For the questions that must be asked
before the incident.

Waarom een jaarlijkse pentest niet is wat je denkt dat het is.

Het verschil tussen aanval simuleren, verdedigen en samen oefenen, en hoe je bepaalt wat jouw organisatie nu nodig heeft

Het verschil tussen het principe en de uitvoering, en waarom die volgorde een architectuurkeuze is

Het succes van een goede externe security-partij is dat zij wegloopt, niet dat zij blijft

Hoe de CISO de rol inneemt die het board verwacht

Wat aantoonbaar bestuurlijk handelen onder NIS2 en DORA in de praktijk vraagt

Een eerste gesprek dat iets oplevert herken je aan gedrag, niet aan slides: diagnose vóór oplossing, eerlijke belang-transparantie, en een vertrek-pad dat vanaf minuut één benoemd wordt

Hybride cloud-security is geen vendor-keuze maar een operating-model rond shared responsibility, identity-as-perimeter, configuration-drift en multi-cloud-governance

MFA-roll-out is een architectuurkeuze, geen toggle in een beheerportaal

Meer tools, minder controle: de cyberveiligheidsparadox in Nederland

Waarom een goede perimeter geen verdediging is, en wat wel werkt: segmentatie, identity-validatie, immutable back-ups, geteste recovery en grip op de leveranciersketen

Wat een audit feitelijk meet, en hoe je hem zo inkoopt dat de uitkomst van jou blijft

Asset-zicht, scan-cadans, prioritering op exploiteerbaarheid en remediation-SLA als doorlopend werk, niet als rapport dat eens per jaar wordt opgeleverd

Waarom 'doen we genoeg aan cyber' geen vraag is, en welke vraag wel

Shadow AI verbieden lost niets op. Wat wél werkt is een sanctioned route die sneller is dan de schaduwroute.

AI verandert detectie fundamenteel. Wat het betekent voor de regie, de mensen en de governance.

Wat een aanvaller doet nadat hij binnen is, en waarom segmentatie en identity-detectie samen het verschil maken

De grenzen van een cyberpolis, en waarom weerbaarheid daar losstaat van verzekering

Hoe je een lichtgewicht TPRM-functie inricht die NIS2 en DORA aan kan, zonder een eigen afdeling op te tuigen

Meer metrics is niet meer inzicht. Hoe je boardrapportage bouwt die besluitvorming mogelijk maakt in plaats van verlamt.

Toetsen of jullie detectie-regels écht pakken wat ze moeten pakken, doorlopend en aantoonbaar

Het verschil tussen de drie categorieën, en een onafhankelijk selectiekader op gedrag, datavolume, telemetrie, respons en exit

Hoe je een detectiestrategie vastlegt voordat een leverancier in beeld is, zodat je telemetrie kiest op basis van use-cases en niet op basis van een productdemo

Niet omdat de CISO het verkeerd doet. Maar omdat het besturingssysteem ontbreekt om risico in bestuurlijke taal te vertalen.

De 17-januari-deadline is gepasseerd, het toezicht is begonnen. Wat blijft prioritair als je nog niet volledig voldoet.

Continuous Threat Exposure Management als programma, niet als platform-aankoop

Hoe je een onzichtbaar risico in dezelfde eenheid uitdrukt als kredietrisico en marktrisico, zonder schijnprecisie en zonder vendor-frame

Projecten eindigen. Organisaties groeien. Wat het kost om van het eerste naar het tweede te komen.

Wat artikel 20 en artikel 32 voor jou als bestuurder persoonlijk veranderen

Tien minimumeisen, één programmatische verschuiving: van afvinken naar aantoonbaar beheer

Aantoonbaarheid ontstaat niet in het document, maar in het werk dat erna gebeurt

Wat de wetgeving werkelijk vraagt en waarom compliance zonder governance geen bescherming biedt

Drie gedragstests waarmee je zelf bepaalt of een security-adviseur echt onafhankelijk is, of alleen vendor-led met een neutraal jasje