Advies

Advies
Photo by Headway / Unsplash

Er is een geruststellende gedachte die organisaties koesteren zoals mensen een deken koesteren in een koud huis met enkel glas: dat je cybersecurity “op orde” kunt hebben. Op orde, alsof het een kast is. Alsof je er een keer stevig doorheen gaat, een label plakt op de plank (“Toegangsbeheer”), en vervolgens rustig kunt leven in de wetenschap dat kwaadwillenden respect hebben voor labels.

En daar begint het misverstand. Cybersecurity is geen kast. Het is een keuken. Het wordt vet. Er valt iets op de grond. Iemand raakt iets aan met plakkerige vingers. Iemand zet de pan op het vuur en loopt weg omdat er “even snel” een meeting is. En ondertussen verandert de wereld: cloud, SaaS, supply chain, AI, en een eindeloze stoet nieuwe manieren om “even snel” een ramp te organiseren.

Wat organisaties vaak proberen, is veiligheid te reduceren tot iets dat netjes te beheren is: een Excel-sheet, een certificaat, een jaarlijkse pentest, een risico-register, een rapport met kleurcodes. Dat voelt volwassen. Het ziet er volwassen uit. Het is ook een deel van volwassenheid. Maar het is niet de kern.

De kern is dit: cybersecurity is geen bewijsstuk. Het is gedrag. Herhaald gedrag. In een wereld die niet stil blijft staan.

Best practices: saai, onromantisch, en daarom effectief

Common best practices zijn de vezels en tandenborstels van cybersecurity. Niemand post er trots een selfie mee, maar je merkt het onmiddellijk wanneer ze ontbreken.

Patchen. MFA. Least privilege. Logging. Back-ups (en hersteltesten, want anders zijn back-ups een vorm van poëzie). Segmentatie. Assetbeheer. Awareness. Het zijn geen “trucs”. Het zijn vangrails voor menselijk gedrag. Want mensen klikken, hergebruiken wachtwoorden en geloven dat “tijdelijk” een natuurwet is.

Best practices werken omdat aanvallen zelden kunstzinnig zijn. Ze zijn industrieel. Fastfoodcriminaliteit. De aanvaller zoekt de deur die open staat. En als je denkt dat jij geen open deuren hebt, dan heb je óf een zeldzaam goed beveiligd bedrijf óf een zeldzaam slecht overzicht.

Certificaten: niet als medailles, maar als meetlatten

Dan komen de certificaten. Sommige organisaties verzamelen certificaten zoals sommige mensen magneten verzamelen op vakantie: niet omdat ze iets doen, maar omdat ze bestaan en leuk staan op de koelkast.

Maar de juiste certificaten — en vooral de juiste manier om ze te gebruiken — zijn minder “bewijs dat we veilig zijn” en meer: “bewijs dat we volwassen genoeg zijn om onszelf te organiseren.”

Een certificering dwingt taal af waar anders vage hoop regeert. Het dwingt eigenaarschap. Het dwingt herhaalbaarheid. Het dwingt dat je niet alleen zegt “we hebben een proces”, maar ook kunt laten zien dat het proces iets oplevert. Het maakt discussies korter, omdat “vertrouw ons” verandert in “we zijn extern getoetst op een herkenbare standaard.”

Maar let op: een certificaat is geen schild. Het is een afspraak met jezelf dat je het werk blijft doen.

Risicomanagement versus kwetsbaarhedenmanagement: paraplu of regen?

Risicomanagement is nuttig. Je hebt het nodig om keuzes te maken. Maar risicomanagement heeft een gevaarlijke superkracht: je kunt er maanden mee bezig zijn zonder dat er ook maar één systeem daadwerkelijk veiliger wordt.

Kwetsbaarhedenmanagement daarentegen is onromantisch direct. Het zegt: “Deze versie is stuk. Dit staat open. Dit is exploitbaar. Fix het.” Het is minder filosofie en meer loodgieterij. En in cybersecurity is loodgieterij vaak wat je nodig hebt, want de ellende komt meestal niet door een exotische APT met een symfonisch plan, maar door een lek dat al maanden bekend is en nog steeds op internet staat te glimlachen.

Volwassen organisaties doen beide. Maar als je moet kiezen wat je sneller, concreter en meetbaarder risicoreductie oplevert, is kwetsbaarhedenmanagement vaak de paraplu — en risicomanagement de PowerPoint over regen.

De penetratietest: geen auditvinkje, maar een reality check

En dan is er de penetratietest, die in sommige bedrijven wordt behandeld als een soort jaarlijkse tandartsafspraak waar je vooral heen gaat om te kunnen zeggen dat je bent geweest.

Een audit vraagt: “Heb je een slot?”
Een pentest vraagt: “Kan ik via het raam naar binnen terwijl je slot glimt in de zon?”

Een pentest is meer dan een lijstje kwetsbaarheden. Een goede pentest vertelt een verhaal: aanvalsketens, aannames die niet kloppen, configuraties die “ooit tijdelijk” waren, en de organisatie-reflex wanneer iets verdachts gebeurt. Want security is niet alleen preventie; het is ook detectie en reactie. Een pentest kan genadeloos eerlijk zijn: niet alleen over je techniek, maar over je volwassenheid.

Maar alleen als je er iets mee doet. Zonder hertest en verbetercyclus is een pentest een duur rapport dat je in een map zet om later te bewijzen dat je ooit bang genoeg was om te kijken.

ISO 27001: geen certificaat, een houding — en houdingen hebben spieren nodig

Hier komt de overkoepelende conclusie waar alles samenkomt: ISO 27001 is geen certificaat, het is een houding. En een houding is niets waard zonder organisatie.

De wereld verandert. Je omgeving verandert. Je leveranciers veranderen. Je aanvallers veranderen. Als jouw controls niet mee veranderen, dan zijn ze geen controls meer; dan zijn ze museumstukken. Prachtig gedocumenteerd, historisch interessant, totaal nutteloos tijdens een incident.

ISO 27001 is op zijn best wanneer het een ritme afdwingt: plannen, uitvoeren, toetsen, bijstellen. Geen “we hebben beleid”, maar “we meten effectiviteit”. Geen “status groen”, maar “bewijs”. En vooral: eigenaarschap. Want de grootste kwetsbaarheid in veel organisaties is niet een CVE. Het is “niemand is eigenaar”.

OWASP SAMM: de vertaler tussen governance en echte software

En omdat de meeste moderne risico’s via software binnenkomen — applicaties, CI/CD, dependencies, cloudconfiguraties, identiteiten — heb je iets nodig dat ISO’s managementtaal vertaalt naar engineeringgedrag.

Daar komt OWASP SAMM om de hoek: niet als extra papier, maar als volwassenheidskaart voor hoe je software bouwt. Het helpt je van “we willen secure SDLC” naar “dit doen we in design, build, test en release, op dit niveau, met deze bewijzen, en dit is onze volgende stap.”

ISO geeft je het stuur. SAMM helpt je de motor te bouwen. Zonder SAMM krijg je vaak governance die netjes is, maar geen grip in de fabriek waar het risico wordt geproduceerd.

Specialisten: omdat “Gekke Visser” geen natuurwet is

En dan het menselijk onderdeel: rollen. Want zelfs met best practices, certificaten, ISO-houding, SAMM en pentests kun je nog steeds ten onder gaan aan één organisatorische fantasie: dat één generalistische security officer alles kan.

Je hebt generalisten nodig voor governance, risico, compliance, prioritering, taal tussen afdelingen. Maar je hebt specialisten nodig om de realiteit te beheersen:

  • een Technical Security Officer die beleid vertaalt naar architectuur, configuraties, IAM, logging, cloud-controls, hardening — en kan bewijzen dat het werkt;
  • een Offensive Security Officer die je aannames aanvalt voordat echte aanvallers het doen, aanvalspaden zichtbaar maakt en je detectie/response volwassen maakt.

Dit is geen luxe. Dit is een reactie op complexiteit. Aanvallers zijn gespecialiseerd. Technologie is gespecialiseerd. Als jouw verdediging alleen generalistisch is, dan is je strategie: hopen dat de aanvaller ook een drukke agenda heeft.

Aan het denken gezet? Ik pleeg graag op uurtje-factuurtje basis advies.