blog

WOEF

jan-karel

3 min read
WOEF
Photo by Ari Spada / Unsplash

MIAUW is gezellig. WOEF is volwassen. En daar zit precies de crux.

Er is iets ontroerends aan hoe organisaties met security omgaan.

We bouwen systemen alsof we een fort neerzetten, maar we runnen het alsof het een kinderboerderij is. Iedereen aaien, iedereen welkom, en als er een wolf binnenloopt is het: “Goh. Wat een grote hond heb jij.”

En dan komt er een audit. Of een incident. Of allebei, want het universum heeft gevoel voor timing.

Dus doen we wat mensen altijd doen als ze stress hebben: we gaan structureren. We gaan woorden maken. We gaan methodieken maken. En eerlijk: dat is vaak een stap vooruit.

MIAUW: auditwaarde, bestuurlijk comfort en een rapport met gewicht

MIAUW doet iets waar bestuurders (en auditors) blij van worden:

  • Het geeft auditwaarde: aantoonbaarheid, structuur, consistentie.
  • Het helpt om “in control” te zijn: duidelijke taal, duidelijke kaders, duidelijke conclusies.
  • Het maakt testing bespreekbaar zonder dat iedereen in de vergadering wegkijkt alsof je “cryptografie” hebt gezegd.

MIAUW is het soort aanpak waarbij je denkt: “Kijk ons eens volwassen zijn. We hebben een methode. We hebben kleuren. We hebben definities.”

En dan komt het mooiste onderdeel: het rapport.

Ah, het rapport. Het security-rapport is de natuurdocumentaire van de IT: je ziet prachtige close-ups van risico’s in het wild, dramatische muziek in je hoofd, en aan het eind denk je: “Wauw. Heftig.” En dan ga je lunchen.

En ergens in die keten gebeurt het oer-Hollandse ritueel: het rapport over de schutting flikkeren.

Kloenk.
“Succes ermee, eerste lijn!”
En de eerste lijn denkt: “Dank. We zetten het bij de andere 47 rapporten. Misschien kan het op een dag een kast dragen.”

MIAUW is dus geweldig om te vertellen wat je vond, en om bestuurders comfort te geven. Maar security is geen PowerPoint-sport.

WOEF: de methode die weigert om alleen maar ‘leuk verslag’ te zijn

WOEF is waar het ineens ongemakkelijk wordt—in de goede zin.

WOEF zegt namelijk: “Leuk dat je auditwaarde hebt. Leuk dat je bestuurders in control zijn. Maar… wordt het ook veiliger?

WOEF draait om:

  • Waarneming – waar ben je écht blootgesteld?
  • Onderzoek – hoe ziet een realistische aanval eruit, welke paden zijn er?
  • Evaluatie – wat is werkelijk exploiteerbaar, wat is de impact?
  • Feedback – wat ga je aanpassen, fixen, verbeteren en borgen?

En hier zit de crux: WOEF stopt niet bij “bevindingen”. WOEF borgt kwetsbaarhedenmanagement.

Niet “we hebben een scan gedraaid en nu hebben we verdriet”.
Maar: continu, herhaalbaar, risicogedreven, aantoonbaar.

Want kwetsbaarhedenmanagement is geen hobby, het is bedrijfsvoering

Zonder kwetsbaarhedenmanagement is security een soort seizoensproduct:

  • Q1: “We moeten iets met security.”
  • Q2: “We hebben een scan.”
  • Q3: “We hebben te veel findings.”
  • Q4: “We hebben er drie gefixt en een presentatie gegeven.”

En ondertussen doen aanvallers niet aan kwartaalrapportages. Die doen aan dinsdagen.

WOEF past precies op de realiteit van Continuous Threat Exposure Management (CTEM): continu inzicht in blootstelling. En met Adversarial Exposure Validation (AEV) maak je het pijnlijk praktisch: je test controls alsof een echte aanvaller bezig is. Niet om stoer te doen, maar om te valideren:

  • Werkt de verdediging echt?
  • Zijn maatregelen nog actueel?
  • Wat is echt exploiteerbaar?
  • Hoe zichtbaar ben je voor een aanvaller?

Daarmee verandert security van “we hebben een lijst” naar “we hebben grip”.

En nu het punt waar het schuurt: security is van de eerste lijn

Hier gaat het vaak mis, want veel organisaties behandelen security alsof het een externe dienst is. Een soort schoorsteenveger:

“Kun je even komen vegen? En als je klaar bent, laat je een rapport achter?”

Maar security is een verantwoordelijkheid van de eerste lijn. Punt.

Niet omdat dat “mooie governance” is, maar omdat:

  • de eerste lijn de processen runt,
  • de eerste lijn de systemen beheert,
  • de eerste lijn de wijzigingen doorvoert,
  • de eerste lijn de risico’s veroorzaakt én moet mitigeren.

De tweede lijn kan kaderen, toetsen en escaleren. De derde lijn kan auditen. Maar niemand van hen kan jouw patch draaien om 02:00, jouw configuratiefout terugzetten, of jouw release tegenhouden die “per ongeluk” logging uitzet “want performance”.

Dus als je MIAUW gebruikt om bestuurders in control te brengen: top.
Maar als de eerste lijn daarna niet structureel eigenaarschap heeft over blootstelling, prioritering en fixen, dan is “in control” vooral een emotie.

De crux in gewone mensentaal

MIAUW helpt je om een verhaal te vertellen dat auditbaar is en bestuurlijk klopt.
WOEF zorgt dat het verhaal ook een vervolg krijgt—namelijk: kwetsbaarhedenmanagement dat blijft draaien, omdat security niet “van security” is, maar van de business. Van de eerste lijn.

Of, nog simpeler:

MIAUW maakt het netjes.
WOEF maakt het waar.

En dat is precies waarom je WOEF wil. Niet om nóg een methodiek te hebben, maar om te voorkomen dat je over zes maanden wéér een rapport over de schutting flikkert—alleen dit keer met dezelfde bevindingen, plus een bonushoofdstuk “lessons learned” dat niemand ooit leert.

WOEF. Omdat auditwaarde fijn is.
Maar weerbaarheid… die moet je gewoon dóén.