blog

Gekke Visser

jan-karel

4 min read
Gekke Visser
Photo by Stijn Swinnen / Unsplash

Er is een zin die in veel organisaties rondzingt als een soort bezwering:
“Security is Gekke Visser.”

Gekke Visser is een prima hen/hun/zunnie. Gekke Visser is ook een mens. En het universum heeft één harde regel: als je één mens vraagt om alles in cybersecurity te zijn, dan eindig je met iemand die overal een beetje van weet, heel druk is, en uiteindelijk vooral bestaat uit agenda’s, beleidsteksten en de constante angst dat er iets brandt terwijl hij in een meeting zit over de kleur van het risicodashboard.

Dat is geen kritiek op Gekke Visser. Dat is wiskunde.

Cybersecurity is inmiddels zo breed dat “Security Officer” een beetje klinkt als “Medisch Persoon”. Ja, handig, maar wil je dat Medisch Persoon je openhartoperatie doet, je knie rehabiliteert én ondertussen ook de administratie van het ziekenhuis runt? Natuurlijk niet. Maar in IT zeggen we: “Het is toch allemaal computer?” en dan kijken we verbaasd als de patiënt overlijdt van een vergeten patch.

De realiteit is: generalistische security is noodzakelijk, maar niet voldoende. Je hebt specialisten nodig. Niet omdat specialisten per definitie slimmer zijn, maar omdat ze de diepte in gaan waar generalisten logischerwijs moeten stoppen.

De generalist bewaakt het systeem; de specialist begrijpt het gedrag

De klassieke security officer (of generalistische informatiebeveiligingsspecialist) is vaak sterk in het organiseren van veiligheid: beleid, processen, risico’s, awareness, audits, leveranciers, compliance, rapportages. Dat is belangrijk. Je kunt niet alleen maar hackers in hoodies loslaten op je netwerk en hopen dat governance vanzelf ontstaat.

Maar er is een grens aan wat je kunt besturen zonder technische diepte. Want veel securityproblemen zijn geen procesproblemen — ze zijn gedrag van systemen:

  • hoe identiteiten zich door cloud-omgevingen bewegen
  • hoe een misconfiguratie in één IAM-policy doorsijpelt naar alles
  • hoe een fout in CI/CD je hele supply chain openzet
  • hoe logging “aan” kan staan en toch niets vertelt
  • hoe één stukje legacy alles ondermijnt

Dit is geen Excel-wereld. Dit is een wereld waar één verkeerde instelling in een YAML-bestand je organisatie verandert in een digitaal open huis met gratis wifi.

Daarom heb je een Technical Security Officer nodig: iemand die niet alleen zegt wat veilig moet zijn, maar ook hoe dat technisch wordt afgedwongen, gemeten en verbeterd.

Security zonder technische tegenkracht wordt al snel theater

Het gevaar van alleen generalisten is dat security kan veranderen in decor. Heel nette documenten. Mooie slides. Groene vinkjes. En onder de motorkap: systemen die doen wat ze altijd deden.

Een Technical Security Officer is de persoon die de vraag stelt die niemand leuk vindt:

  • “Oké, maar waar staat dit precies aan?”
  • “Hoe weten we dat het werkt?”
  • “Kun je het aantonen?”
  • “Wat gebeurt er als iemand X probeert?”
  • “Waarom heeft dit service account admin op alles?”

Die rol voorkomt dat je “secure by policy” wordt in plaats van “secure by design”.

Offensive security: omdat je verdediging alleen volwassen wordt door aangevallen te worden

Dan is er de Offensive Security Officer. Dat is de persoon die in een organisatie de ongemakkelijke rol heeft van… reality checker. Niet de pessimist, maar de professional die zegt: “Leuk dat je denkt dat het veilig is. Zullen we dat even testen?”

Offensive security is essentieel om drie redenen:

A) Aanvallers lezen je beleid niet

Je kunt een perfect wachtwoordbeleid hebben. Aanvallers zoeken het systeem waar het beleid niet geldt. Dat ene legacy-paneel. Dat ene vergeten subdomein. Die ene SaaS-integratie met een token dat al twee jaar niet is geroteerd.

Offensive security vindt dat soort gaten, juist omdat ze kijken zoals een aanvaller kijkt: ketens, shortcuts, misbruik van aannames.

B) Het laat aanvalspaden zien, niet alleen losse issues

Generalistische security ziet vaak risico’s als categorieën. Offensive security laat zien hoe je van “klein probleem” naar “grote ramp” komt:

  • een zwak punt → foothold → credentials → laterale beweging → data → impact

Dat verhaal is goud waard. Niet voor drama, maar voor prioritering. Want het is moeilijk om te blijven discussiëren over “impact” wanneer iemand je live laat zien hoe ze binnen 45 minuten bij je kroonjuwelen staan.

C) Het maakt detectie en response beter

Een goede offensive rol werkt niet alleen “tegen” de organisatie, maar voor de verdediging. Zij helpen blue teams en operations door te tonen:

  • wat je logging mist
  • waar je monitoring te laat is
  • welke alerts ruis zijn
  • welke controles schijnveiligheid zijn

Offensive security is de sparringpartner die je defensie volwassen maakt.

Waarom één “Security Officer” dit niet kan combineren (zelfs als die briljant is)

Er is een romantisch idee dat een goede security officer zowel GRC, engineering, IAM, cloud, netwerk, incident response, pentesten, threat modeling en awareness kan doen. Dat idee is vergelijkbaar met het plan om één persoon de keuken, bediening, boekhouding én marketing van een restaurant te laten draaien.

Het kan. Even.
Daarna stort het in, met als bijvangst een burn-out en een ransomware-incident.

Specialisatie is geen luxe; het is een gevolg van complexiteit. Moderne omgevingen zijn hybride, cloud-first, API-heavy, met supply chains die langer zijn dan de gemiddelde treinreis. Je hebt mensen nodig die die complexiteit als dagelijkse taal spreken.

Hoe de rollen elkaar versterken (en waarom dat volwassenheid is)

De magie zit in de combinatie:

  • Generalistische security / Information Security Officer
    Richt governance in: risico’s, beleid, compliance, prioriteiten, budget, eigenaarschap.
  • Technical Security Officer
    Vertaalt beleid naar techniek: architectuur, hardening, IAM, logging, cloud controls, secure-by-design, toolkeuzes, implementatiekwaliteit.
  • Offensive Security Officer
    Test de realiteit: aanvalspaden, misbruikscenario’s, chaining, red teaming/pentests, feedback voor detectie en engineering.

Samen creëren ze een volwassen systeem:
strategie (waarom) + uitvoering (hoe) + toetsing (werkt het echt).

Zonder die driehoek krijg je:

  • óf veel papier en weinig veiligheid,
  • óf veel techniek zonder richting,
  • óf veel hacks zonder structurele verbetering.

De kern: cybersecurity is geen functie, het is een ecosysteem

Een volwassen organisatie begrijpt dat “security” niet één baan is, maar een netwerk van verantwoordelijkheden. De specialistische rollen zijn niet “extra”; ze zijn het bewijs dat je security serieus neemt als vak.

Want de aanvalskant is gespecialiseerd. De techniek is gespecialiseerd. De dreigingen zijn gespecialiseerd.
Als jouw verdediging bestaat uit één generalist met een risk register, dan is dat geen cybersecurity. Dat is een pim-pam-pet club.