Het toegankelijke boek behandelt regulering, organisatie en techniek (ROT) in informatiebeveiliging, met nadruk op cultuur, risico’s en praktijkgerichte handvatten voor bestuurders en professionals. Digitalisering biedt kansen, maar maakt organisaties ook kwetsbaar. Fundamenten van informatiebeveiliging laat zien hoe duurzame beveiliging ontstaat door de balans tussen regulering, organisatie en techniek (ROT). Met praktijkvoorbeelden, heldere kaders en toepasbare handvatten krijgen bestuurders, professionals en teams grip op risico’s én op de menselijke factor. Een onmisbaar handboek voor iedereen die digitale veiligheid serieus neemt. Digitalisering is de ruggengraat van onze samenleving, maar maakt organisaties ook kwetsbaar. Cyberaanvallen, softwarefouten en menselijke misstappen kunnen complete ketens ontwrichten en leiden tot maatschappelijke schade. In dit handboek laat Brenno de Winter zien dat duurzame informatiebeveiliging niet alleen draait om techniek, maar om de samenhang tussen regulering, organisatie en techniek (ROT) – mét de menselijke maat centraal. Het boek biedt een brede en toegankelijke benadering: van wet- en regelgeving (zoals AVG, NIS2, DORA en de Cyber Resilience Act) tot governance, risicomanagement, cultuur, psychologische veiligheid en technische maatregelen als Zero Trust. Met praktijkvoorbeelden, kaders en handvatten wordt duidelijk hoe bestuurders richting kunnen geven, hoe CISO’s en security officers hun rol effectief kunnen vervullen en hoe organisaties leren van incidenten in plaats van ze weg te stoppen. Dit naslagwerk is geschreven voor bestuurders, toezichthouders, auditors en securityprofessionals. Het helpt om structuur, inzicht en praktische houvast te krijgen – of je nu een strategie uitzet, risico’s beheerst of maatregelen implementeert. De kernboodschap is helder: informatiebeveiliging is haalbaar voor iedere organisatie, en wie het goed organiseert wint meer dan veiligheid alleen: betere samenwerking, veerkracht en vertrouwen. Colofon 2 Managementsamenvatting (TLDR) 3 Voorwoord 4 Leeswijzer 6 1. Niet meer te berekenen voordeel 10 Ongekende schade 13 Een prijskaartje als randvoorwaarde 15 2. Beveiliging is ROT 21 3. Bouwsteen 1: Regulering 26 4. Beveiliging is Chefsache 30 5. De chef heeft een zorgplicht 34 Drie pijlers om de zorgplicht te vormen 36 6. De wetgeving 44 Strafrecht 50 Intellectueel eigendomsrecht 52 7. Hard- en softlaw 60 Normenkaders 63 8. De rol van de auditor 67 Vaardigheden en achtergrond van een auditor 78 9. De bekendste norm: de ISO-27001 82 Information Security Management Systeem 83 Plan-Do-Check-Act 85 Andere sectoren wijzen ons de weg 89 Safety First Mindset 93 De cyclus van het risico 94 De ISO27XXX-familie 96 Tot slot 97 10. Andere relevante normenkaders 99 Pentesting volgens MIAUW 103 11. De belangrijkste zaken het eerst regelen 106 Begin met het einde voor ogen 109 Zoek je kroonjuwelen 111 Wie staat waarvoor aan de lat 114 12. Omgaan met risico’s 119 13. Risicobeheersing 125 14. Risicomanagementmethodieken 147 De risicomatrix 148 FMEA – Failure Mode and Effects Analysis 153 FAIR met Monte Carlo 159 Bowtie: risico’s als vlinderdas 163 Veel methodieken om uit te kiezen 167 15. Bouwsteen 2: Organisatie 173 16. Waar positioneer je beveiliging? 180 De rol van de CISO: een chief? 187 Digitaal en fysiek: geen losse eilanden 189 17. De mens centraal 193 Informatiebeveiliging in het personeelsbeleid 193 De menselijke factor in informatiebeveiliging 197 18. De CISO als kop van Jut 201 Een voorbeeld uit de praktijk 203 19. De psychosociaal onveilige werkplek 216 Psychologisch veilig verplicht 222 20. De giftige werkplek 239 Kenmerken toxische gedragingen 242 Vrouwonvriendelijk gedrag 251 Omgaan met gif 254 21. Veiliger klimaat bouwen 259 Bouw een ‘just culture’ 279 Aanspreekbaarheid 280 22. Omgaan met bijzonder gedrag 282 Narcisme 283 Autisme 285 23. De menselijke maat voorop 287 24. Psychologie van informatiebeveiliging 289 Versterkende effecten 323 25. Volwassen veiligheidscultuur 326 Watermeloen compliance 328 Het is (weer) chefsache 330 Sleutelrol voor de CISO 332 Lange adem 333 26. Opleiding 335 Verplichte kost voor bestuurders 339 Opleiding uit veiligheidsdenken 340 Traditionele vaardigheden 342 Crew Resource Management 344 Een bijzondere plek voor jongeren 349 27. Communicatie 350 Omgaan met ontsporende opmerkingen 353 Roos van Leary 357 Cruciale conversaties 359 28. Uitgeschakelde feedback loops 365 De validatiecrisis 367 De klant op afstand 370 29. Lessen van volwassen industrieën 373 Gestandaardiseerd werken 380 30. Als je niet aan tafel zit dan sta je op het menu 384 31. Bouwsteen 3: Techniek 391 32. Falende software kan dodelijk zijn 394 Slechte software 397 Slechte software als schadepost 401 Vibecoding of AI programmeert 405 33. Goede software maken: het kan 410 Hoe dan? 416 Veilige software maken: het moet! 422 34. De techniek 425 35. Wat niet weet, wat wel deert 449 Verkeerslichten in transparantie 455 36. Geopolitiek in techniek 461 Geopolitieke risico’s beheersen 468 37. Als het misgaat 474 Technisch verloop van aanval en verdediging 477 Bedrijfscontinuïteit 479 Van waken naar incident response 482 Elke dag beter: leren van het incident 485 Meer leren dan techniek alleen 486 Zoeken naar de root cause 492 38. Geraakt door non-beveiliging van anderen 495 Leveranciersstrategie 498 42. Slotwoord 500 Dankwoord 502