een concrete, meetbare methode voor het vaststellen van de effectiviteit van beheersmaatregelen vaak moeilijk. Verschillende volwassenheidsmodellen kunnen een ISMS daarbij aanvullen.

De Duitse automobielindustrie gebruikt een norm die hier gebruik van maakt. Het doel is de omgang met vertrouwelijke informatie, bijvoorbeeld ten aanzien van nieuwe modellen, door haar leveranciers te controleren en concretiseren. Aan de hand van de algemene vraagstelling worden de grondbeginselen van deze norm, de doelstellingen, methodiek en de uitwerking toegelicht. Zonder klakkeloos te kopiëren, kan een analyse van deze methodiek een voorbeeld zijn voor andere toepassingen.


Stef Hoffman

Stef Hoffman is sinds augustus 2017 Chief Information Security Officer bij Philips. Daarvoor was hij van 2013 tot 2017 Chief Information Security Officer bij Capgemini. Hiervoor heeft hij ook bij Volvo, Volmac, Unisys en EDS gewerkt. 

INHOUD
Het lukt ons al security professionals te weinig: de organisatie overtuigen dat security echt van strategisch belang is voor het voortbestaan van de organisatie. Hoe is het Philips dan gelukt om security wel als “value driver” te zien?

Stef Schinagl zal Stef Hoffman interviewen over de security transformatie die Philips de afgelopen jaren heeft doorgemaakt. Hoe is security veranderd van een “last” naar een onmiskenbaar strategisch onderdeel van de bedrijfsvoering.


Sandeep Gangaram en Frank Breedijk

Samen vormen ze al 10 jaar de 2e en 3e lijn verdediging van Schuberg Philis.

Sandeep is verantwoordelijk voor Internal Audit en daarnaast voorzitter van de Norea kennisgroep Software Development/DevOps.

Frank is de CISO en in zijn vrijetijd Head of CSIRT van het DVID. 

INHOUD
De discussie public cloud vs eigen infra is vaak zwart-wit. In de praktijk zien we echter steeds meer organisaties kleur bekennen. Aan de hand van onze ervaring met security & compliance met een eigen datacenter en public cloud willen wij in deze sessie de deelnemers meenemen in deze kleurrijke wereld en haar nuances over de as van onder andere security, privacy, compliance en auditability want een eigen datacenter voelt als ‘in control’, maar is dat wel zo….


Michiel Steltman

Michiel Steltman is directeur en spreekbuis van de stichting DINL, een coalitie van Nederlandse aanbieders van de brede digitale infrastructuur: datacenters, hosting en cloud providers, knooppunten domain registratie en het academisch netwerk. Steltman heeft een technische achtergrond en is al meer dan 30 jaar werkzaam in de internationale wereld van IT en Internet. Naast zijn werk voor DINL is hij lid van het forum standaardisatie, lid van het Beraad Nederland digitaal, en initiator en project lead van diverse PPS projecten van het ECP op het gebied van assurance, digitale weerbaarheid en bestrijden van online abuse. Een van die PPS projecten is de OTC (Online Trust Coalitie), die zich inzet voor laagdrempelige Assurance voor Clouddiensten.

Jan Matto

Jan Matto beschikt over decennia aan ervaring als IT auditor en onderzoeker van privacy- en cybersecurity incidenten, zowel  nationaal, internationaal, in de publieke en in de private sector. Enkele van zijn onderzoeken zijn door de overheid gepubliceerd en besproken in de Tweede Kamer. Jan is partner bij Mazars en verantwoordelijk voor de IT Audit & Advisory activiteiten en global leader cyber security en data protection. Daarnaast is hij actief in onder andere de commissie beroepsreglementering van NOREA en betrokken bij de ontwikkeling van de nieuwe IT auditverklaring.  Tevens is hij lid van de Online Trust Coalition. Hij heeft een reeks van publicaties op zijn naam op het snijvlak van IT audit en informatiebeveiliging.

INHOUD
Niemand kan nog zonder Cloud diensten.  Maar daarmee kom je terecht in een tombola van verantwoordelijkheden van ketenpartners, en in een jungle van certificeringsschema’s en auditstandaarden.  De wet maakt jou verantwoordelijk, maar hoe krijg je die nodige zekerheid? Terwijl je niets over je leveranciers te zeggen hebt, want zij runnen de services op hun manier.

In deze sessie presenteren we deze probleemstelling, en gaan we in dialoog met de zaal over de oplossingen.

 De toenemende cloudadoptie in alle lagen van de economie en samenleving en de ogenschijnlijk oneindige toepassingsgebieden van cloud, leiden tot grote vraagstukken en fricties op het gebied van risicobeheersing, verantwoordelijkheden en compliance met wet- en regelgevingen. Cloudaanbieders willen generieke diensten aanbieden aan afnemers uit verschillende sectoren moeten voldoen aan sectorale wetten- en regels met eigen certificeringsschema’s. Daarbij komt, gegeven het karakter van clouddiensten en cyberdreigingen, dat incidenten niet alleen een negatief effect heeft op de organisatie die direct getroffen is, maar ook gevolgen heeft voor het hele ecosysteem van de getroffen organisatie. De maatschappelijke schade is dan veel groter dan de schade van de individuele organisatie. Een brede en diverse groep van stakeholders heeft belang bij zekerheid van clouddiensten. In deze sessie wordt in dialoog met de deelnemers deze probleemstelling verder uitgediept. Een update wordt gegeven uit de Online Trust Coalition over de acties die worden ondernomen, hoe Nederland hier het voortouw in neemt en een update wordt gegeven over de aankomende nieuwe IT Auditverklaring van NOREA.


Jacob (Jake) Norwood

Jake Norwood leads cybersecurity consulting services in Europe for Booz Allen Hamilton. He is the former Global Head of Citigroup’s Cyber Fusion Centers, former director of Cyber4Sight Threat Intelligence services, and a combat veteran of the U.S. Army’s 101st Airborne Regiment. He thrives in crises and loves telling cybersecurity war stories.

INHOUD
The first Cyber Fusion Centres outside of military and law enforcement circles were established by multinational banks and major retailers around 2014. Other organizations followed, racing to adopt the concept as a sign of maturity. Seven years later, we can review the successes of the Cyber Fusion model, the challenges it still faces, and begin to evaluate what’s next in collaborative approaches to cybersecurity. This presentation will present real-world case studies in implementing Cyber Fusion Centres to improve detection, apply advanced analytics, manage crises, and to overcome security in silos to improve velocity of response through an intelligence-led approach.


Martin Vliem
Martin Vliem works as National Security Officer for Microsoft. In that role, he represents Microsoft Netherlands to various public and private organizations on the themes of security, privacy and compliance. Important focus areas concern the effects of (privacy) legislation and supporting due diligence processes in the adoption of cloud computing. Martin has previously worked for Capgemini and started his career as an university teacher, after graduating from his study Philosophy of Science, Technology and Society at the University of Twente.

INHOUD
In this session, we will discuss some of the main compliance challenges of organizations using cloud computing, across the security and privacy landscape. We will then provide some general insights into how to address cloud compliance concerns, whilst sharing some perspectives on current developments such as GAIA-X, sovereignty and Schrems-II/data transfers. Of course, we allow some time for questions and discussion!


Jochem Nooyen

Jochem Nooyen is werkzaam als illusionist met als doel mensen verwonderen, op het puntje van hun stoel zetten en oplettend maken. Door verwondering gaan mensen oplettender kijken naar de dingen om hen heen.

Locatie

 

Gooiland Events 

Emmastraat 2

1211 NG  HILVERSUM

Routebeschrijving
 

 

MEDE MOGELIJK GEMAAKT DOOR

     

     

     

     

    

    

   

  

 

Eveneens interesse om te sponsoren?
Neem dan contact op met het secretariaat:
secretariaat@security-congres.nl / 06-20984633 (Debbie Reinders)

Of kijk hier voor meer informatie.