De Raad van Toezicht vroeg om een risicobeeld.
Voor het aanvalsoppervlak ontbrak het.
Een aanvalsoppervlak waarop het bestuur kan sturen
Een maatschappelijke organisatie met zo’n 1.700 werkplekken, blind voor het grootste deel van haar eigen aanvalsoppervlak. Wij brachten het in beeld, en lieten het landen waar het bestuur erop kan sturen.
De uitdaging
Patchen gebeurde. Maar niemand stuurde.
De Raad van Toezicht wilde een risicobeeld: welke ICT-risico’s loopt de organisatie, hoe zijn ze beheerst, en wat kunnen ze kosten. Het bestuur kon het niet leveren, niet uit onwil, maar omdat het zicht op het eigen aanvalsoppervlak er simpelweg niet was.
- 01
Kwetsbaarhedenbeheer was OS-patches, gestuurd door welke patch toevallig beschikbaar kwam. Niet door risico.
- 02
Third-party software, misconfiguraties en alles wat van buitenaf zichtbaar was, bleef buiten beeld. Juist daar zit het grootste deel.
- 03
Geen overzicht, geen prioritering, geen eigenaar. Patchen gebeurde, maar niemand stuurde.
- 04
En de klok tikte: de toezichthouder verwachtte antwoord op de volgende vergadering.
De vraag was nooit hoeveel kwetsbaarheden er waren. De vraag was wat een aanvaller ermee kon, en of iemand het zou zien.
De aanpak
Eén beeld, op elk niveau.
Eerst zien wat er is. Dan prioriteren op wat een aanvaller echt kan bereiken. Dan zorgen dat het blijft draaien.
Het aanvalsoppervlak ontsluiten
Bronnen in kaart, ontsloten via een exposure-platform, alle data samengebracht tot één beeld: assets, kwetsbaarheden, misconfiguraties en wat van buiten te zien is. Voor het eerst één plaat, in plaats van losse lijsten.
Een risicokader met de organisatie zelf
Samen met de organisatie en haar stakeholders bepaald wat zwaar telt en wie eigenaar is. Prioritering op uitbuitbaarheid, niet op een eindeloze CVSS-lijst die niemand afkrijgt.
Inzicht dat stuurt, op elk niveau
Dashboards op operationeel, tactisch en strategisch niveau. Van de patch die morgen moet, tot het risicobeeld dat de toezichthouder vroeg. Iedereen kijkt naar hetzelfde, op zijn eigen hoogte.
Laten landen, niet opleveren
Geen rapport dat in een la verdwijnt. Het ging zitten in de governance en de processen, met doorlopende begeleiding op mobilisatie en architectuur, tot het de eigen cyclus van de organisatie werd.
De oplossing
Jarenlang onzichtbaar, in één klap op de kaart.
Niet de ontbrekende OS-patches waren het grootste risico. Het waren third-party software en misconfiguraties, een wildgroei aan versies en builds, en software ver voorbij end-of-life. Wat er nu staat, houdt het zichtbaar en bestuurbaar.
Elk softwarecomponent in kaart, zodat versie-wildgroei en end-of-life software nergens meer kunnen wegduiken.
Prioritering op wat een aanvaller echt kan bereiken, met een eigenaar en een vaste cyclus.
Eén doorlopend, actueel beeld van het hele aanvalsoppervlak, niet alleen OS-patches.
Waarmee het bestuur de risicomatrix van de toezichthouder zelf voedt, zonder telkens een extern onderzoek.
“We weten nu wat er echt staat. En wat ons te doen staat.”
Het resultaat
Van een momentopname naar stuurinformatie die meegroeit.
- -Reactief patchen op beschikbaarheid
- -Blind voor third-party en exposed assets
- -Geen eigenaar, geen prioritering
- -Antwoord aan de RvT: extern onderzoek
- ✓Leiderschap stuurt op drie vragen: wat staat er echt, doen we de juiste dingen, doen we ze goed?
- ✓Het bestuur voedt de risicomatrix van de toezichthouder zelf, met bewijs in plaats van beloftes.
- ✓Van reactief patchen naar sturen op risico.
- ✓Het begin van een organisatie die het zelf draagt.
Een vergelijkbaar vraagstuk?
Geen pitch. Eén gesprek.
Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.
Plan een gesprek