U bevindt u op een vertrouwde pagina. Maar dat wist u op dat moment nog niet.
U scande. U hebt geklikt. U kwam op de pagina terecht. U ging verder. De meeste mensen doen precies hetzelfde, elke dag opnieuw, in e-mails, berichten en gedrukt materiaal. Het voelde normaal. Omdat het meestal normaal is. En precies daar beginnen veel incidenten.
Wat als deze pagina niet van sunbytes.io was geweest, maar van sunbyte.io ?
Dat is geen hypothetisch scenario. Zo beginnen veel incidenten: niet met een duidelijk gevaar, maar met een routinehandeling in een vertrouwde context.
“Aanvallers registreren vaak domeinen die bijna identiek lijken: één ontbrekende letter, een andere extensie, een streepje op een andere plek. Het vertrouwen voelt hetzelfde. De bestemming is dat niet.”
Amanuel Flobbe, Oprichter en CEO, Sunbytes
U bent veilig. Deze pagina is van Sunbytes, een cybersecurity- en ISO 27001-gecertificeerd bedrijf gevestigd in Utrecht, Nederland.
Het echte probleem: niet alleen bescherming, maar het ontbreken van een duidelijke baseline.
Veel bedrijven weten inmiddels dat cybersecurity belangrijk is. De meeste hebben al tools geïmplementeerd — een firewall, antivirussoftware of misschien een recente scan. Wat vaak ontbreekt, is iets fundamentelers: een duidelijke baseline — een gestructureerd inzicht in waar de organisatie daadwerkelijk kwetsbaar is, wat de impact kan zijn en welke risico’s als eerste aandacht verdienen.
Die kloof ontstaat niet door een gebrek aan investeringen. De meeste organisaties missen simpelweg een helder uitgangspunt. En zonder dat is het moeilijk om te bepalen wat prioriteit heeft, wat aangepakt moet worden of hoe adequaat te reageren wanneer er iets misgaat.
Risico schuilt in alledaagse momenten
Denk aan wat er gebeurt tijdens een normale werkdag. Een medewerker klikt op een link in wat lijkt op een e-mail van een leverancier. Een manager scant een QR-code van een geprint document. Een nieuwe contractor wordt op afstand onboarded, documenten worden gedeeld en toegangsrechten ingesteld. Een teamlid opent een bestand dat is verzonden door een vertrouwd contact.
Geen van deze handelingen is onzorgvuldig. Ze zijn routine. En juist daarom vormen ze effectieve toegangspunten.
Maar mensen zijn niet de enige factor. Ook de systemen waarop een organisatie vertrouwt — de apparaten die medewerkers gebruiken, de processen die in de loop der tijd zijn ontstaan en de workarounds die gewoontes zijn geworden — brengen risico’s met zich mee. Een niet-gedocumenteerde goedkeuringsstap. Een apparaat buiten de beheerde omgeving. Een integratie die snel is gebouwd en nooit meer is gecontroleerd. Dit zijn geen grote, opvallende lekken. Het zijn structurele gaten die zich stilletjes opstapelen.
Tools helpen. Maar ze lossen het onderliggende probleem niet op. Een firewall weet niet dat een medewerker inloggegevens heeft ingevoerd op een nagemaakte pagina. Antivirussoftware herkent geen gefabriceerde identiteit tijdens een videogesprek. Een vulnerability scan van drie maanden geleden weerspiegelt niet wat er vorige week is veranderd.
Organisaties die deze risico’s het meest effectief beheersen, zijn niet per se degene met de meeste tools. Het zijn de organisaties met een duidelijke baseline — een gestructureerd inzicht in hun situatie op het gebied van mensen, systemen, apparaten en processen — én een manier om daar gericht naar te handelen.
“Ik wist dat cybersecurity belangrijk was, maar pas toen we de pentest van Sunbytes gebruikten om ons nieuwe product voor de lancering voor te bereiden, besefte ik hoe cruciaal het echt is. Hun grondige aanpak bracht risico’s aan het licht waar we nooit eerder aan hadden gedacht en liet me inzien hoe belangrijk het is om ons platform vanaf dag één goed te beveiligen.”
— Selina, Directeur, Methodemeter
Zonder een duidelijke baseline stapelt bedrijfsrisico zich stilletjes op
De gevolgen van het ontbreken van een duidelijke baseline zijn in eerste instantie zelden dramatisch. Ze worden geleidelijk zichtbaar — in de vragen die een organisatie niet kan beantwoorden, de deals die ongemerkt verloren gaan en audits waarvoor men onvoldoende voorbereid is.
- Een klant stuurt een securityvragenlijst. Het team besteedt dagen aan het verzamelen van informatie die eigenlijk al in gestructureerde vorm beschikbaar zou moeten zijn. De antwoorden zijn inconsistent. De deal loopt vertraging op.
- Een partner vraagt om bewijs van beveiligingsmaatregelen voordat een contract wordt verlengd. Het management kan dit niet snel aanleveren. De relatie komt onder druk te staan.
- Een bestuurslid vraagt naar de security posture van het bedrijf. Er is geen duidelijk antwoord. Het gesprek loopt vast.
Dit zijn geen catastrofale gebeurtenissen. Dit is de dagelijkse weerstand die ontstaat wanneer een organisatie zonder een duidelijk uitgangspunt werkt — en voor groeiende bedrijven wordt die weerstand met de tijd steeds groter.
Klaar om te ontdekken waar U écht staat?
Wanneer er iets misgaat: herstel is geen tool, maar een plan
Preventie is belangrijk. Maar geen enkele securityaanpak elimineert risico volledig. De relevantere vraag is niet óf er een incident zal plaatsvinden — maar of de organisatie voorbereid is om te reageren wanneer dat gebeurt.
Recovery readiness is geen product. Het is een kwestie van voorbereid zijn: weten wie verantwoordelijk is wanneer er iets misgaat, welke stappen gevolgd moeten worden, welk bewijsmateriaal nodig is en hoe er tijdens en na een incident met klanten en partners gecommuniceerd moet worden.
Zonder die structuur wordt iedere reactie geïmproviseerd. En geïmproviseerde reacties zijn trager, kostbaarder en moeilijker te verantwoorden.
Een bedrijf had een UPS-back-upoplossing geïmplementeerd en beschouwde zichzelf als operationeel goed voorbereid. Toen ransomware toesloeg via één klik op een laptop, bleek de UPS niet het probleem te zijn. Er was geen databack-up. Er was geen recoveryplan. Geen gedocumenteerde vervolgstappen. De UPS beschermde tegen stroomuitval. Het beschermde niet tegen wat er al op het apparaat draaide.
Een echte case van een Sunbytes-klant — gedeeld met toestemming.
Het verschil tussen een beheersbaar incident en een langdurige crisis was geen ontbrekende tool. Het was een ontbrekend plan.
Een duidelijke baseline maakt recovery planning mogelijk. Het brengt in kaart wat het belangrijkst is, waar kritieke afhankelijkheden zich bevinden en wat een responseplan daadwerkelijk moet afdekken. Zonder die basis moeten organisaties dit onder druk proberen uit te zoeken.
Een praktische manier om hiernaar te kijken
Voor de meeste groeiende bedrijven ligt het antwoord niet in een groter securitybudget of een geavanceerdere set tools. Het begint met een duidelijker vertrekpunt — een baseline waarop daadwerkelijk gehandeld kan worden.
Die baseline is een gestructureerde beoordeling van waar de organisatie staat op de gebieden die ertoe doen — mensen, systemen, apparaten en processen. Geen compliance-audit. Geen penetratietest. Maar een helder overzicht van de huidige blootstelling aan risico’s, geprioriteerd op basis van wat de grootste impact heeft op de business.
Een organisatie met een duidelijke baseline kan drie vragen beantwoorden die het management op elk moment zou moeten kunnen beantwoorden:
- Waar zijn we kwetsbaar?
- Wat heeft prioriteit om aan te pakken?
- Wat doen we als er vandaag iets misgaat?
Als je team deze drie vragen niet duidelijk kan beantwoorden, is CyberCheck het juiste startpunt.
Een organisatie die deze drie vragen kan beantwoorden, is niet per definitie een organisatie zonder kwetsbaarheden. Het is een organisatie die ervoor heeft gekozen om helder inzicht te creëren — en daar vervolgens naar te handelen.
“De meeste organisaties waarmee we spreken, hebben al tools geïmplementeerd. Wat ontbreekt, is een gestructureerd inzicht in de vraag of die tools daadwerkelijk de juiste zaken afdekken — en wat ze moeten doen wanneer dat niet zo is.”
— Koen Klasing, CTO, Sunbytes
Drie fases van de reis
De meeste organisaties hoeven niet alles tegelijk op te lossen. De praktische weg vooruit volgt meestal een natuurlijke volgorde.
De eerste fase: het vaststellen van de baseline
Nog vóór frameworks, compliance-doelstellingen of toolingbeslissingen heeft een organisatie een gestructureerde baseline nodig. Hoe ziet de huidige security posture er daadwerkelijk uit over alle risicodomeinen heen? Waar zitten de gaten? Wat verdient als eerste aandacht?
Dat is de rol van een baseline assessment: niet om een lijst met problemen te produceren, maar om het management een helder en geprioriteerd overzicht te geven waarop actie kan worden ondernomen. Sunbytes CyberCheck levert dit binnen 3–4 weken over 18 securitydomeinen — met een vaste scope, zonder verstoring van het team, inclusief een baseline snapshot, een geprioriteerde roadmap en een evidence checklist.
Een baseline werkt in elke fase. Het is het fundament waarop complianceframeworks worden gebouwd, niet een voorwaarde om te beginnen.
De tweede fase: het aantonen ervan
Wanneer een specifiek framework in beeld komt — zoals ISO 27001, NIS2, DORA, PCI DSS of HIPAA — verschuift de vraag van “waar zijn we kwetsbaar?” naar “hoe tonen we aan dat we voorbereid zijn?”
Sunbytes Compliance Readiness koppelt bestaande controles aan het gekozen framework, identificeert de resterende gaps en bouwt de benodigde evidence-structuur voor certificering of audits. Voor organisaties die al een baseline hebben vastgesteld, verloopt deze fase aanzienlijk sneller — omdat het fundamentele werk al is gedaan.
De derde fase: het onderhouden ervan
Een framework is een startpunt, geen eindpunt. Het dreigingslandschap verandert. De organisatie verandert. Nieuwe systemen worden geïntroduceerd, processen aangepast en medewerkers onboarded. Zonder actief onderhoud raakt de baseline verouderd — en blijven geïdentificeerde gaps onbehandeld.
Voor organisaties die hun security posture structureel willen onderhouden en verbeteren — zonder een volledig intern securityteam op te bouwen — is een doorlopende samenwerking vaak het meest praktisch. Sunbytes CyberCare is een subscription-based dienstverlening die regelmatige reviews over alle securitylagen biedt, actuele evidence voor audits en vragenlijsten levert en on-demand toegang geeft tot specialisten wanneer dat nodig is. Het vervangt ad-hoc brandjes blussen door een voorspelbaar en gestructureerd programma.
Dit zijn geen drie losse producten. Het zijn drie fases van dezelfde reis: van het vaststellen van een baseline, naar het onderhouden ervan, tot het aantonen ervan.
Een vraag die het waard is om bij stil te staan
Security begint niet bij complexiteit. Het begint met een eerlijk beeld van waar u staat.
Als u vandaag uw huidige securityrisico’s zou moeten uitleggen — aan een klant, een partner of uw raa van bestuur — hoeveel vertrouwen zou u dan hebben in uw antwoord?
De meeste organisaties kunnen daar geen helder antwoord op geven. Dat is geen falen. Het is simpelweg waar veel bedrijven vandaag de dag staan.
De eerste stap is de beslissing om daar duidelijkheid over te krijgen.
Als lezer van de FD Cybersecurity-editie kom u in aanmerking voor een speciale introductieaanbieding op Sunbytes CyberCheck. Vul het formulier hieronder in en een van onze adviseurs neemt binnen twee werkdagen contact met u op — vrijblijvend, zonder harde verkoop.
Vraag u CyberCheck aan
Vul het formulier in en een van onze adviseurs neemt binnen twee werkdagen contact met u op om het aanbod en de scope met u door te nemen. Geen verplichtingen, geen harde sales.