Cybersecurity staat in vrijwel elke organisatie hoog op de agenda. Toch blijven veel bedrijven­ kwetsbaar, omdat informatiebeveiliging niet altijd diep in de bedrijfsvoering verankerd is. Vaak worden maatregelen pas achteraf getroffen, bijvoorbeeld bij incidenten of onder druk van nieuwe wet- en ­ regelgeving. Tegelijker­ tijd zien we dat organisaties die wél een proactieve, holistische aanpak­ hanteren, minder vaak ernstige ­ problemen ervaren. In dit artikel laten we zien waarom een ­ integrale visie op ­ cybersecurity zo belangrijk is, waar het in de praktijk vaak misgaat en hoe bedrijven hun­ veiligheidsniveau duurzaam kunnen verhogen.

Een sprekend voorbeeld van de risico’s van ad-hoc beveiliging is het datalek bij Equifax in 2017. Dit Amerikaanse kredietbureau verloor de persoonsgegevens van miljoenen klanten doordat een bekende softwarekwetsbaarheid niet tijdig werd verholpen. Hoewel er wel technologische ­ maatregelen aanwezig waren (firewalls, inbraakdetectiesystemen), bleek uit onderzoek dat patchbeheer en risico-analyse onvoldoende waren geïntegreerd in de bedrijfsprocessen. De organisatie wist niet precies waar de kwetsbare systemen draaiden en wie er verantwoordelijk voor was.

Het incident toonde aan dat een paar losse technische oplossingen geen garanties bieden wanneer er geen integraal beleid is. Het gebrek aan eigenaarschap, gebrekkige communicatie tussen afdelingen en onvoldoende inzicht in cruciale data droegen allemaal bij aan de impact van dit datalek. De kosten voor Equifax liepen in de honderden miljoenen dollars en de reputatieschade was enorm.

Holilstisch veiligheidsdenken

Een les uit dergelijke incidenten is dat beveiliging meer vraagt dan technische ‘oplossingen’ zoals antivirussoftware, firewalls of een eenmalige penetratietest. Natuurlijk zijn die technologieën nuttig, maar ze moeten worden ingebed in een systeem waarin mens, proces en beleid naadloos op elkaar zijn afgestemd.

  • Menselijke factor. Vele incidenten ontstaan door menselijke fouten: een onoplettende klik op een phishinglink, een verkeerde configuratie in de cloud of ongeautoriseerde toegang tot accounts. Bewustwording en continue training zijn daarom onmisbaar. Dat gaat verder dan een eenmalig bewustwordingsprogramma; het vraagt om een cultuur waarin medewerkers incidenten en bijna-incidenten durven te melden, zonder bang te zijn voor sancties.
  • Procesmatige borging. Veiligheid moet een terugkerend agendapunt zijn: van productontwikkeling en leveranciersselectie tot het dagelijks gebruik van systemen. Integreer bijvoorbeeld risicomanagement in verandertrajecten, zodat het niet iets is dat ‘achteraf’ moet worden geregeld.
  • Governance en eigenaarschap. Zonder duidelijke verantwoordelijken en heldere taakverdeling blijft cybersecurity vaak hangen in goede voornemens. Benoem daarom een CISO of beveiligingsverantwoordelijke met een duidelijke mandaat-en rapportagestructuur. Zo krijgen risico’s en incidenten de aandacht op directieniveau. Door dit alles samen te brengen in één raamwerk, is beveiliging geen sluitpost maar een integraal onderdeel van de strategie enoperatie.

De rol van wetgeving

In Europa groeit de juridische aandacht voor digitale veiligheid flink. Enkele belangrijke ontwikkelingen:

  • EU Cyber Security Act. Met deze verordening is een Europees raamwerk voor certificering van ICT-producten en -diensten geïntroduceerd. Organisaties kunnen hun oplossingen laten beoordelen op veiligheid, waardoor een transparantere markt ontstaat.
  • Cyber Resilience Act. Deze wet verankert het principe ‘security by design’ tijdens de gehele levenscyclus van hardware en software. Fabrikanten en leveranciers blijven verplicht om kwetsbaarheden te herstellen en gebruikers hierover te informeren.
  • NIS2 (Network and Information Security Directive). De aangescherpte NIS-richtlijn breidt de reikwijdte uit naar meer sectoren (o.a. de energiesector, de zorg, transport en kritieke digitale diensten) en stelt hogere eisen aan onder meer incidentrapportage en bestuurlijke verantwoordelijkheid.

Deze regelgeving geeft organisaties niet alleen extra plichten, maar ook meer houvast. Wie zich beperkt tot het ‘afvinken’ van wettelijke vereisten, zal echter merken dat de lat steeds hoger komt te liggen. Een organisatie die wél investeert in een integrale veiligheidsstrategie, past zich gemakkelijker aan nieuwe eisen aan en geniet daarnaast het vertrouwen van klanten, leveranciers en toezichthouders.

AI en data: de volgende golf aan risico’s Artificial Intelligence (AI) en grootschalige data-analyse brengen nieuwe kansen, maar ook nieuwe dreigingen en ethische dilemma’s met zich mee.

  1. Bias in AI. AI-modellen zijn zo goed als de data waarop ze getraind worden. Wanneer datasets voor gezichtsherkenning voornamelijk bestaan uit beelden van bepaalde bevolkingsgroepen, kan dat leiden tot een model dat andere groepen nauwelijks goed herkent. Dit is niet alleen schadelijk voor de personen die erdoor benadeeld worden, maar kan ook leiden tot reputatieschade en juridische consequenties voor de organisatie die de AI inzet.
  2. Deepfakes. Geavanceerde AI-modellen kunnen realistische video’s, audio of beelden genereren, waarmee personen ogenschijnlijk dingen zeggen of doen die nooit hebben plaatsgevonden. Dit fenomeen kan worden gebruikt voor fraude, chantage of politiek gemotiveerde desinformatie. Organisaties doen er goed aan te investeren in detectietools en bewustwording onder medewerkers, zodat zij deepfake-inhoud vroegtijdig kunnen herkennen.
  3. Adversarial attacks. Kwaadwillenden kunnen AI-modellen manipuleren door ze met subtiel gemanipuleerde data te voeden. Zo kunnen zelfrijdende auto’s ‘in de war’ raken als een stopbord met kleine stickers als een ander bord wordt herkend. Dit soort aanvallen vraagt om extra controles op de inputdata en periodieke validatie van het model.
  4. Privacy en datalekken. AI is vaak gebaseerd op enorme hoeveelheden (persoons)gegevens. Als deze onvoldoende zijn geanonimiseerd of onjuist opgeslagen, kan een hack of misconfiguratie leiden tot ernstige privacy-schendingen. De nadruk ligt daarom op dataclassificatie, strenge toegangscontrole en encryptie. Een solide datagovernance-structuur is dus essentieel: definieer welke data je verzamelt, waar het wordt opgeslagen, wie er toegang toe heeft en welke beveiligingsmaatregelen nodig zijn. Organisaties die AI willen inzetten zonder hun beveiligingsmodel aan te passen, lopen het risico met nieuwe aanvalsvormen geconfronteerd te worden. Wetgeving zoals de (aankomende) AI Act vraagt bovendien om transparantie, uitlegbaarheid en documentatie van AI-systemen. Een holistische visie op security is dan geen luxe, maar bittere noodzaak.

Leren van sterk gereguleerde sectoren

In branches waar veiligheid letterlijk van levensbelang is — zoals de luchtvaart en de farmaceutische industrie — staat een integrale aanpak al decennialang centraal.

  • Luchtvaart. Van preflight-checklists tot incidentrapportage: elke stap is proce-dureel vastgelegd. Checklists zijn hier niet slechts formele vinklijsten, maar instrumenten waarmee cruciale stap- pen zichtbaar en controleerbaar worden gemaakt. Fouten worden snel gedetecteerd en kunnen systemisch worden aangepakt.
  • Farmacie. In de farmaceutische sector gelden strenge validatie-eisen voor apparatuur en processen (‘Quality by Design’). Elke schakel in de keten (van research tot productie) wordt gedocumenteerd en gemonitord. Zo bouwt men een cultuur op waarin continue verbetering en grondige risicoanalyse vanzelfsprekend zijn.

Deze sectoren tonen dat strak geregelde voorschriften en checklists niet per definitie belemmerend zijn. Integendeel: mits ze goed worden ingezet, helpen ze om risico’s te minimaliseren en fouten in een vroeg stadium te detecteren. De sleutel is dat men er in de praktijk écht mee werkt en van leert, in plaats van enkel ‘officieel’ aan de regels te voldoen. Dat principe — veiligheid inbedden in álle lagen van de organisatie — is ook binnen de IT en informatiebeveiliging toepasbaar.

Van compliance naar intrinsieke veiligheid Hoe maak je nu de stap van ‘minimale compliance’ naar een intrinsieke veiligheids- cultuur? Een paar aandachtspunten:

  1. Managementcommitment. Als de directie beveiliging vooral ziet als kostenpost of randvoorwaarde, dan zullen medewerkers dat ook zo ervaren. Pas wanneer het management duidelijk maakt dat veiligheid een strategische prioriteit is en hiervoor middelen (budget, mensen, tijd) vrijmaakt, krijgt de organisatie de kansv om echt stappen te zetten.
  2. Risicogestuurd werken. Begin met de vraag: ‘Waar liggen onze echte kroonjuwelen?’ Richt beveiliging op de data, processen en systemen die bij verlies of misbruik de grootste schade opleveren. Zo voorkom je dat je lukraak investeert in ‘random’ oplossingen.
  3. Gebruik checklists op de juiste manier. Standaarden als ISO 27001 en frameworks als NIST CSF bieden een gedegenstructuur en helpen om niets belangrijks over het hoofd te zien. De crux is dat je begrijpt waarom je bepaalde punten afvinkt en hoe het je organisatie veiliger maakt. Zie checklists als hulpmiddel, niet als doel op zich. In branches waar veiligheid letterlijk van levensbelang is — zoals de luchtvaart— staat een integrale aanpak al decennialang centraal. Van preflight-checklists tot incidentrapportage: elke stap is procedureel vastgelegd. Checklists zijn hier niet slechts formele vinklijsten, maar instrumenten waarmee cruciale stappen zichtbaar en controleerbaar worden gemaakt. Fouten worden snel gedetecteerd en kunnen systemisch worden aangepakt.
  4. Doorbreek eilandvorming. ­Cybersecurity gaat niet alleen over IT. Juridische aspecten (contracten, compliance), HR (aannameprocedures, training), facilitair (fysieke beveiliging) en inkoop (leveranciersmanagement) spelen allemaal een rol. Zet een multidisciplinaire werkgroep of stuurgroep op die breed verantwoordelijk is voor de integrale aanpak.
  5. Continu verbeteren. Cybersecurity is nooit ‘af’. Creëer een vaste cyclus van monitoren, evalueren, rapporteren en bijsturen. Maak incident- en trendanalyses om patronen te herkennen. Zo’n Plan-Do-Check-Act-cyclus sluit aan bij methoden uit de kwaliteitszorg en zorgt dat je niet overvallen wordt door nieuwe dreigingen of veranderende regelgeving.

De weg vooruit

Veel organisaties hebben de intentie om hun beveiliging te verbeteren, maar worstelen met de vertaling naar dagelijkse praktijk. Bij incidenten — zoals het datalek bij Equifax of talloze ransomware-aanvallen — zien we telkens dat één of meer cruciale facetten ontbraken: eigenaarschap, inzicht in de­ waardevolle data, procesdiscipline of bewustwording bij medewerkers.

Ondertussen groeit de druk vanuit wet- en regelgeving, maar ook vanuit klanten en samenwerkingspartners die eisen dat vertrouwelijkheid en continuïteit gewaarborgd zijn. Toch is er ook een positieve keerzijde: wie kiest voor een integrale aanpak en investeert in mens, proces en technologie, zal merken dat compliance-eisen eenvoudiger te vervullen zijn. Bovendien pluk je de vruchten van een grotere betrouwbaarheid en een beter imago.

‘Holistische cybersecurity’ kan je zien als een continu verbeterproces, waarin je voortdurend leert van fouten, nieuwe dreigingen en sectorbrede inzichten. Door te kijken naar de lessons learned in bijvoorbeeld de luchtvaart en farma, of de extra risico’s die AI introduceert, kun je de ruggengraat van je eigen organisatie versterken. Zo voorkom je dat beveiliging iets is wat je enkel ‘achteraf’ of ‘op papier’ regelt en maak je het tot een echte succesfactor.

Dit artikel verscheen eerder in kwaliteit in bedrijf (pdf)