De staat van security anno 2025

Het securitylandschap verandert onder je voeten. Daar waar IT-beveiliging voorheen een onderwerp voor technici was, heeft het nu nagenoeg overal bestuurskamers bereikt. Wat moeten IT-beslissers eigenlijk bespreken als het om security gaat? En hoe is het gesteld met het securityniveau van organisaties? We praten erover in een uitgebreide rondetafeldiscussie met experts van Barracuda Networks, Fox-IT, Tesorion, Trend Micro, Visma en Wiz.

De bescherming van je organisatie is een hels karwei. Veelal horen we dat organisaties op zijn minst de eenvoudigste securitymaatregelen moeten toepassen. Erik de Jong, Chief Research Officer bij Tesorion, is er duidelijk over: “De ‘basis op orde krijgen’ is al enorm complex.” Denk aan het instellen van multi-factor authentication (MFA), pentests, security awareness-training, kwetsbaarheden patchen… zo kunnen we nog even doorgaan. Het uitbesteden van je IT-infrastructuur, kortweg de cloudtransitie, is daarom voor de hand liggend voor veel organisaties. Cindy Wubben, Chief Information Security Officer Public Segment bij Visma, ziet dat de stap naar de cloud “nog steeds de juiste weg is voor de meeste bedrijven”. Ze benoemt de mogelijkheid voor klanten van Visma om hun IT-oplossingen te draaien in een datacenter van Visma zelf binnen Europa, dus niet in de public cloud. Deze wijkt in securityarchitectuur af van de public cloud, zoals altijd het geval is. Vandaar dat menig bedrijf zonder problemen nog altijd goed terecht kan bij AWS, Azure, Google Cloud of andere cloudleveranciers.

Een man in een zwarte trui zit aan een houten tafel met glaswerk, een Coca-Cola fles en bloemen en praat met een andere man in een lichtblauw shirt. — Erik de Jong, Chief Research Officer bij Tesorion

Geen one-size-fits-all

Wubben erkent dat er alom twijfel is rondom het gebruik van deze clouds. Manager Solution Architects Western Europe bij Barracuda Networks Raynaud Schokkenbroek ziet ook dat de geopolitieke verhouding tussen Europa en de Verenigde Staten is veranderd. Ook Tweede Kamerleden spreken regelmatig over de eis om een alternatief te vinden voor de VS-hyperscalers, benadrukt Schokkenbroek. Hij herkent een bestuurlijk risico in een te gemakzuchtige houding op dit gebied. Wat als je organisatie in principe een ‘cloud-exit’ kan maken, maar dat je na jaren een Total Cost of Ownership (TCO) hebt die niet vol te houden is. Die kosten ontstaan met name door het feit dat je je eigen omgeving moet beschermen, in tegenstelling tot wanneer je dit (grotendeels) kunt uitbesteden via de cloud. “Je regelt security met één beweegreden: je bedrijfscontinuïteit. Als je implementatie te duur is, bedreigt dat je continuïteit.” Hieruit blijkt dat er niet zomaar een one-size-fits-all antwoord beschikbaar is.

Een vrouw met golvend blond haar en een zwarte blazer zit aan een tafel met drankjes en bloemen en glimlacht tijdens een vergadering in een goed verlichte kamer. — Cindy Wubben, Chief Information Security Officer Public Segment bij Visma

Christo Butcher, Executive Consultant bij Fox-IT, bespeurt een zekere mineurstemming die op ons continent tot de Amerikaanse digitale afhankelijkheid heeft geleid. “Europa heeft zich ingegraven met de acceptatie dat Big Tech er nu eenmaal is.” Met andere woorden: die trend is veel breder dan alleen de adoptie van de public cloud uit de VS. Wie verschuift naar oplossingen vanuit Europa, brengt zichzelf in een “geheel andere risicosituatie”, aldus Butcher. Opeens ben je verantwoordelijk voor veel meer denkwerk omdat de cyberdreigingen en verdediging minder volwassen of geïntegreerd zijn dan voor de Amerikaanse big tech waar al vele jaren ervaring mee is.

De cloud: een ander verhaal

Wiz is ontstaan in de cloud, met als doel organisaties juist daar beter te beschermen. Steven de Boer, Senior Solutions Engineer bij het bedrijf, ziet dat de discussie over cloudadoptie sterk is veranderd. “Door de geopolitieke spanningen en het groeiende bewustzijn over datalocatie overwegen sommige organisaties om afstand te nemen van de grote internationale cloudpartijen,” vertelt hij. “Toch zien we dat veel bedrijven inmiddels zoeken naar een evenwicht. Ze erkennen de voordelen van schaalbaarheid en innovatie, maar blijven kritisch op waar hun data staat en wie er toegang toe heeft. Steeds vaker leidt dat tot een hybride aanpak, waarbij organisaties cloudtechnologie toepassen in zowel publieke als eigen omgevingen. Zo behouden ze de flexibiliteit van de cloud, zonder de controle te verliezen.”

Drie mannen zitten aan een tafel te discussiëren; er staan lege glazen en een Coca-Cola fles op tafel. Eén man gebaart terwijl hij spreekt, de anderen luisteren aandachtig. — Raynaud Schokkenbroek, Manager Solution Architects Western Europe bij Barracuda Networks

“De overstap van een on-premises omgeving naar de cloud vraagt om een fundamenteel andere benadering van beveiliging, stipt Pieter Molen aan, Country Director Netherlands bij Trend Micro. Het is niet voldoende om bestaande systemen simpelweg te migreren (‘lift and shift’) zonder de cloudspecifieke risico’s en mogelijkheden grondig te analyseren.

“Bij Trend Micro zien we dat organisaties vaak onderschatten hoe dynamisch en complex de cloudomgeving is. De cloud biedt krachtige tools voor automatisering en monitoring, waarmee organisaties hun beveiliging zelfs kunnen verbeteren ten opzichte van traditionele omgevingen. Maar dit vereist wel een goed begrip van shared responsibility, continue risicobeoordeling en het actief benutten van cloud-native securityoplossingen. Alleen door security integraal onderdeel te maken van het migratieproces en doorlopend te investeren in kennis en tooling,” zo stelt Molen, “kan een organisatie optimaal profiteren van de voordelen van de cloud zonder concessies te doen aan veiligheid.”

Risicoscores

Wie weet hoe veilig de eigen organisatie is? Cindy Wubben van Visma is als enige aan tafel een CISO en schat de oplossingen van vendoren dagelijks in. In de werkelijke implementatie zegt ze dat die oplossingen veelal overlappen en elkaar hierdoor versterken. Visma-bedrijven hebben dan ook enige keuzevrijheid voor hun IT-infrastructuur, passend bij het feit dat ze verschillen. Visma hanteert wel een zogeheten Risk Score, vertelt Wubben, gebaseerd op vijf thema’s. Security is daar een van, maar ook risicofactoren zoals juridische zaken en duurzaamheidsdoelstellingen. Hoe lager de score op elk gebied, hoe beter. Als CISO kan Wubben echter de vertaling naar de bestuurslaag maken door middel van een enkele Risk Score. Dit voorbeeld laat zien hoe veiligheid wel degelijk te kwantificeren is, en ook nog naar eigen maatstaven.

Een man in pak maakt gebaren terwijl hij spreekt aan een tafel in een vergadering, met een vrouw naast hem en een glas water voor hen. — Christo Butcher, Executive Consultant bij Fox-IT

Dat lukt een mkb’er niet zomaar, en met een groter bedrijf zit je al gauw binnen je eigen afdelingen. En zelfs dan, om de zaak nog penibeler te maken, moet je je niet rijk rekenen. “Zelfs binnen je eigen silo is het soms lastig uit te leggen waar je je geld aan uitgeeft,” vertelt De Jong van Tesorion. De offerteaanvragen van organisaties verraden continu hoe weinig die partijen weten wat ze eigenlijk moeten aanschaffen, vervolgt hij. “Als er een minimale impact is bij uitval van een bepaalde dienst, dan moet je niet alle risico’s willen afdichten.” Dat is vanzelfsprekend geen eenvoudig gesprek om te hebben als je door deze waarschuwing een klant misloopt.

Kosten versus baten

Een man met bril gebaart terwijl hij spreekt aan een vergadertafel met drankjes, bloemen en een flip-over op de achtergrond. — Steven de Boer, Senior Solutions Engineer bij Wiz

Raynaud Schokkenbroek van Barracuda Networks is het ermee eens dat de verwachte kosten versus de verdiensten lastig zijn in te schatten. Wat is immers het uitblijven van een cyberaanval of een minimale impact bij een compromis waard? “Een ander probleem is dat er geen universele oplossingen zijn van vendoren. Ze zijn ook te technisch om begrijpelijk te maken voor de bedrijfsvoering.” Zo weet een niet-technisch bestuurslid niet of een prijzige securitydienst de eigen organisatie redt of juist tot onbehapbare kosten drijft.

Steven de Boer van Wiz benadrukt het belang van duidelijke communicatie tussen organisaties en hun leveranciers, zodat leveranciers de businesscontext goed begrijpen waarbinnen securitystrategieën worden bepaald. Daarnaast zien hij en zijn collega’s regelmatig frictie tussen securityteams en applicatieteams, bijvoorbeeld wanneer een kwetsbaarheid wordt ontdekt in een systeem dat geen verbinding met het internet maakt.

“De vraag is dan: hoe kritisch is zo’n kwetsbaarheid werkelijk?” zegt De Boer. “Wat je vaak ziet, is dat securityteams alle verantwoordelijkheid voor IT-veiligheid naar zich toe trekken, terwijl applicatieteams zich vooral richten op functionaliteit. Maar ook zij moeten hun oplossingen secure by design ontwikkelen, met oog voor de risico’s én de bedrijfsdoelen.”

Een man in pak spreekt terwijl hij met zijn handen gebaart aan een tafel in een helder verlichte kamer met gele stoelen en een vaas met bloemen. — Pieter Molen, Country Director Netherlands bij Trend Micro

De beeldvorming rondom cybersecurity is vaak hardnekkig: het wordt soms gezien als een simpele checklist van maatregelen. In werkelijkheid vereist effectieve cyberbeveiliging een samenhangende aanpak waarin techniek, processen én mensen centraal staan, stelt Pieter Molen van Trend Micro. Essentieel daarbij is continu inzicht in actuele risico’s, zodat prioriteiten op een onderbouwde manier gesteld kunnen worden. De verschuiving van een reactieve naar een proactieve houding is cruciaal om het beveiligingsniveau structureel te verhogen, aldus Molen.

Dit kan gerealiseerd worden door oplossingen te gebruiken die niet alleen incidenten en risico’s signaleren, maar ook inzicht geven in mogelijke aanvalsscenario’s. Leveranciers dragen hierin ook verantwoordelijkheid: bij een offerteaanvraag is het van belang dat zij de vraag achter de vraag achterhalen en niet alleen letterlijk de vragen invullen. Alleen dan kunnen zij een oplossing bieden die daadwerkelijk bijdraagt aan het versterken van het geheel, sluit Molen mee af.

Conclusie: denk voorbij alleen de regels

Wetgeving dwingt organisaties om security serieus te nemen. “Gewoon doen wat je moet doen op securityniveau brengt je al ver,” vertelt Christo Butcher van Fox-IT. “Maar je wilt dat bedrijven verder dan compliant gaan, ze moeten ook echt veilig zijn.” Dat vatten in een NIS2-vertaling naar de Cyberbeveiligingswet of welke andere wet dan ook is onmogelijk. “Daarom moeten bestuurders verder denken dan generieke regels en inzicht eisen hoe vatbaar hun organisaties zijn voor de werkelijke gevaren.” Uiteindelijk draait het namelijk om de werkelijke gevaren, zoals ransomware, datalekken, downtime en juridische risico’s.

Over die gevaren anno 2025 praten we in een latere discussie verder met de experts aan tafel. Voor nu hebben we in kaart gebracht welke securityrisico’s er praktisch bestaan. Het valt op hoe breed dit tegenwoordig te trekken is, voorbij kwetsbaarheden en exploitaties daarvan. Cloudadoptie, de interactie tussen organisatie en vendor, tussen security- en applicatieteams, ze bouwen gezamenlijk een risicoprofiel op. Daarbij kunnen organisaties kiezen voor een score om security bespreekbaar te maken in de bestuurskamer, maar hoe je deze score opbouwt is een technische kwestie. Daarvoor heb je de expertise nodig van je eigen medewerkers en van je partners.

Lees ook: Cloud security is niet uit te besteden, je organisatie is aan zet

Blijf op de hoogte, abonneer!

Oracle gebruikt zo min mogelijk AI voor het maximale effect

Weerbaarheid gaat verder dan een cyberaanval afweren

ASML overtreft verwachtingen dankzij AI-hype

Workday CTO outlines bold AI agent strategy and major acquisitions

Nutanix CTO explains their VMware alternative and multi-cloud strategy

Managing the AI chaos with ServiceNow's AI Control Tower

How VMware VCF 9 and Tanzu simplify enterprise automation

Wat heb je nodig om de evolutie van Agentic AI te blijven volgen?

De illusie van AI-productiviteit: waarom leiders zich op het verkeerde doel richten

Hoe voldoe je aan de groeiende eisen van AI-gedreven security?

Versterk je securitystrategie met Synology ActiveProtect Appliance

Luxembourg Venture Days

Synology Solution Day 2025

Dell Technologies Forum

BrickCon The Databricks Community Conference

Appdevcon

Webdevcon

Waarom automatisering onmisbaar is in moderne cybersecurity

Wat is cyberrisico en waarom doet het ertoe?

XDR uitgelegd: waarom brede zichtbaarheid cruciaal is

Cyberverzekeringen en garanties: onmisbare bouwstenen?