blog

Certificeringen

jan-karel

4 min read
Certificeringen
Photo by Lewis Keegan / Unsplash

Er zijn twee soorten mensen in cybersecurity, met of zonder certificeringen, of:

  1. mensen die graag structuur hebben, en
  2. mensen die zeggen dat ze graag “flexibel” zijn, maar eigenlijk bedoelen: “ik heb geen idee wat er precies in ons netwerk gebeurt, maar ik ben wél heel druk.”

Certificaten zitten ongemakkelijk tussen die twee kampen in. Ze worden door sommigen gezien als heilige graal (“Zonder CISSP ben je basically een wandelende helpdesk”) en door anderen als een soort dure stickerverzameling (“Ik heb een badge, dus ik ben veilig!”). Beide kampen hebben op hun eigen manier gelijk, en dat is meteen het probleem: cybersecurity is een vakgebied waar we dol zijn op symbolen, terwijl de realiteit vooral bestaat uit mensen die per ongeluk admin-rechten uitdelen alsof het pepermuntjes zijn.

Maar als je het goed aanpakt, zijn de juiste certificaten – en let op dat woord “juiste”, want er bestaan ook certificaten die ongeveer dezelfde waarde hebben als een diploma “gevorderd veters strikken” – een uitstekend idee. Niet omdat een certificaat je organisatie direct veiliger maakt, maar omdat het iets veel zeldzamers kan afdwingen: volwassen gedrag.

1) Certificaten zijn geen magie; ze zijn een meetlat

Cybersecurity-volwassenheid is in veel organisaties een gevoel. Een vibe. Een soort aura.
“Volgens mij doen we het best goed.”
Dat is geen volwassenheid. Dat is hoop met een laptop.

Volwassenheid betekent dat je kunt aantonen:

  • wat je risico’s zijn,
  • welke beheersmaatregelen je hebt,
  • hoe je meet of ze werken,
  • en wat je doet als ze niet werken.

En daar zijn certificeringen, vooral op organisatie-niveau (denk aan ISO 27001, SOC 2, NEN-varianten, etc.), stiekem handig voor: ze dwingen je om vage praat om te zetten in iets toetsbaars. Niet omdat auditors moreel superieur zijn, maar omdat auditors de zeldzame eigenschap hebben dat ze blijven doorvragen wanneer jij “ongeveer” zegt.

Een certificering is in de kern een externe versie van:
“Laat maar zien dan.”

2) Het voorkomt de “heldencultuur” (de minst schaalbare securitystrategie ooit)

Zonder structuur krijg je cyberveiligheid op basis van supersterren: één of twee mensen die alles weten, alles fixen, alles onthouden. Dat voelt even fantastisch, totdat die mensen vakantie nemen, ziek worden, vertrekken, of gewoon op een dag besluiten dat ze niet langer de menselijke ducttape van het bedrijf willen zijn.

Certificeringen dwingen processen af: documentatie, verantwoordelijkheden, herhaalbaarheid. Klinkt saai. Is ook saai. Maar volwassenheid is saai. Volwassenheid is letterlijk de vaardigheid om niet elke maand verrast te worden door dezelfde brand.

Met certificeringen krijg je:

  • rollen en eigenaarschap (wie is waarvoor verantwoordelijk?)
  • standaardisering (wat is “goed genoeg”?)
  • continu verbeteren (niet alleen fixen, maar leren)

En dat is een volwassenheidsmotor. Niet sexy. Wel effectief.

3) “De juiste” certificaten creëren een gedeelde taal

Cybersecurity is een Babylonische spraakverwarring. De techneuten praten in kwetsbaarheden, CVE’s, configuraties en logs. Management praat in risico, impact, kosten en reputatie. Juristen praten in verplichtingen. Sales praat in “kunnen we dit beloven aan de klant?”

Het gevolg: iedereen zegt “veilig”, maar bedoelt iets anders.

Certificeringen – zowel individuele (bijv. CISSP, CISM, OSCP, GIAC, CCSP) als organisatorische – bieden een soort woordenboek. Een raamwerk. Niet perfect, maar beter dan “we doen onze best”.

Als een security lead zegt: “We zijn op maturity level X voor incident response,” of “we voldoen aan die controlset,” dan is dat tenminste een zin met betekenis. Het is alsof je ineens meeteenheden krijgt in een wereld die tot dan toe alleen “ongeveer” kende.

4) Certificaten reduceren risico op toneelstukjes

Er is een populaire cybersecurity-illusie die ik “de PowerPoint-defensie” noem. Je hebt beleid. Je hebt posters. Je hebt een awareness-video met een acteur die verdacht enthousiast “phishing” zegt. En iedereen klapt.
Maar als je vraagt: “Oké, hoe snel patchen jullie kritieke kwetsbaarheden?” dan hoor je een stilte die je kunt inlijsten.

Certificeringen, mits serieus uitgevoerd, prikken door toneelstukjes heen. Ze vragen bewijs. Niet: “heb je een beleid?” maar: “wordt het gevolgd?” Niet: “heb je een incident response plan?” maar: “heb je geoefend en verbeterd?” Niet: “heb je toegangbeheer?” maar: “kun je aantonen wie waar bij kan en waarom?”

Volwassenheid is namelijk niet het hebben van documenten. Volwassenheid is het hebben van gedrag dat standhoudt als niemand kijkt.

5) Individuele certificaten: handig, maar alleen als ze gekoppeld zijn aan praktijk

Laten we eerlijk zijn: sommige mensen halen certificaten zoals anderen marathons verzamelen. Ze rennen niet per se beter in het dagelijks leven, maar ze hebben wel indrukwekkende medailles.

De waarde van individuele certificaten zit niet in het papiertje, maar in:

  • gestructureerde leerroute (je mist minder blinde vlekken)
  • baseline aan kennis (je team kan op elkaar bouwen)
  • specialisatie (blue team, red team, cloud, GRC, privacy, etc.)
  • consistentie in aannames (je gebruikt dezelfde concepten)

Maar: als een organisatie certificaten gebruikt als substituut voor goed securitybeleid, krijg je een prachtig gediplomeerd team in een bedrijf dat nog steeds “Welkom123!” als Wi-Fi-wachtwoord heeft. Dat is geen volwassenheid, dat is tragikomedie.

Volwassenheid ontstaat wanneer certificering + praktijk + governance samenkomen.

6) Certificeringen versnellen vertrouwen (en maken discussies korter)

In volwassen organisaties is security niet alleen een intern ding; het is ook een handelingsvermogen naar buiten:

  • klanten vragen om assurance,
  • partners willen weten hoe je met data omgaat,
  • toezichthouders verwachten aantoonbaarheid,
  • verzekeraars kijken naar je maatregelen.

Een erkend certificaat kan dan dienen als snelkoppeling: niet “vertrouw ons”, maar “hier is onafhankelijke toetsing tegen een bekende standaard”. Het is niet onfeilbaar, maar het is efficiënter dan elke maand een nieuwe klant die dezelfde 180 vragen stelt over je wachtwoordbeleid.

En ja, het is ook marketing. Maar marketing is niet per definitie slecht, zolang het geen leugen is. Volwassenheid is: zorgen dat het waar is.

Haatmail mag naar het gebruikelijke adres.