Blog door Thomas Verwer, CEO & Founder Nedscaper
Ik zie het bijna wekelijks gebeuren: een bedrijf haalt de krantenkoppen omdat ze digitaal gegijzeld zijn door een stel hackers. Iedereen is in paniek, de schade loopt in de miljoenen en alles wordt in werking gezet om het digitale vuur zo snel mogelijk te blussen.
Natuurlijk heeft de Microsoft E7 suite veel producten die enige vorm van automatisch isoleren functie aanbieden, mits juist ingesteld. Maar het belangrijkste in cybersecurity is niet hoe snel je een groot uitslaand vuur kan blussen. Het is veel belangrijker om de stappen te zetten die voorkomen dat zo’n groot vuur kan ontstaan. Het gaat om de kleine brandjes dus. En als CEO van Nedscaper merk ik dat bedrijven daarbij vaak naar de verkeerde dingen kijken.
De achterdeur op slot doen
Veel bedrijven willen direct de meest moderne tools aanschaffen. Ze kopen ingewikkelde cybersecurity oplossingen die met veel kabaal beloven dat ze alles veilig houden. En vandaag de dag is dan natuurlijk AI het nieuwste snufje. Maar het is en blijft dweilen met de kraan open als je de basis niet op orde hebt. Je kunt wel de duurste alarmsystemen kopen, maar als de achterdeur op een kier staat, hebben die sensoren bij de voordeur weinig zin. De criminelen wandelen dan gewoon via die kier naar binnen terwijl jij naar je glimmende dashboard kijkt.
Echte veiligheid begint dus niet bij die nieuwe systemen, maar bij het in kaart brengen van die kieren. In mijn vakgebied noemen we dat ‘Security Posture Management’. Een dure term, maar wel heel belangrijk. Het gaat hierbij over je basishouding: hoe staat je bedrijf er op dit moment echt voor? Waar zitten de lekkages? En hoe houden we dat elke dag scherp? Dat is misschien minder spannend dan een scherm vol knipperende lampjes, maar het is wel wat je ’s nachts laat slapen. Het is vaak grondwerk (en dat is niet het leukste werk). Maar het is oh zo belangrijk. Bij Nedscaper hebben we sinds een jaar of 3 onze “Human-Touch” MXDR dienstverlening op de markt gebracht. Hierin leveren we dit grondwerk aan de klant, met een senior adviseur in de dienst. Die loopt al jaren mee en helpt om nuchter en pragmatisch dat grondwerk te verzetten. Om die achterdeur te versterken en stap voor stap iedere week een beetje beter de zaken op orde te krijgen.
De drie bouwstenen van cybersecurity
Zoals gezegd heeft de Microsoft E7 suite veel producten die enige vorm van automatisch isoleren functionaliteit aanbieden, mits juist ingesteld. Maar voor een sterke basis heb je drie dingen nodig: mensen, techniek en processen. Als één van die drie verzaakt, dondert je hele verdediging om. Laten we er eens op inzoomen.
1. Mens
De medewerker wordt vaak gezien als het grootste risico. Ik vind die visie achterhaald. Zeker in de wereld van vandaag, waarin phishing bijna niet meer van echt te onderscheiden is. Vergelijk het met de veiligheid in een fabriek: als een medewerker daar struikelt over een gladde vloer, ga je niet met de vinger naar de medewerker wijzen. Je zorgt dat de vloer goed is om op te werken en dat iedereen een helm draagt.
In de digitale wereld kun je medewerkers ook zo’n ‘helm’ geven. Denk aan het toevoegen van gezichtsherkenning of een vingerafdruk om in te loggen. En is er toch een fout gemaakt? Ondersteun je medewerkers dan met een goede 24×7 monitoring in plaats van ze te beschuldigen. Daar leer je als organisatie veel meer van.
2. Techniek
Om die collega’s te beschermen, heb je techniek nodig die makkelijk te beheren is. Met de ontwikkelingen op het gebied van AI gaat alles sneller. Cyberaanvallen dus ook. De tijdspanne van de eerste stap van een cyberaanval tot de laatste stap kan in enkele uren of zelfs minuten plaatsvinden. Het helpt dan niet mee dat een organisatie inmiddels gemiddeld meer dan 40 securityoplossingen heeft (IDC, 2025). Zo’n gefragmenteerde securityomgeving maakt complex en vertraagt. Wij kiezen daarom bewust voor een geïntegreerd securityplatform van Microsoft.
Niet omdat we fan zijn van het logo, maar omdat alle tools van Microsoft naadloos met elkaar praten. Zowel aan de security tooling kant als ook aan de IT infrastructuur kant. Van werkplek tot server tot cloud omgeving. Dat zorgt voor snelheid en eenvoud. Als er dan toch ergens een klein brandje ontstaat, weet het hele systeem dat meteen, want al die systemen praten dezelfde taal met elkaar. Zo smoor je een aanval in de kiem wanneer het nog een klein brandje is, voordat het een uitslaande brand wordt. Met de aankondiging van Microsoft 365 E7 zet Microsoft een volgende stap in het verder versterken van zijn geïntegreerde securityplatform.
3. Proces
Zijn we er dan? Nee, helaas. Techniek lost zo goed als niks op zonder een strak proces. Je moet precies weten wie wat doet als er een melding binnenkomt. Wat is de context van de data? En daar wordt het vaak te abstract. In een wereld waarin computers en AI agents het werk overnemen, wil je bij een dreiging geen ticket moeten aanmaken en ergens in een overvolle mailbox belanden. Je wilt praten met een expert die jouw bedrijf kent en begrijpt. Persoonlijk. Menselijk. Daarin kun je ook nog steeds techniek inzetten. Onze MXDR dienstverlening maakt van top tot teen gebruik van AI om efficiënter en slimmer te werken, zodat onze experts tijd hebben om met de klant bezig te zijn.
Ik geloof in korte lijnen. Voor onze klanten zijn ik en mijn collega’s vaak gewoon via een WhatsAppje bereikbaar. Juist als de spanning oploopt, geeft direct contact de rust die nodig is om goede beslissingen te nemen. Techniek biedt data, maar mensen bieden de oplossing en zekerheid.
De weg naar volwassenheid
In de wereld van cybersecurity zie ik dat bedrijven regelmatig nog een drempel voelen om ermee aan de slag te gaan. Het wordt soms nog gezien als iets ingewikkeld of een ver van je bed show. Gelukkig komt daar steeds meer verandering in doordat de wetgeving drukt op bestuurders en aandeelhouders. Het is niet meer alleen het probleem van de CISO, maar ook van de CEO en CFO. Dat helpt ontzettend.
Maar dit samenspel tussen mens, proces en techniek hoeft er niet van de ene op de andere dag te staan. Sterker nog: niemand is in één klap honderd procent beveiligd. Het is een reis. In plaats van een peperduur plan van drie jaar dat in de la verdwijnt, geloof ik in een pragmatische aanpak: we beginnen met het meten van de temperatuur. Hoe volwassen is je security op dit moment? Waar zit je achilleshiel en waar kunnen we makkelijk veel grond verzetten? We maken hier een duidelijk plan voor van een paar kantjes, in plaats van 150 slides aan presentaties.
Vaak blijkt dat je geen bakken met geld hoeft uit te geven om het verschil te maken. Met kleine stappen kan je al veel bereiken. We beginnen altijd bij het laaghangende fruit, zoals het goed regelen van de toegang voor medewerkers, hier beginnen de eerste brandjes vaak, en bouwen van daaruit stap voor stap verder. Zoals het versterken van je werkplek, waar die eerste brandjes vaak naartoe uitbreiden. Zo houd je de grip en breng je rust in de tent.
Van kostenpost naar gaspedaal
Stop dus met security te zien als een ingewikkeld probleem of een vervelende rekening die elk jaar betaald moet worden. Maar zie het als een mogelijkheid om harder te groeien. Maak de risico’s bewust bij je gehele directieteam en je ketenleveranciers. En besef dat het helemaal prima is om brand te hebben. Zo lang je ze maar klein weet te houden, en vroegtijdig in de kiem smoort.
Een waterdicht fundament is geen rem op je bedrijf, maar een gaspedaal. Als je weet dat je basis veilig is en je de zaak onder controle hebt, kun je met veel meer lef gaan vernieuwen en groeien. Begin dus bij de basis, zet kleine stappen en zorg dat je mensen om je heen hebt die je kunt appen als het er echt op aankomt.
Wil je weten hoe jouw ‘achterdeur’ er écht voor staat?
Laat we samen kijken waar je securitybasis vandaag staat. Ik ga graag met je in gesprek om te kijken naar je huidige situatie en waar je snel winst kunt boeken, zonder dikke rapporten of eindeloze slides.
———————–
The myth in cybersecurity: why expensive software does not automatically protect your business
I see it happen almost every week: a company makes headlines because it has been digitally held hostage by a group of hackers. Panic sets in, the damage runs into the millions, and everything is put into motion to extinguish the digital fire as quickly as possible.
But the most important aspect of cybersecurity is not how fast you can put out the fire. What matters far more is taking the right steps to prevent the organization from going up in flames in the first place. As CEO of Nedscaper, I see many companies focusing on the wrong priorities when it comes to cybersecurity.
Lock the back door
Many organizations immediately want to purchase the latest tools and technologies. They invest in complex systems that promise complete protection. But if the fundamentals are not in place, this approach is comparable to bailing water from a sinking ship while ignoring the hole in the hull.
You can install the most expensive alarm system imaginable, but if the back door is left open, the sensors at the front entrance offer little protection. Attackers will simply walk in through the open door while you are focused on your impressive security dashboard.
True security does not start with buying new systems. It starts with identifying the weak spots. In cybersecurity, we call this ‘Security Posture Management’. The term may sound technical, but the concept is essential. It is about understanding where your organization truly stands today. Where are the vulnerabilities? And how do you ensure those risks remain visible and addressed on an ongoing basis?
This approach may be less exciting than a screen full of alerts and flashing lights, but it is what allows organizations to sleep better at night.
The three building blocks of cybersecurity
A solid cybersecurity foundation consists of three elements: people, technology, and processes. If one of these fails, the entire defense structure is weakened. Let us take a closer look at each of them.
1. People
Employees are often labelled as the biggest security risk. That perspective is outdated. Consider workplace safety as a factor: if an employee slips on a wet floor, the solution is not to blame the individual. Instead, you improve the flooring and ensure everyone wears protective equipment.
The same principle applies in the digital world. You can provide employees with a digital equivalent of protective gear, for example, by using multifactor authentication such as facial recognition or fingerprint verification. And if an incident still occurs, support your employees rather than pointing fingers. Organizations learn far more from that approach.
2. Technology
To protect people effectively, organizations need technology that is both powerful and manageable. That is why we deliberately choose Microsoft. Not because of brand loyalty, but because Microsoft solutions integrate seamlessly with one another.
This integration enables speed. If a small anomaly appears anywhere in the environment, the entire system becomes aware of it immediately. That speed is crucial to stopping an attack before it escalates into a serious incident.
3. Process
Does technology alone solve the problem? Unfortunately, it does not. Without clear and efficient processes, even the best technology falls short. When a security incident occurs, it must be absolutely clear who is responsible for what and when action is required. This is where cybersecurity often becomes too abstract. In a world increasingly driven by automation and systems, organizations do not want to become anonymous ticket numbers during a crisis, lost in an overflowing inbox. They want direct access to experts who understand their business and their environment.
This is why I strongly believe in short communication lines. My colleagues and I are often just a WhatsApp message away for our clients. Especially during high-stress situations, direct human contact provides clarity and reassurance, helping organizations make better decisions. Technology delivers information. People deliver solutions.
The path to maturity
Many organizations remain hesitant to take cybersecurity seriously. It is often viewed as complex, overwhelming, or something that can be postponed.
However, achieving the right balance between people, technology, and processes does not need to happen overnight. No organization becomes fully secure in a single step. Cybersecurity is a journey. Instead of committing to an expensive and rigid three-year roadmap, I believe in a pragmatic approach. We begin by taking the temperature. How mature is your security posture today?
In practice, many organizations discover that meaningful improvements do not require massive investments. Small, focused steps can make a significant difference. We typically start with basic measures, such as properly managing user access, and then build from there step by step. This approach maintains control and creates a sense of calm and confidence throughout the organization.
From cost center to accelerator
Cybersecurity should no longer be viewed as a necessary evil or a recurring expense that offers little return. Instead, it should be recognized as a growth enabler.
A strong security foundation does not slow an organization down. It enables faster innovation and more confident decision-making. When organizations know they are in control, they can focus on growth instead of constantly worrying about risk.
Start with the fundamentals. Take small, deliberate steps. And make sure you have experts you can reach directly when it truly matters.
That is the difference between hoping everything will turn out fine and knowing your organization is prepared.
3