Naar hoofdinhoud

De Raad van Toezicht vroeg om een risicobeeld.
Voor het aanvalsoppervlak ontbrak het.

Een aanvalsoppervlak waarop het bestuur kan sturen

Een maatschappelijke organisatie met zo’n 1.700 werkplekken, blind voor het grootste deel van haar eigen aanvalsoppervlak. Wij brachten het in beeld, en lieten het landen waar het bestuur erop kan sturen.

Aanvalsoppervlak · dekkingLive beeld
Volledigin beeld
Volledig aanvalsoppervlakin beeld
Voorheen: alleen OS-patchesfragmentarisch
Blinde vlek (third-party, exposed)gesloten
Bron · exposure-platformOperationeel · tactisch · strategisch
Sector
Maatschappelijke organisatie
Schaal
± 1.700 werkplekken
Doorlooptijd
Inzichten en besluit in 8 tot 12 weken
Kaders
NIS2, bestuursniveau
Doorlooptijd
8 tot 12 wkn
tot de eerste inzichten en besluitvorming.
Zicht
Volledig
op het aanvalsoppervlak, waar het eerst bij OS-patches ophield.
SBOM
Compleet
Software Bill of Materials: elk component in kaart.

De uitdaging

Patchen gebeurde. Maar niemand stuurde.

De Raad van Toezicht wilde een risicobeeld: welke ICT-risico’s loopt de organisatie, hoe zijn ze beheerst, en wat kunnen ze kosten. Het bestuur kon het niet leveren, niet uit onwil, maar omdat het zicht op het eigen aanvalsoppervlak er simpelweg niet was.

Wat in beeld wasAanvalsoppervlak
OS-patches
Third-party · misconfiguraties · exposed assets, buiten beeld
In beeld
Blinde vlek
  • 01

    Kwetsbaarhedenbeheer was OS-patches, gestuurd door welke patch toevallig beschikbaar kwam. Niet door risico.

  • 02

    Third-party software, misconfiguraties en alles wat van buitenaf zichtbaar was, bleef buiten beeld. Juist daar zit het grootste deel.

  • 03

    Geen overzicht, geen prioritering, geen eigenaar. Patchen gebeurde, maar niemand stuurde.

  • 04

    En de klok tikte: de toezichthouder verwachtte antwoord op de volgende vergadering.

De vraag was nooit hoeveel kwetsbaarheden er waren. De vraag was wat een aanvaller ermee kon, en of iemand het zou zien.

De aanpak

Eén beeld, op elk niveau.

Eerst zien wat er is. Dan prioriteren op wat een aanvaller echt kan bereiken. Dan zorgen dat het blijft draaien.

Strategisch: risicobeeld voor de RvTBestuur
Tactisch: prioritering en eigenaarschapManagement
Operationeel: de patch die morgen moetTeams
01

Het aanvalsoppervlak ontsluiten

Bronnen in kaart, ontsloten via een exposure-platform, alle data samengebracht tot één beeld: assets, kwetsbaarheden, misconfiguraties en wat van buiten te zien is. Voor het eerst één plaat, in plaats van losse lijsten.

02

Een risicokader met de organisatie zelf

Samen met de organisatie en haar stakeholders bepaald wat zwaar telt en wie eigenaar is. Prioritering op uitbuitbaarheid, niet op een eindeloze CVSS-lijst die niemand afkrijgt.

03

Inzicht dat stuurt, op elk niveau

Dashboards op operationeel, tactisch en strategisch niveau. Van de patch die morgen moet, tot het risicobeeld dat de toezichthouder vroeg. Iedereen kijkt naar hetzelfde, op zijn eigen hoogte.

04

Laten landen, niet opleveren

Geen rapport dat in een la verdwijnt. Het ging zitten in de governance en de processen, met doorlopende begeleiding op mobilisatie en architectuur, tot het de eigen cyclus van de organisatie werd.

De oplossing

Jarenlang onzichtbaar, in één klap op de kaart.

Niet de ontbrekende OS-patches waren het grootste risico. Het waren third-party software en misconfiguraties, een wildgroei aan versies en builds, en software ver voorbij end-of-life. Wat er nu staat, houdt het zichtbaar en bestuurbaar.

100%SBOM
Software Bill of Materials

Elk softwarecomponent in kaart, zodat versie-wildgroei en end-of-life software nergens meer kunnen wegduiken.

Kans →Impact ↑
Risicomatrix · prioritering

Prioritering op wat een aanvaller echt kan bereiken, met een eigenaar en een vaste cyclus.

Doorlopend beeld

Eén doorlopend, actueel beeld van het hele aanvalsoppervlak, niet alleen OS-patches.

Dashboards · 3 niveaus

Waarmee het bestuur de risicomatrix van de toezichthouder zelf voedt, zonder telkens een extern onderzoek.

“We weten nu wat er echt staat. En wat ons te doen staat.”

CISO · Maatschappelijke organisatie

Het resultaat

Van een momentopname naar stuurinformatie die meegroeit.

Voorheen
  • -Reactief patchen op beschikbaarheid
  • -Blind voor third-party en exposed assets
  • -Geen eigenaar, geen prioritering
  • -Antwoord aan de RvT: extern onderzoek
Nu
  • Leiderschap stuurt op drie vragen: wat staat er echt, doen we de juiste dingen, doen we ze goed?
  • Het bestuur voedt de risicomatrix van de toezichthouder zelf, met bewijs in plaats van beloftes.
  • Van reactief patchen naar sturen op risico.
  • Het begin van een organisatie die het zelf draagt.

Een vergelijkbaar vraagstuk?

Geen pitch. Eén gesprek.

Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.

Plan een gesprek

30 minuten met een senior, geen pitch.

Spreek met een architectBel direct088 - 163 23 25