Cybersecurity domineert het nieuws: datalekken, ransomware, strengere wetgeving. Bestuurders willen vooral weten: zijn we voldoende beschermd?
Een onafhankelijk cybersecurity-assessment geeft dat antwoord. Hoe werkt zo’n assessment en waarom is het cruciaal voor risicobeheersing?
We vroegen het aan Tim Timmermans, CISO bij ON2IT. Hij legt het proces uit en laat zien welke strategische waarde een assessment oplevert.
Laten we bij het begin beginnen: waarom zijn cybersecurity assessments relevant? Wat is hun doel?
“Het draait in de kern om mensen en processen op één lijn krijgen,” zegt Timmermans. “Veel organisaties starten met allerlei security-initiatieven, maar zonder duidelijke strategie of zonder de volledige bedrijfscontext mee te nemen. Daardoor werken security en business vaak langs elkaar heen.”
Een goede cybersecurity assessment brengt daar verandering in. Het maakt duidelijk waar je als organisatie naartoe wilt – en hoe cybersecurity dat doel ondersteunt.
“Daarnaast zorgt het voor afstemming op alle niveaus,” legt Tim uit. “Er moeten meerdere disciplines en organisatielagen bij worden betrokken, zoals C-level executives, architecten en experts. Door verschillende functies en afdelingen op één lijn te krijgen, bouw je wederzijds begrip op en doorbreek je barrières op het gebied van communicatie en besluitvorming.”
Hoe gaat een ON2IT assessment in z’n werk?
“Onze assessments zijn interactief en draaien om samenwerking,” zegt Tim. “We gebruiken een gestructureerde aanpak waarbij deelnemers samen stellingen beoordelen. Zo brengen we in kaart hoe volwassen een organisatie is op gebieden als governance, compliance, architectuur en incident response.”
“Door mensen uit verschillende lagen van de organisatie bij elkaar te brengen, zie je meteen waar men het over eens is — en waar juist niet. Die verschillen bespreken we direct.”
Waar veel assessments focussen op losse onderdelen, integreert ON2IT strategie, architectuur en techniek. “We baseren alles op Zero Trust-principes. Zo kunnen we niet alleen gaps blootleggen, maar ook een concrete roadmap bieden die past bij de organisatie.”
Dit proces gaat verder dan de assessment zelf. “Na afloop volgt een workshop. Daar zoomen we in op een paar kritieke bedrijfsmiddelen,” zegt Tim. “Het helpt teams de Zero Trust-aanpak echt te doorgronden en ermee aan de slag te gaan.”
Wat maakt deze assessment anders?
“Ten eerste,” begint Tim, “gaan onze assessments verder dan alleen vinkjes zetten. We voeren gesprekken die écht tot inzichten leiden. Veel deelnemers zijn verrast door de nieuwe perspectieven en samenwerkingen die ontstaan.”
Tim vervolgt, “Waar mogelijk voeren we de assessment op locatie uit, maar online kan ook. We betrekken mensen uit alle hoeken van de organisatie – strategische leiders zoals CIO’s en CISO’s, leidinggevend personeel, operationele experts en zelfs bestuursleden.”
Ten tweede richt ON2IT zich op het verbeteren van cybersecurity vanuit een Zero Trust-perspectief. ”Het is geen tool, maar een strategie. We passen het al jaren wereldwijd toe, bij organisatiesvan alle soorten en maten.”
“Mensen bekijken cybersecurity vanuit hun eigen perspectief,” legt hij uit. “Door dat te verbreden ontstaat er een totaalplaatje. Voor velen is dat echt een eyeopener.” Het samenbrengen van verschillende belanghebbenden creert nieuwe mogelijkheden voor samenwerking. “We helpen mensen hun werk te koppelen aan de bredere doelen van de organisatie. Zo ontstaat er draagvlak en eigenaarschap.”
Verwachtingen over Zero Trust verschillen sterk. “Iedereen ziet het anders,” zegt Tim. “Daarom investeren we vooraf tijd om de doelstellingen te verduidelijken en te definieren wat ‘Zero Trust’ eigenlijk betekent in de context van hun organisatie. Als die basis eenmaal is gelegd, zijn deelnemers vaak verrast over hoe snel het proces vordert.”
Het betrekken van alle lagen van de organisatie is een andere belangrijke onderscheidende factor. “Zero Trust werkt alleen als iedereen dezelfde kant op kijkt. Het mag niet blijven hangen in IT. Security is een gezamenlijke verantwoordelijkheid,” benadrukt Tim.
“Sommige mensen zullen zeggen: ‘Ik zou elke dag wel een audit of assessment kunnen doen – heb ik er echt nóg een nodig?’” Tim begrijpt deze frustratie. “Deze assessment gaat over vooruitgang en het samenbrengen van praktijkmensen uit het bedrijf om de moeren en bouten te bespreken.”
Een belangrijk onderdeel is het bepalen van je ‘protect surfaces’ – oftewel: je kroonjuwelen. “Samen met de betrokkenen bepalen we welke maatregelen nodig zijn. Zo begint de implementatie al tijdens het assessment.” Een praktisch voordeel van de assessment is het in kaart brengen van de compliance. “De Zero Trust maatregelen die wij aanbevelen sluiten aan op ruim 170 compliance frameworks. Daardoor kun je risico-gedreven werken in plaats van te jagen op losse vinkjes. Veel deelnemers zijn verrast hoe efficiënt dat werkt.”
Wat hebben we geleerd uit eerdere assessments?
Met zijn jarenlange ervaring en meer dan 100 uitgevoerde assessments heeft Tim inmiddels veel waardevolle lessen geleerd als het gaat om cybersecurity assessments.
“Wat we zien: cybersecurity raakt de hele organisatie. Daarom blijven we herhalen dat het belangrijk is om iedereen mee te krijgen. Vooral het C-level ‘aan jouw kant’ hebben helpt bij de verbinding tussen business en security.”
Een ander belangrijk punt om te onthouden is dat geen enkele organisatie bij nul hoeft te beginnen. Vaak zijn er al kaders of initiatieven. Die zijn waardevol, maar kunnen ook verwarrend zijn. “Het idee om vanaf nul te beginnen, vooral als er al een soort systeem bestaat, kan ontmoedigend zijn. “Wat helpt? Realiseren dat je vaak al stappen hebt gezet richting Zero Trust – bewust of onbewust. Dat vormt een goed startpunt voor verbetering.”
Het is niet realistisch om de hele onderneming in één keer op de schop te nemen. “Begin klein,” raadt Tim aan. “Pak een paar onderdelen van je infrastructuur. Je zult zien dat gerichte verbeteringen al snel impact maken.”
“Uiteindelijk,” benadrukt Tim, “willen we ons richten op de praktische kant van de zaak. Implementatie is de sleutel: begin klein, itereer en verbeter gaandeweg. Blijf vooruitgang boeken.”
Tot slot
Een cybersecurity assessment moet méér zijn dan een verplicht nummertje.Met de juiste aanpak kun je echte vooruitgang boeken en structureel verbeteren.
Zoals Tim het zegt: “Cybersecurity assessments gaan om het leggen van een stevig fundament voor blijvende verbetering.” Maar let op: het zijn momentopnames. “IT, risico’s en organisaties veranderen continu. Assessments helpen je mee te bewegen en wendbaar te blijven.”
