Dutch IT Chanel Logo mobile
Search icon
29 juni 2026

Cybersecurity is kwaliteitsmanagement

Een cyberaanval is vergelijkbaar met een kwaliteitsaudit van je cyberveiligheid, alleen gedaan door onbekende derden. Op zoek naar afwijkingen in die kwaliteit die jij nog niet kent. In mijn vorige blog stelde ik dat kwaliteit niet meetbaar is. Kwaliteit is de norm. Alleen afwijkingen van die norm zijn zichtbaar en dus meetbaar. Hetzelfde geldt voor security. We meten geen security, we meten non-security. We meten beveiligingsincidenten, kwetsbaarheden, datalekken, ransomware-aanvallen, misconfiguraties en menselijke fouten.

Security
Cybersecurity is kwaliteitsmanagement image

We meten non-security. Want security is geen product, geen certificaat en geen afdeling. Security is de zichtbare kwaliteit van een organisatie. Net zoals kwaliteit zichtbaar wordt door het ontbreken van fouten, wordt security zichtbaar door het ontbreken van incidenten. Wie security écht wil verbeteren, moet niet beginnen bij technologie, maar bij de kwaliteit van de organisatie zelf. Uiteindelijk is cybersecurity niets anders dan kwaliteitsmanagement voor het digitale tijdperk.

Technologie is hulpmiddel, geen oorzaak

Dat klinkt misschien als een provocerende stelling. De cybersecurity-industrie heeft ons immers geleerd dat security vooral draait om firewalls, encryptie, endpoint-detectie, monitoring, logging, certificeringen en compliance. Natuurlijk zijn deze zaken belangrijk. Maar ze zijn niet de oorzaak van security. Ze zijn hooguit hulpmiddelen. De werkelijke vraag is niet welke technologie een organisatie gebruikt, maar hoe goed die organisatie functioneert.

Een ransomware-aanval onthult organisatorische tekortkomingen. Wanneer een organisatie wordt getroffen door ransomware, blijkt achteraf zelden dat de aanval uitsluitend mogelijk was door een technisch probleem. Vrijwel altijd komt een combinatie van factoren aan het licht: onduidelijke verantwoordelijkheden, achterstallig onderhoud, onvoldoende documentatie, gebrekkig change-management, ontbrekende procedures, onvoldoende opleiding of een gebrek aan bestuurlijke aandacht voor risico’s.

De ransomware-aanval is niet het probleem; de aanval maakt het probleem alleen zichtbaar. Net zoals een defect product wijst op een tekortkoming in het productieproces, wijst een security-incident op een tekortkoming in het organisatorische proces.

Cyberaanval of kwaliteitsaudit: hetzelfde doel

Het incident is de afwijking. De onderliggende oorzaak ligt vrijwel altijd dieper. In dat opzicht verschilt een cyberaanval nauwelijks van een kwaliteitsaudit. Beide zijn op zoek naar afwijkingen van de norm. Het enige verschil is dat een kwaliteitsaudit wordt uitgevoerd door een interne of externe auditor, terwijl een cyberaanval wordt uitgevoerd door een tegenstander die dezelfde afwijkingen ontdekt voordat jij dat doet. Echte security komt uit een kwaliteitscultuur.

Dat verklaart ook waarom organisaties die uitblinken in security vaak niet de organisaties zijn met de grootste security-afdelingen. Het zijn organisaties waarin: verantwoordelijkheden helder zijn belegd, processen beheerst verlopen, wijzigingen zorgvuldig worden doorgevoerd, afwijkingen worden gemeld en medewerkers begrijpen welke rol zij zelf spelen in het geheel. Met andere woorden: het zijn organisaties waarin kwaliteit onderdeel is van de cultuur.

Security als eigenschap van de organisatie

Hier ligt ook een belangrijke les voor bestuurders. Veel organisaties reageren op toenemende cyberdreigingen door meer beveiligingsproducten aan te schaffen of extra security-specialisten aan te nemen. Dat is begrijpelijk, maar vaak vergelijkbaar met het uitbreiden van de kwaliteitscontrole aan het einde van een productielijn. Het kan helpen om fouten te ontdekken, maar het voorkomt niet dat die fouten ontstaan. Kwaliteit wordt niet in een product geïnspecteerd. Kwaliteit wordt in het proces ontworpen. Hetzelfde geldt voor security.

Een organisatie die haar informatiestromen begrijpt, haar processen beheerst, verantwoordelijkheden expliciet maakt en afwijkingen structureel corrigeert, bouwt security in haar werkwijze in. Niet als aparte discipline, maar als eigenschap van de organisatie zelf. Dat betekent ook dat security niet meetbaar is. Wat we meten zijn afwijkingen van security: het aantal incidenten, kwetsbaarheden, ongeautoriseerde wijzigingen, misconfiguraties, auditbevindingen of privilege-escalaties. Allemaal vormen van non-security, net zoals defecten vormen van non-kwaliteit zijn.

Geen scores, maar echte kwaliteit

Daarom is het misleidend om te spreken over een “security score” of een “security maturity level” alsof daarmee security zelf wordt gemeten. Wat in werkelijkheid wordt gemeten, is de mate waarin afwijkingen zichtbaar zijn geworden. Net zoals een minimaal aantal productiefouten iets zegt over de kwaliteit van een proces, zegt een minimaal aantal security-incidenten iets over de kwaliteit van een organisatie.

Security is een organisatievraagstuk. Het gaat niet primair over systemen, maar over leiderschap, verantwoordelijkheid, discipline, transparantie en continue verbetering. Technologie ondersteunt dat proces, maar kan het nooit vervangen. Misschien is dat wel de belangrijkste les van het digitale tijdperk: Cybersecurity is niet het beschermen van computers tegen aanvallers. Cybersecurity is het organiseren van kwaliteit in een wereld waarin vrijwel alle processen digitaal zijn geworden. En precies daarom is security de kwaliteit van een organisatie. Niet meer en niet minder.

Door: Hans Timmerman (foto)

Cybersec Netherlands BW + BN MSP Show NL BW + BN

Dutch IT events

Event icon

Event

Dutch IT Golf Cup 2026

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Alle events
Cybersec Netherlands BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!