In control met Threat Protection
Organisaties investeren steeds meer in cybersecurity. Maar hoe weet je eigenlijk of je écht in control bent? En misschien nog belangrijker: kun je dat ook aantonen wanneer een auditor, toezichthouder of bestuurder ernaar vraagt?
We gaan hierover in gesprek met Gerard Bruijgoms, Service Delivery Manager bij Wortell Enterprise Security. In zijn rol is hij dagelijks betrokken bij de MxDR-dienstverlening voor klanten. Hij begeleidt service reviews, bespreekt incidenten en vertaalt operationele securitydata naar heldere bestuurlijke rapportages. Vanuit die praktijk ziet hij waar organisaties tegenaan lopen als het gaat om Threat Protection, governance en aantoonbare controle.
Organisaties investeren serieus in cybersecurity, vertelt Gerard. Denk hierbij aan preventie, detectie, firewalls, EDR, SIEM en AI-gedreven analyses. En toch komt bij het eerste echte incident, of soms al bij de eerste serieuze dreiging, steeds dezelfde vraag naar boven:
“Zijn we eigenlijk wel écht in control en kunnen we dat aantonen als iemand ernaar vraagt?”
Threat Protection is pas volwassen wanneer oplossingen niet alleen werken. Ze moeten ook begrijpelijk, aantoonbaar effectief en bestuurbaar zijn. Dáár raakt het de kern van ISO27001: monitoren, meten, analyseren, evalueren en bovenal aantonen.
Tegelijkertijd verandert het dreigingslandschap. Cybersecurity is steeds minder een individueel probleem en steeds vaker een ketenprobleem. Aanvallen komen via leveranciers, cloudservices, API’s, integraties, softwarecomponenten of managed services. De vraag is daardoor niet langer “Ben ik veilig?”, maar: “Is mijn hele keten beheerst en kan ik dat aantonen aan toezichthouders, klanten en partners?”
NIS2 maakt supply chain security daarom volledig expliciet. Het is geen randvoorwaarde meer, maar een verplicht onderdeel van cyberrisicobeheersing.
Handelen op mandaat: snelheid wanneer minuten tellen
Wanneer er iets misgaat, is besluiteloosheid vaak schadelijker dan de aanval zelf. Daarom werken wij met een vooraf afgesproken mandaat: welke containmentacties voeren wij zelfstandig uit, wanneer escaleren we en welke keuzes blijven bij de klant.
Die snelheid is essentieel, zeker onder NIS2, met zijn strakke deadlines:
-
Binnen 24 uur een 'early warning'
-
Binnen 72 uur een incidentmelding
-
Binnen één maand een eindrapport
Proactief handelen werkt alleen wanneer er vertrouwen is. En vertrouwen ontstaat niet door beloftes, maar door transparantie: wat hebben we waargenomen, welke afwegingen zijn gemaakt, welke acties zijn onder mandaat uitgevoerd en welk effect hadden ze?
Het belang van rapportage
Een rapportage is daarmee nooit alleen een document, het is een gesprekstarter. De echte meerwaarde ontstaat wanneer we samen met de klant door de bevindingen heenlopen. In dat gesprek wordt namelijk iets toegevoegd wat geen dashboard of tabel kan invullen: context. Cijfers krijgen betekenis, gebeurtenissen krijgen duiding en besluiten krijgen draagvlak.
Tijdens deze gesprekken duiken we de diepte in rondom vragen als:
- Wat betekent deze trend voor onze specifieke organisatie?
Een stijging in incidentvolume kan zorgwekkend lijken, maar soms blijkt dat de detectie juist verfijnder is geworden. Omgekeerd kan een rustige periode duiden op blinde vlekken. Dat zie je pas als je er samen over praat. -
Waar ligt de echte prioriteit?
Een CISO kijkt anders naar risico’s dan een IT Operations Manager, en een bestuurder weer anders dan beiden. Door rapportages gezamenlijk te bespreken ontstaat een gedeeld beeld. -
Wat nemen we mee naar de roadmap?
Een rapportage beschrijft wat er is gebeurd, maar de vertaling naar structurele verbeteringen, in processen, tooling, awareness of leveranciersbeheer, ontstaat in het gesprek. -
Hoe borgen we dat beslissingen goed gedocumenteerd zijn?
In het kader van ISO27001, NEN7510, NIS2, DORA en de Cyber Resilience Act is aantoonbaarheid essentieel. Door bevindingen en gemaakte keuzes expliciet te bespreken en vast te leggen ontstaat governancezekerheid.
Zo voorkomt een rapportage dat deze eindigt als een pdf in een mailbox. In plaats daarvan wordt het een instrument voor sturing, verbetering en verantwoording.
Managed eXtended Detection and Response
Eén waarheid, drie perspectieven
Binnen Threat Protection werken we vanuit één bron van feiten, maar met drie verschillende perspectieven. Elk organisatieniveau krijgt precies de informatie die nodig is om zijn rol te vervullen, in lijn met ISO27001, dat sterk inzet op meetbaarheid en evaluatie.
| Niveau | Primaire doelgroep | Belangrijke vragen | Output |
|---|---|---|---|
| Operationeel | SOC, IT Operations | Wat is er gaande? Wat is de impact nu? Wat doen we binnen het mandaat? | Real-time alerts, incident timelines, containmentacties, IOC’s, tickets |
| Tactisch | CISO, securitymanagement | Wat zegt dit over onze weerbaarheid? Waar zitten structurele zwaktes? Halen we onze controls? | KPI/KRI dashboards, trendanalyses, root cause-thema’s, verbeterbacklog |
| Strategisch | Raad van Bestuur, directie | Wat is het bedrijfsrisico? Wat is materieel? Wat betekent dit voor continuïteit en reputatie? | Boardrapportage met risico-impact, beslispunten, investeringsopties en assurance |
Zo kijken CISO en Raad van Bestuur naar dezelfde werkelijkheid, maar door een andere lens.
Security in de keten: rapportage als rustgever én beheersmaatregel
Waar een incident vroeger vooral een intern probleem was, is het tegenwoordig vaak een ketenevent. Daarom benadrukt NIS2 niet alleen incidentafhandeling, maar ook:
-
Inzicht in afhankelijkheden;
-
Eisen richting leveranciers;
-
Monitoring van derden;
-
Toetsing en mitigaties in de keten.
Daarnaast verplicht NIS2 organisaties om afnemers te informeren bij significante incidenten of bedreigingen. Rapportage wordt daarmee niet alleen een intern instrument, maar ook een communicatiemiddel richting partners.
Partners willen weten:
-
Wat de scope van het incident is.
-
Of er impact is op hun diensten of data.
-
Welke maatregelen zijn genomen.
-
Wat zij zelf eventueel moeten doen.
Een duidelijke partnerupdate voorkomt paniek, geruchten en reputatieschade.
Voor organisaties die digitale producten leveren of onderdeel zijn van een productketen wordt transparantie nog belangrijker. De Cyber Resilience Act introduceert meldplichten voor misbruikte kwetsbaarheden en ernstige incidenten via het Single Reporting Platform: 24 uur voor een 'early warning', 72 uur voor een volledige melding en aanvullende eindrapportages.
Rapportage is daarmee geen administratieve last meer, maar een essentieel onderdeel van verantwoord productbeheer. De kunst is dan ook om Threat Protection zo in te richten dat het niet alleen werkt, maar ook uitlegbaar, toetsbaar en aantoonbaar effectief is.
Dat vraagt om duidelijk mandaat, operationele discipline, tactische sturing en strategische duiding. Alles komt samen in één rapportageketen met drie perspectieven. Zo kijken IT Manager, CISO en Raad van Bestuur naar hetzelfde verhaal, maar ieder vanuit hun eigen verantwoordelijkheid.