Er is een hardnekkig misverstand in het Nederlandse bedrijfsleven dat ongeveer zo logisch is als de aanname dat je tandarts ook wel even je hartoperatie kan doen. Beide dragen witte jassen, toch? Allebei hebben ze met het menselijk lichaam te maken. En ze hebben allebei een wachtkamer met tijdschriften uit 2019.
Het misverstand is dit: "We hebben een IT-afdeling, dus onze beveiliging is geregeld."
Dit is — en ik zeg dit met alle respect voor de hardwerkende IT-professionals van Nederland — volstrekte onzin.
Het fundamentele probleem
Je IT-afdeling houdt de boel draaiende. Ze zorgen dat je kunt printen (meestal), dat je e-mail werkt (bijna altijd), en dat die ene collega die nog steeds Internet Explorer gebruikt niet het hele netwerk platlegt (dagelijkse strijd).
Beveiliging is iets fundamenteel anders. Beveiliging gaat niet over draaien, maar over beschermen. Het verschil is als dat tussen een conciërge en een beveiliger. De conciërge zorgt dat de verwarming werkt. De beveiliger zorgt dat niemand de verwarming steelt.
En toch verwachten we dat dezelfde persoon beide rollen vervult. Sterker nog: we geven die persoon daar precies nul extra uren en nul extra budget voor.
De belangenconflicten
Hier wordt het echt interessant. IT en security hebben fundamenteel tegengestelde belangen:
- IT wil dat alles werkt. Security wil dat sommige dingen juist niet werken — zoals die USB-poort waar Jan van Administratie zijn privé-stick in steekt.
- IT wil snel kunnen reageren. Security wil dat je eerst nadenkt, dan test, dan nog een keer nadenkt, en dan misschien — misschien — iets doet.
- IT wordt beoordeeld op uptime. Security wordt beoordeeld op... ja, op wat eigenlijk? Op het feit dat er níks is gebeurd? Probeer die KPI maar eens in je jaarverslag te zetten.
Het is alsof je de gasinstallateur vraagt om tegelijk de brandweer te zijn. "Hé Piet, je hebt net die gasleiding aangelegd — kun je ook even controleren of hij niet ontploft?"
Wat ik in de praktijk zie
In mijn werk als pentester kom ik regelmatig situaties tegen die me doen twijfelen aan de collectieve wijsheid van het bedrijfsleven. Een greep:
- De systeembeheerder die ook "even" CISO is, maar niet weet wat OWASP staat voor. (Open Web Application Security Project, voor de meelezers.)
- De IT-manager die het security-budget heeft gebruikt om nieuwe monitors te kopen. "Ja, maar grotere schermen zijn ook veiliger — je ziet meer."
- Het bedrijf waar de enige security-maatregel bestond uit een post-it op de monitor van de receptionist: "Geen vreemde USB-sticks!"
En het ergste is: deze mensen doen hun best. Ze hebben alleen een onmogelijke taak gekregen zonder de middelen om die uit te voeren.
De oplossing is niet raketwetenschap
Je hoeft geen leger van security-experts in te huren. Maar je moet wél erkennen dat beveiliging een apart vakgebied is dat aparte aandacht verdient. Een paar praktische stappen:
- Scheid de rollen. Zelfs als dezelfde persoon beide doet, maak er aparte verantwoordelijkheden van met apart budget en aparte doelen.
- Laat je testen. Een security-assessment laat zien waar je écht staat — niet waar je IT-afdeling denkt dat je staat.
- Investeer in kennis. Stuur je IT-mensen op security-training. Het is goedkoper dan een datalek.
- Huur extern in waar nodig. Een externe pentest brengt frisse ogen en specialistische kennis.
De moraal van het verhaal
Je IT-afdeling is geweldig. Ze houden je digitale wereld draaiende en verdienen elke cent van hun salaris (en waarschijnlijk meer). Maar verwachten dat ze ook nog eens je hele organisatie beveiligen tegen georganiseerde cybercriminelen, dat is alsof je je loodgieter vraagt om even de bedrading te doen.
Ja, het zit allebei in de muur. Nee, het is niet hetzelfde vak.
En als je daar nog steeds niet van overtuigd bent: de gemiddelde kosten van een datalek in Nederland bedragen €4,35 miljoen. De gemiddelde kosten van een externe security-audit? Een fractie daarvan.
Soms is de goedkoopste oplossing gewoon de juiste expert inhuren. Zoals bij tandartsen en hartchirurgen. Vraag het maar aan je tanden.