Contact

Blogs

Risk-based security: hoe het werkt én waarom het werkt

Calvin ma s Crn Fw DYM Fs unsplash
  1. Home
  2. Insights
  3. Blogs
  4. Risk-based security: hoe het werkt én waarom het werkt
Inhoudsopgave
  • Eerst begrijpen, dan beschermen
  • Hoe werkt het in de praktijk?
  • Stap 1: Assessment - waar sta je?
  • Stap 2: Prioritering - wat is het belangrijkst?
  • Stap 3: Actieplan op maat
  • Stap 4: Implementatie
  • Stap 5: Continu verbeteren
  • Een voorbeeld uit de praktijk
  • Waarom risk-based security beter werkt dan tech-based
  • Van chaos naar controle
Security
5 minuten
20-03-26

Nieuwe firewall, antivirus op alle devices... Klaar.

Want dan ben je veilig, toch? Niet per se. Want als je niet weet welke risico's je hebt en welke het belangrijkst zijn, weet je ook niet of je de juiste dingen aanpakt. Risk-based security draait het om: eerst begrijpen waar je kwetsbaar bent, wat hiervan de impact is en dan de juiste maatregelen nemen.

Een nieuwe firewall hier, een extra monitoring tool daar. Voor je het weet heb je tien verschillende securityoplossingen, maar weet je eigenlijk niet of je echt veiliger bent geworden.

Dat komt omdat je niet weet wat je aan het beschermen bent. Je weet niet welke systemen het belangrijkst zijn. Je weet niet waar je grootste risico's zitten. Je koopt oplossingen voor problemen die je misschien niet eens hebt, terwijl je echte zwakke plekken onbeschermd blijven en mogelijk een groter risico vormen.

Het resultaat? Je geeft veel geld uit aan security, maar je weet niet of je dat geld goed besteedt. En als er tóch iets gebeurt, blijkt dat de aanvaller precies die ene plek gevonden heeft die je over het hoofd had gezien.

Eerst begrijpen, dan beschermen

Risk-based security draait die aanpak om. Je begint niet met producten, maar met vragen:

  • Welke systemen en data zijn voor ons het belangrijkst?
  • Waar zijn we kwetsbaar?
  • Wat zijn de grootste dreigingen voor óns specifiek?
  • Wat is de kans dat iets misgaat, en wat is de impact als dat gebeurt?

Als je die antwoorden hebt, kun je weloverwogen beslissingen nemen. Je weet waar je je budget het beste kunt inzetten. Je weet welke maatregelen prioriteit hebben en welke kunnen wachten.

Hoe werkt het in de praktijk?

Een risk-based aanpak volgt een duidelijk proces:

Stap 1: Assessment - waar sta je?

Alles begint met een grondige analyse van je huidige situatie. Niet alleen: "Welke securitytools hebben we?", maar vooral: "Welke systemen hebben we? Hoe zijn ze beschermd? Waar zitten gaten?"

Bij DataVisual gebruiken we daarvoor onze Cyber Security Assessment Tool (CSAT). Dat is een uitgebreide scan die kijkt naar verschillende domeinen:

  • Authenticatie: welke gebruikers hebben welke rechten en authenticatiemethoden?
  • Data: waar staan gevoelige gegevens en hoe zijn ze beschermd?
  • Apparaten: zijn alle systemen up-to-date en voorzien van encryptie, oftewel zijn apparaten compliant?
  • Applicaties: welke apps gebruiken we en zijn ze veilig?
  • Configuraties: in hoeverre zijn configuraties van bijvoorbeeld laptops uitgerold conform best practices?
  • Bewustwording: in welke mate zijn medewerkers cybersecurity-bewust?

Het resultaat is een helder overzicht van risico's: dit is waar je goed zit, dit is waar je kwetsbaar bent.

Stap 2: Prioritering - wat is het belangrijkst?

Niet alle risico's zijn even belangrijk. Als je ERP-systeem platligt, sta je stil. Als de website van jullie personeelsvereniging even niet bereikbaar is, is dat vervelend maar niet kritiek.

Daarom kijken we naar drie factoren:

  • Impact: wat gebeurt er als dit misgaat? Kunnen we niet meer werken? Lekken er gegevens? Lopen we reputatieschade op?
  • Waarschijnlijkheid: hoe groot is de kans dat dit echt gebeurt? Is dit een bekende kwetsbaarheid waar aanvallers actief naar zoeken?
  • Urgentie: is dit een gat dat we morgen moeten dichten, of kan het wachten tot volgend kwartaal?

Op basis daarvan maak je een geprioriteerde lijst. Bovenaan staan de risico's die tegelijk hoog scoren op impact, waarschijnlijkheid én urgentie. Die pak je eerst aan.

Stap 3: Actieplan op maat

Nu weet je wat eerst moet. Tijd om een plan te maken. En hier wordt het praktisch, want je hebt natuurlijk niet onbeperkt budget en tijd.

Daarom maak je keuzes:

  • Welke risico's pakken we dit jaar aan?
  • Welke maatregelen hebben de meeste impact voor de minste investering?
  • Wat kunnen we zelf oppakken en waar hebben we hulp bij nodig?

Het mooie van deze aanpak: je kunt transparant zijn naar je directie. Je kunt uitleggen waarom je budget vraagt voor bepaalde maatregelen. Je laat zien wat het risico is als je het níet doet, en wat de impact is als je het wél doet.

Stap 4: Implementatie

Je voert de maatregelen uit, beginnend bij de hoogste prioriteiten. Dat kunnen technische aanpassingen zijn (MFA implementeren, firewallregels aanscherpen, oude software vervangen) maar ook organisatorische maatregelen (procedures aanpassen, trainingen organiseren, mandaten verduidelijken).

Stap 5: Continu verbeteren

Security is geen project met een einddatum. Dreigingen veranderen, je organisatie groeit, er komen nieuwe systemen bij. Daarom herhaal je het assessment regelmatig - bijvoorbeeld jaarlijks. Zo zie je of de maatregelen werken, wat er nieuw op de radar komt en waar je de komende periode je focus moet leggen.

Een voorbeeld uit de praktijk

We werkten met een middelgroot productiebedrijf met zo'n 300 medewerkers. Ze hebben een ERP-systeem voor productie en administratie, een aantal productiebesturingsmachines, en natuurlijk de standaard Office 365-omgeving.

Na een assessment bleek:

  • Hun VPN voor externe toegang was verouderd en had bekende kwetsbaarheden
  • Multi-factor authenticatie stond alleen aan voor beheerders, niet voor gewone gebruikers
  • Er lagen back-ups, maar die werden niet getest
  • Sommige productiebesturingsmachines draaiden op Windows 7 (End of Life)
  • Er was geen duidelijk proces voor incidentrespons

Als ze alles tegelijk zouden willen aanpakken: fors budget nodig, lange doorlooptijd, grote impact op de organisatie.

Dus prioriteerden ze:

  1. Eerst VPN vervangen (hoog risico, relatief makkelijke oplossing)
  2. Dan MFA uitrollen (grote impact op security, lage kosten)
  3. Ondertussen back-ups testen (nu doen, voordat je ze nodig hebt)
  4. Dan productiemachines isoleren (konden ze niet zomaar updaten, dus extra netwerkbeveiliging)
  5. En incidentprocedure opstellen (niet technisch, maar essentieel)

Op deze manier maakten ze grote stappen in security met een beperkt budget.

Waarom risk-based security beter werkt dan tech-based

  1. Transparantie. Je weet precies waar je staat en waar je naartoe werkt. Je kunt uitleggen aan je directie: dit zijn onze risico's, dit gaan we eraan doen, dit gaat het kosten. Zo maak je heldere keuzes, gebaseerd op actuele informatie.
  2. Efficiënt omgaan met je budget. Je investeert waar je het meeste verschil maakt. En als je budget beperkt is, kun je een weloverwogen keuze maken: we pakken deze drie risico's dit jaar, de rest volgt later.
  3. Geen onnodige aankopen. Je koopt alleen wat je écht nodig hebt om jouw specifieke risico's aan te pakken. Dat scheelt licentiekosten, maar het bespaart je ook complexiteit en beheer.
  4. Beter gesprek met je directie. Je kunt in termen praten die je directie begrijpt: impact op de business, financiële consequenties, reputatierisico's. Niet: "We moeten deze technische oplossing hebben omdat het veilig is", maar: "Als dit systeem platligt, staan we twee dagen stil en dat kost ons X euro."
  5. Ruimte voor maatwerk. Elke organisatie is anders. Een productiebedrijf heeft andere risico's dan een zorginstelling. Een bedrijf met veel thuiswerkers heeft andere kwetsbaarheden dan een met iedereen op kantoor. Risk-based security houdt daar rekening mee.
  6. Risico’s accepteren is een optie. Niet elk risico hoeft naar nul. Soms is een restrisico acceptabel, zeker als de kosten om het helemaal weg te nemen niet opwegen tegen de impact. Het punt is dat je die keuze bewust maakt, met de juiste informatie.

Van chaos naar controle

Risk-based security geeft rust. Je weet waar je staat. Je weet wat je grootste zorgen zijn. En je hebt een plan om daar stapsgewijs iets aan te doen.

Het maakt security behapbaar. In plaats van overweldigd te worden door alles wat er zou kunnen gebeuren, focus je op wat voor jouw organisatie echt belangrijk is.

En het maakt security haalbaar. Je hoeft niet morgen alles perfect te hebben. Je neemt stapje voor stapje maatregelen, in de juiste volgorde, met budget dat je hebt.

Benieuwd waar jouw organisatie staat? Begin met een assessment. Bij DataVisual beginnen we altijd met onze Cyber Security Assessment Tool om je risico's in kaart te brengen. Zo weet je precies waar je staat en wat je moet doen. Neem contact met ons op voor een eerste gesprek.