In gesprekken met ondernemers hoor ik vaak dezelfde geruststellende zin: “Maar Tim, wij hebben al een partner die onze pc’s continu scant op risico’s.” En eerlijk is eerlijk: dat klinkt natuurlijk lekker veilig. Zeker fijn idee dat er iemand meekijkt, meldingen geeft en waarschuwt als er iets misgaat. Alleen… je voelt ’m misschien al aankomen als je mijn blog langer leest: daarmee pak je maar een klein stukje van de puzzel.
technisch ≠ volledigWat je partner doet is puur technisch: je computers scannen, updates signaleren, misschien een firewall en antivirus eroverheen. Allemaal nuttig, allemaal nodig. Maar stel je dit eens voor: je zet een bewaker bij de voordeur van je pand, maar de achterdeur staat wagenwijd open en je medewerkers lopen met klantdata onder hun arm naar huis. Dan heb je technisch wel iets geregeld, maar strategisch nog steeds een groot risico.
**Waarom zijn alleen ICT-technische maatregeleen niet genoeg? **Omdat je niet weet waar je écht kwetsbaar bent. Misschien is die pc-scan prima, maar wat als:
- je medewerkers zonder nadenken op phishinglinks klikken?
- je leverancier geen updates meer levert en je software plots aanvallers toegang geeft van binnenuit?
- er geen plan is voor wat je doet als er plots een incident plaatsvindt?
Dan voelt dat technische vangnet ineens heel dun.
Wat je eigenlijk wilt: risico’s kennen en gepast handelenDaarom draai ik het altijd om. Eerst: waar liggen je risico’s? Dan: welke maatregelen passen daarbij? Soms betekent dat méér techniek (extra logging, betere segmentatie, multifactor-authenticatie). Soms juist procesmaatregelen (wie mag wát doen? hoe snel kun je schakelen bij een incident?). En soms is de meest verstandige keuze: accepteren dat een risico er is, maar er niet op stuklopen.
Voorbeelden die ik vaak zie
- Te weinig maatregelenEen organisatie vertrouwt blind op zijn IT-beveiliging. Als organisaties zoals Arriva, het Martini ziekenhuis en IT-leveranciers al fouten maken, jij dan niet? Resultaat: een medewerker klikt op een factuur in de mail, malware gaat erdoorheen en de complete fileserver ligt plat. De techniek hielp, maar niet genoeg.
- Te véél maatregelenEen ander bedrijf gooit er zo’n strenge firewall en toegangscontrole tegenaan dat medewerkers massaal omwegen zoeken (privé-mail, usb-sticks). De beveiliging is strak, maar de praktijk wordt juist onveiliger.
De gulden middenwegHet draait dus niet om “alles afdekken wat kan”, maar om gepaste maatregelen. Niet te weinig, niet te veel. Net als bij autogordels: die doen hun werk bij een ongeluk, maar je gaat geen vijf gordels omdoen.
Dus: fijn dat je partner je pc’s scant. Houden zo. Maar zet daarbovenop je eigen risicobeeld en beleid. Dan weet je wáár je kwetsbaar bent, maak je bewuste keuzes, en wordt beveiliging iets wat echt bijdraagt aan je bedrijfscontinuïteit in plaats van een valse geruststelling.