Cybersecurity is snel veranderd. Rollen zijn meer gespecialiseerd en de tooling is geavanceerder. Op papier zou dit organisaties veiliger moeten maken. Maar in de praktijk worstelen veel teams met dezelfde basisproblemen waarmee ze jaren geleden te maken kregen: onduidelijke risicoprioriteiten, slecht op elkaar afgestemde toolingbeslissingen en problemen met het uitleggen van beveiligingsproblemen in termen die de business begrijpt.
Deze uitdagingen komen meestal niet voort uit een gebrek aan inspanning. Ze komen voort uit iets subtielers: een geleidelijk verlies van fundamenteel begrip naarmate de specialisatie versnelt. Specialisatie op zich is niet het probleem. Er is sprake van een gebrek aan context. Wanneer beveiligingsteams geen gedeeld inzicht hebben in hoe het bedrijf, de systemen en de risico’s in elkaar passen, begint zelfs een sterke technische uitvoering te mislukken. Na verloop van tijd komt die kloof naar voren in de manier waarop programma’s worden ontworpen, tools worden gekozen en incidenten worden afgehandeld. Helaas heb ik dit patroon herhaaldelijk gezien bij het assisteren bij incidenten en beveiligingsprogramma’s bij organisaties van elke omvang.
Specialisatie zonder context verkleint het risicobeeld
Cyberbeveiliging is ongebruikelijk vanwege de snelheid waarmee beoefenaars zich kunnen specialiseren. In veel beroepen komt een brede basisopleiding op de eerste plaats. Je leert hoe het systeem werkt voordat je je op een enkel onderdeel ervan concentreert. Bedenk bijvoorbeeld dat iemand arts wordt voordat hij een gespecialiseerde chirurg wordt. In de beveiliging werkt het vaak andersom. Mensen gaan rechtstreeks naar gerichte functies zoals cloudbeveiliging, detectie-engineering, forensisch onderzoek of IAM, met beperkte blootstelling aan hoe de bredere omgeving in elkaar past. In de loop van de tijd ontstaan hierdoor teams die zeer capabel zijn binnen hun domein, maar niet verbonden zijn met het grotere risicoplaatje.
De resulterende uitdaging is een gebrek aan end-to-end zichtbaarheid. Als je slechts één stukje van de omgeving ziet, wordt het moeilijker om te redeneren over hoe bedreigingen zich verplaatsen, hoe controles op elkaar inwerken, of waarom bepaalde risico’s belangrijker zijn dan andere. Risico is niet langer iets dat u holistisch begrijpt, maar wordt iets dat u alleen door de smalle lens van uw rol ziet. Dit is waar veel beveiligingsgesprekken mislukken. Er wordt een beveiligingsprobleem aan de orde gesteld, maar dit houdt geen verband met de manier waarop de organisatie feitelijk opereert. Zonder dat verband klinkt de zorg abstract. Het slaagt er niet in om te resoneren, niet omdat het onbelangrijk is, maar omdat het context mist.
Wanneer tools begrip vervangen, dwalen programma’s af
Een ander patroon dat herhaaldelijk opduikt, is de manier waarop beveiligingsbeslissingen zich concentreren op producten in plaats van op processen. Teams wordt gevraagd waarom ze een tool nodig hebben, en het antwoord richt zich op kenmerken of branchetrends in plaats van op het specifieke risico dat hiermee binnen de organisatie wordt aangepakt. Wanneer een tool niet kan worden gekoppeld aan organisatierisico’s, betekent dit meestal dat het onderliggende probleem niet duidelijk is gedefinieerd. Beveiliging wordt iets dat wordt gekocht in plaats van iets dat wordt ontworpen.
Een functioneel beveiligingsprogramma begint bij de business. Waarom bestaat de organisatie? Welke missie dient het? Welke systemen en data zijn essentieel voor die missie? Zonder duidelijke antwoorden op deze vragen is het onmogelijk om te weten wat er eigenlijk beschermd moet worden. Aanvallers begrijpen dit goed. Om een bedrijf te ontwrichten, moeten ze vaststellen wat het belangrijkst is en waar de impact voelbaar zal zijn. Verdedigers die niet dezelfde duidelijkheid hebben, reageren altijd. Ze reageren op waarschuwingen en kwetsbaarheden zonder een duidelijk gevoel van prioriteit. Fundamentele kennis helpt deze drift te voorkomen. Het stelt teams in staat om te werken van missie naar activa naar risico, in plaats van van tool naar waarschuwing naar herstel.
Detectie, reactie en preventie zijn afhankelijk van het weten ‘normaal’
Veel beveiligingsfouten zijn terug te voeren op een simpel probleem: teams weten niet hoe normaal eruit ziet in hun eigen omgeving. Detectie wordt moeilijk als het verwachte gedrag slecht wordt begrepen. De respons vertraagt wanneer fundamentele vragen over systemen, gebruikers en datastromen niet snel kunnen worden beantwoord. Preventie verandert in giswerk wanneer incidenten uit het verleden niet duidelijk kunnen worden verklaard of ervan kunnen worden geleerd.
Dit is geen gereedschapsprobleem. Het is een bekendheidsprobleem. Het kennen van uw systemen, uw netwerk en de manier waarop uw organisatie dagelijks opereert, is van fundamenteel belang. Het zorgt ervoor dat afwijkingen opvallen en onderzoeken met vertrouwen verder kunnen gaan. Wanneer teams dit werk overslaan, zijn ze gedwongen dit begrip op te bouwen tijdens incidenten, wanneer de druk het hoogst is en fouten het duurst zijn. Geavanceerde mogelijkheden werken alleen als ze gebaseerd zijn op een goed basisbegrip.
Beheers uw fundamentele vaardigheden tijdens SANS Security West 2026
Moderne cyberbeveiliging is afhankelijk van specialisatie. Dat gaat niet veranderen. Wat wel moet veranderen is de veronderstelling dat specialisatie alleen voldoende is. Fundamentele vaardigheden stellen gespecialiseerde teams in staat om over risico’s te redeneren, duidelijk met het bedrijf te communiceren en beslissingen te nemen die onder druk standhouden. Ze creëren een gedeelde context, wat vaak ontbreekt als programma’s in de war raken, tools zich opstapelen of incidenten vastlopen.
Naarmate omgevingen complexer worden, wordt dat gedeelde begrip een vereiste en geen ‘nice-to-have’. In mei ga ik presenteren SEC401: Beveiligingsbenodigdheden – Netwerk, eindpunt en cloud bij SANS Beveiliging West 2026 voor teams en praktijkmensen die deze fundamenten willen versterken en hun gespecialiseerde vaardigheden met een duidelijkere context willen toepassen in moderne beveiligingsprogramma’s.
Schrijf u hier in voor SANS Security West 2026.
Opmerking: dit artikel is vakkundig geschreven en bijgedragen door Bryan Simon, SANS Senior Instructor.
