NL

EN

Yuri Bobbert, PhD

Function Professor information systems management

Email yuri.bobbert@uantwerpen.be

Ontdek onze publicaties

Expertise

Cybersecurity
Business information security
Information Systems Management

Yuri Bobbert heeft twee PhD's aan de Radboud University en aan de Universiteit van Antwerpen rond het meten en opvolgen van IT prestaties. Als resultaat van deze onderzoeken ontwikkelde hij mee verschillende technieken en verschenen meer dan 100 publicaties gelinkt aan dit onderwerp.

Yuri was global Group CSO of NN – Group (listed at AEX) and UWV (Government). Hij leidde de integratie van de NN Group en DeltaLloyds wat betreft IT Security, Risk & Compliance. Voorafgaand aan deze CSO functies, was hij +10 jaar CEO van B-ABLE, een IT consulting bedrrijf.

Hij is professor aan Antwerp Management School sinds 2011.

Yuri Bobbert is auteur van een aantal boeken:

Strategic Approaches to Digital Platform Security Assurance
Leading in Digital Security
Cybersecurity in 60 minutes
Critical Success Factors for Business Information Security
'Exploring Capabilities and Skills for Digital Value Creation” about the role of Softskills

Programma's

Masterclass Cyber Security Architecture & Technologies

Masterclass Cyber Security Management

Ontdek onze programma's

Recente publicaties

Performance Management in Information Security

Organizations often struggle with effective cybersecurity performance management due to the lack of standardized metrics, siloed security practices, and difficulty quantifying cybersecurity initiatives' value. Many businesses fail to tie cybersecurity performance directly to organizational goals, leading to gaps in resource allocation, risk mitigation, and strategic planning. This results in poor visibility into the effectiveness of cybersecurity measures and an inability to adapt quickly to emerging threats.

Yuri Bobbert, PhD

NIS2

The NIS2 – What Boards Must Do

The NIS2 – a European directive that follows in the footsteps of NIS1 – requires full implementation by member states on October 17, 2024. This means that member states will have had time between January 16, 2023 and October 17, 2024, to translate the law into more specific rules and instructions in order to comply effectively. It's worth noting that certain countries and industries have already anticipated this shift and have started adapting to it. In this article, I describe three stances vital to boards or anybody having a steak in the company. And the primary obligations you must consider.

Yuri Bobbert, PhD

Digital risks 1

The need for Digital Due Diligence; How to prevent a pig in a poke

The heightened scrutiny of cybersecurity underscores the critical need for careful digital due diligence on digital assets and comprehensive risk assessments.

Yuri Bobbert, PhD

Trends cyber security 1

Invloedrijke trends voor opkomende rollen in digitale beveiliging - 2023 en daarna

Als we kijken naar de cybergegevens die de afgelopen tijd zijn verzameld, komen we tot intrigerende inzichten die van invloed kunnen zijn op onze toekomstige kijk op digitale beveiligingseducatie als een belangrijk verdedigingsmechanisme tegen toekomstige bedreigingen. In dit artikel observeren we eerst de cumulatieve verandering in cyberdreigingsactoren, gevolgd door een samenvatting van onze analyse van meer dan 20 jaar cybergegevens, gebaseerd op de VERIS Community Database, om de belangrijkste trends te destilleren door trends naar de toekomst te extrapoleren. Bij het bestuderen van deze bevindingen hebben we vervolgens onze eigen expertise en observaties gebruikt om suggesties te doen voor toekomstige rollen die het gebied van cyberbeveiliging zouden kunnen domineren.

Yuri Bobbert, PhD

Cybersecurity management

Hoe cyberbeveiliging kleine en middelgrote ondernemingen benaderen

Bij de Master in IT Risk & Cyber Security Management van Antwerp Management School merkten we dat kmo's worstelen om cyberbeveiligingsrisico's adequaat aan te pakken en een iets andere aanpak hanteren dan grote(re) organisaties. Daarom besloten we om de typische cyberbeveiligingsrisico's en -aanpak van kmo's van dichterbij te bekijken. Dit resulteerde niet alleen in uitgebreid onderzoek, maar ook in de ontwikkeling van het SMB Cybersecurity Canvas door Vincent van Dijk.

Yuri Bobbert, PhD

Strategie & Innovatie

Always verify

Vertrouw nooit en controleer altijd - het toenemende aantal cyberbedreigingen en -risico's

De toenemende digitalisering van de wereld waarin we leven en werken, heeft geleid tot een toenemend aantal cyberbedreigingen en IT-risico's. De afgelopen jaren hebben we een enorme toename gezien in het aantal, de intensiteit en de geavanceerdheid van de aanvallen. Maar het is niet allemaal kommer en kwel. Met de juiste technische oplossingen zoals firewalls, antivirusprogramma's, back-ups en een no-trusthouding kunnen bedrijven zich beter verdedigen.

Yuri Bobbert, PhD

Buds and fails

Waarom FUD faalt en BAD zegeviert in digitale beveiliging

Veel cybersecurityspecialisten of verkopers van beveiligingssoftware willen mensen ervan overtuigen om te handelen of bepaalde producten te kopen door ze bang te maken met uitspraken als: "als je dit niet doet (of koopt), word je gehackt." Helaas is deze manier van communiceren nog steeds een veelgebruikte aanpak in de informatiebeveiliging om de boodschap over te brengen of mensen te motiveren om hun producten of service te "kopen". Wij noemen dit de FUD-benadering. FUD staat voor Angst, Onzekerheid en Twijfel en werd eind jaren tachtig geïntroduceerd. Vanaf 1991 werd de uitdrukking modieus voor elke vorm van desinformatie die tegen de concurrentie werd gebruikt. FUD is een eenvoudige maar effectieve strategie die het publiek voorziet van negatieve, valse of onechte informatie om hun gedrag en beslissingen te beïnvloeden. FUD is zo effectief omdat negatieve gebeurtenissen een grotere impact hebben op onze hersenen en bijbehorende attitudes dan positieve. In de psychologie wordt dit negatieve bias genoemd. Negatieve vooringenomenheid kan een effect hebben op zowel je gedrag als je beslissingen. Dit is ook de reden waarom het nieuws vaak negatief nieuws verspreidt, omdat negatief nieuws meer aandacht trekt en dus verkoopt. Hoewel dit op de korte termijn effectief kan zijn om dingen gedaan te krijgen, zal dit op de lange termijn geen erg succesvolle aanpak zijn. In deze blog leg ik je graag uit waarom.

Yuri Bobbert, PhD

The evolving role of the CISO in the public sector

De veranderende rol van de CISO in de publieke sector

In de afgelopen jaren heeft de rol van de Chief Information Security Officer (CISO) haar intreden gedaan in gemeenteland. Gemeenten die willen voldoen aan de Baseline Informatiebeveiliging Overheid hebben zo’n CISO hard nodig. 50% van de vacatureaanvragen op LinkedIn zijn voor gemeenten. Deze rol van de CISO is echter de afgelopen jaren drastisch veranderd. Uit de recente cijfers blijkt dat niet minder dan 22% van het IT-budget wordt gespendeerd aan cybersecurity en informatiebeveiliging. Onze eigen ervaring leert ons dat een dialoog met C-level leidinggevenden tegenwoordig wordt gedomineerd door de vragen: Doen we de juiste dingen op het gebied van cyberveiligheid, en doen we deze dingen juist? Hoe meten en controleren we ons rendement op investeringen in beveiliging (Return on Security Investment - ROSI)? En waar krijgen we de meeste waar voor ons geld?

Yuri Bobbert, PhD

Security assurance 1

Strategische benaderingen voor de beveiliging van digitale platformen

Het is tegenwoordig onmogelijk om je een organisatie voor te stellen zonder technologie. Steeds meer industrieën worden 'smarter' en meer tech-gedreven. We leven in de tijd van een 'platform society'. Zo is bijvoorbeeld Coursera nu het meest prominente online opleidingsbedrijf ter wereld. Het werkt samen met ruim 200 toonaangevende universiteiten en bedrijven. Platforms worden steeds krachtiger en richten zich op het verzamelen van steeds meer data om diensten te kunnen cross- of upsellen. Dit kan gaan van kleine individuele tech-initiatieven tot complete bedrijfsmodellen waarin toeleveringsketens vervlochten zijn met platformgebaseerde bedrijfsmodellen. Er worden steeds nieuwe manieren van werken geïntroduceerd, zoals Agile en DevOps, wat leidt tot opportuniteiten, maar ook tot onbekende risico's.

Yuri Bobbert, PhD

Banner Cyber Security Architecture 1

Haal het meeste uit je beveiliging

De afgelopen zeven jaar is onze rol als Chief Information Security Officer (CISO) drastisch veranderd. Volgens onze Microsoft Outlook Analytics-client is meer dan vijftig procent van onze e-mail spam van cyberbeveiligingsleveranciers, die onze aandacht proberen te trekken door angst, onzekerheid en twijfel (FUD) te verkopen. In de afgelopen tien jaar hebben we deze industrie zien exploderen met zelfbenoemde "cyberpro's" en vage leveranciers in het cyberdomein. Komt dit omdat strategiebureaus als IDC, Gartner en Forrester voorspellen dat de uitgaven aan beveiliging blijven stijgen? Of is het omdat de cyberconsument gewoon de kudde volgt? De laatste cijfers geven aan dat een verbazingwekkende 22% van het IT-budget wordt toegewezen aan cyber- en informatiebeveiliging. Onze eigen ervaring is dat dialogen met C-level executives tegenwoordig vragen: Doen we de juiste dingen en doen we deze dingen goed? Hoe meten en controleren we het rendement van onze beveiligingsinvesteringen (ROSI)? En waar krijgen we de grootste 'bang for the buck'? Het is een dialoog waaraan maar heel weinig leveranciers actief deelnemen in hun interactie met hun CISO-klanten.

Yuri Bobbert, PhD

Digitale markt citroenen 1

Is digitale beveiliging een markt voor citroenen?

Hoewel informatiebeveiliging al een lange geschiedenis heeft, was het tot eind 2010 niet echt top of mind voor het senior management, de raad van bestuur of andere werknemers. Een "security professional" werd een echte baan en sindsdien is de vraag op de markt gegroeid. Het bewustzijn over beveiligingsrisico's nam aanzienlijk toe. De drijvende krachten hierachter waren grote beveiligingsinbreuken zoals Snowden, NotPetja en WannaCry die de wereld schokten, maar ook regelgevende instanties die van bedrijven eisen dat ze hun kritieke activa beschermen, inclusief niet-tastbare activa zoals gegevens. Als gevolg hiervan kunnen we nu stellen dat digitale beveiliging nu wel standaard de aandacht van de bestuursraden heeft.

Yuri Bobbert, PhD

Archetypes CISO

Welk van deze 4 CISO-archetypes past bij jou?

Waarom worden CISO's zo weinig vastgehouden in bedrijven en vertrekken ze na 1-2 jaar? Komt dit doordat recruiters en HR-professionals het moeilijk vinden om te ontdekken wat er werkelijk nodig is en functieprofielen met exact dezelfde vereisten "kopiëren", in plaats van te kijken naar de werkelijke behoeftes binnen de organisatie? M&A-strategie, familiebedrijf, schaalvergrotingsfase, consolidatie, voorbereiding van de verkoop van het bedrijf, culturele verschillen, enz. De CISO-rol is een embryonale rol vergeleken met de CFO, en niet honderd procent duidelijk over de exacte verwachtingen.

Yuri Bobbert, PhD

Digital risks 1

Digitale risico's voor bedrijven, wat kosten ze?

Zakelijke informatiebeveiliging analyseren voor een use case van gegevensinbreuk; In een digitale bedrijfswereld die sterk gedistribueerd is via een ecosysteem, is het van vitaal belang om jouw digitale zekerheid te garanderen. Alles moet continu werken. Vertrouwelijkheid, integriteit en auditeerbaarheid moeten worden gewaarborgd, vooral wanneer jouw bedrijf gereguleerd is en moet aantonen "in control" te zijn. Maar hoe doen we dat als bedrijfsmodellen onder vuur liggen door hackers? Hackers gebruiken sterk geautomatiseerde aanvalsmethoden en werken ook in een gedistribueerd ontwijkend platformmodel dat hun identiteit en criminele organisatie verhult. Daarom vormen hackers een bedreiging voor je bedrijf. Variërend van door de staat gesponsorde hackers tot scriptkiddies die allemaal geavanceerde manieren vinden om op het voorportaal van je bedrijf te hameren. Voor jou betekent een IP-adres je API-winkel of kritisch bedrijfsproces; voor een hacker is het gewoon een aanval met een IP-nummer, zonder zich zorgen te maken en zonder de gevolgen te kennen.

Yuri Bobbert, PhD

Roles information security

Toekomstige functies in informatiebeveiliging

We willen ons veilig voelen in deze dappere (en enge) nieuwe wereld die we aan het creëren zijn van machines, robots en kunstmatige intelligentie. Technologische en politieke trends zullen ons beroep zeker beïnvloeden. Deze nieuwe wereld vraagt om nieuwe banen met nieuwe vaardigheden om de toekomstige uitdagingen aan te gaan. Niet alleen de rol van CEO en CFO zal veranderen door de technologische dominantie in het bedrijfsleven, ook de rol van de beveiligingsmedewerkers en risico- en beveiligingsleiders zal veranderen. Zukin et all (2018) stellen: "Er is een bredere set vaardigheden nodig, waaronder communicatie, verandermanagement en leiderschap, om snel en gezamenlijk te kunnen reageren op veranderende cyberbedreigingen" (1).

Yuri Bobbert, PhD

Yuri bobbert

Hoe houd je je bedrijf veilig in een digitale wereld?

In onze samenleving zijn steeds meer apparaten verbonden met het internet. Deze zogenaamde Internet of things (IoT) apparaten zijn overal en meestal uitgerust met software. Analyse van de hoofdoorzaken van cyberaanvallen onthullen slecht gecodeerde software in deze apparaten. En ja, hackers gebruiken kwetsbare software om deze apparaten te misbruiken voor hacks of aanvallen die ernstige gevolgen hebben voor organisaties en de samenleving.

Yuri Bobbert, PhD