Aad van Boven over de TikTok-vraag die leidde tot een nieuw product: “Beleid zonder bewijs is hopen dat het goed blijft gaan”

DoorThiemo Montezinos
Aad van Boven over de TikTok-vraag die leidde tot een nieuw product: "Beleid zonder bewijs is hopen dat het goed blijft gaan" cover

“Veel organisaties hebben een mooi beleid liggen. TikTok is verboden, segmentatie is ingericht, de firewall staat goed. Maar niemand die kan bewijzen dat het ook echt zo werkt.”

​Aad van Boven, founder en CEO van SecureMe2, stelt een vraag die veel CISO’s liever niet horen: klopt het beeld dat jij hebt van je eigen omgeving wel? Welke applicaties gebruiken medewerkers echt? Werkt de segmentatie zoals bedoeld? Gaat er data naar landen waar je liever niet mee praat? Tijdens de RSA Conference in San Francisco legde hij uit waarom verificatie de nieuwe standaard wordt in cybersecurity.

Van NDR-sensor tot applicatie-inzicht: hoe een klantuitdaging leidde tot een nieuw product

SecureMe2 is een Nederlandse cybersecurityspecialist die zich richt op het toegankelijk maken van beveiligingstechnologie voor organisaties zonder groot securityteam. Hun flagship product, CyberAlarm, is een Network Detection and Response (NDR) oplossing die een sensor in het netwerk plaatst en continu al het verkeer analyseert en alarm slaat bij afwijkend gedrag. “We leveren een meting, geen mening,” zegt Aad. “Als jouw Cisco-configuratie niet klopt, vertellen we dat. We hebben geen belang bij de uitkomst, alleen bij de waarheid.”

Dat fundament bleek een springplank naar iets nieuws. Een gemeente kwam bij SecureMe2 met een concrete vraag: kunnen jullie voor ons een TikTok-detector bouwen? Ze hadden beleid uitgeschreven waarin stond dat TikTok niet gebruikt mocht worden op gemeentelijke apparaten, maar konden niet controleren of dat beleid ook werd nageleefd. “Ze zeiden: we verbieden het, maar we kunnen het niet bewijzen.”

“Veel organisaties hebben een mooi beleid liggen. TikTok is verboden, segmentatie is ingericht, de firewall staat goed. Maar niemand die kan bewijzen dat het ook echt zo werkt.”

 Voor Aad was dat het moment waarop de bredere vraag zichtbaar werd. Want achter die TikTok-detector ging een fundamenteler probleem schuil: organisaties hebben beleid, maar geen zicht op de werkelijkheid. Welke applicaties worden er eigenlijk gebruikt? Werkt de segmentatie zoals bedoeld? Klopt het beeld dat de CISO heeft van zijn eigen omgeving? “Het gaat niet om hopen dat het goed gaat. Het gaat om aantonen dat het goed gaat.”

Inzicht als nieuwe standaard

Die behoefte aan dit inzicht werd de basis voor Atlas. Een platform dat netwerkdata vertaalt naar begrijpelijke inzichten. “Het uitgangspunt is simpel: alles wat relevant is, zie je terug in netwerkverkeer. Dus als je wilt weten wat er gebeurt, moet je daar kijken.”

​Atlas richt zich op vier gebieden die organisaties structureel blind laten. Het eerste is applicatieherkenning. Medewerkers gebruiken dagelijks tientallen applicaties, maar de meeste organisaties hebben geen idee welke dat zijn. Shadow IT, niet-goedgekeurde tools, of simpelweg applicaties die meer data versturen dan gewenst. Atlas herkent meer dan 3.500 applicaties op basis van gedrag in het netwerkverkeer, zonder dat daar agents of configuraties voor nodig zijn.

​Het tweede is geografie. Veel apparaten, zeker IoT-devices, communiceren continu met servers buiten Europa. Soms legitiem, soms niet. Atlas brengt in kaart waar netwerkverkeer naartoe gaat, tot op landniveau. Zeker in een tijd van geopolitieke spanningen is dat geen overbodige luxe.

​Het derde is segmentatie. Netwerksegmentatie geldt als een van de belangrijkste beveiligingsmaatregelen, maar de vraag is altijd: werkt het ook zoals bedoeld? Atlas maakt zichtbaar welke segmenten met elkaar communiceren, zodat een CISO niet hoeft aan te nemen dat de segmentatie klopt, maar het ook daadwerkelijk kan bewijzen.

​Het vierde is asset visibility. Je kan niet beveiligen wat je niet kent. Atlas brengt automatisch in kaart welke apparaten actief zijn op het netwerk, inclusief het type device. Dat geeft organisaties een actueel en betrouwbaar overzicht van hun eigen omgeving.

​”Dat maakt iets mogelijk wat veel organisaties missen: verificatie. Niet aannemen dat iets goed staat, maar zien dat het ook daadwerkelijk zo is.”

Meten is weten, maar hoe ver ga je?

Meer zien betekent ook meer verantwoordelijkheid. Want als je weet dat twintig medewerkers dagelijks bedrijfsdata uploaden naar een niet-goedgekeurde AI-tool, of dat een IoT-device al weken communiceert met een server in een land waar je liever niet mee praat, dan kan je niet meer zeggen dat je het niet wist.

“Je moet niet hopen dat het goed gaat, je moet het kunnen meten. Tien jaar geleden kon je nog zeggen: ik heb het uitbesteed, het is zijn probleem. Maar daar kom je niet meer mee weg. Organisaties moeten zelf in controle zijn, en dat betekent dat je het ook moet kunnen aantonen.”

​Shadow IT bestaat al jaren. Shadow AI maakt het probleem een orde groter en moeilijker te negeren. Medewerkers gebruiken tools die data verwerken, modellen trainen en informatie delen, vaak buiten het zicht van de IT-afdeling. Niet uit kwade wil, maar omdat het makkelijk is en omdat niemand het tegenhoudt.

Dat is precies waarom meten geen optie meer is, maar een vereiste. Niet om medewerkers te controleren, maar om als organisatie in controle te zijn over wat er met je data gebeurt. Wie dat niet doet, heeft geen beveiligingsstrategie. Die heeft een hoop beleid en een vinger in de lucht.

​Van reageren naar begrijpen

De vraag is allang niet meer óf organisaties meer inzicht nodig hebben. Shadow IT bestaat al jaren, maar shadow AI maakt het probleem een orde groter. Medewerkers gebruiken tools die data verwerken, modellen trainen en informatie delen, vaak zonder dat de IT-afdeling het weet. Wie niet meet wat er gebeurt, heeft geen beveiligingsstrategie. Die heeft een hoop beleid en een vinger in de lucht.

Dit interview werd opgenomen tijdens de RSA Conference in San Francisco, als onderdeel van de handelsmissie van InnovationQuarter.

Vergelijkbare berichten