Het NIST Cybersecurity Framework in een Notendop

Het NIST Cybersecurity Framework in een notendop Het NIST Cybersecurity Framework verdeelt informatiebeveiliging in vijf kerntaken: Identify, Protect, Detect, Respond en Recover. Samen vormen ze een logische cyclus: weet wat je hebt en waar je risico’s liggen (Identify), bescherm je systemen (Protect), signaleer afwijkingen (Detect), reageer op incidenten (Respond), en herstel daarna de normale gang van zaken (Recover). In theorie verdienen al deze onderdelen evenveel aandacht. In de praktijk blijkt dat sommige functies ruim in de belangstelling staan, met bijbehorend budget, terwijl andere wat wegzakken naar de achtergrond. Hoe komt dat, en wat betekent het?

Waarom detectie zo populair is

De laatste jaren zijn detectietools hét lievelingetje van de securitymarkt geworden. Van geavanceerde monitoringplatforms tot AI-systemen die indringers in real time signaleren, ze beloven inzicht, snelheid en controle. En ze zien er indrukwekkend uit: dashboards met grafieken, wereldkaarten met flitsende aanvallen, visuele spektakelstukken die zo uit een film lijken te komen.

Voor bestuurders en klanten zijn die beelden geruststellend. Ze laten zien dat er iets gebeurt, dat iemand “op de knoppen let”. Binnen de sector noemt men zulke schermen weleens met een knipoog een “management pacificatietoestel”: het kalmeert het management meer dan dat het bijdraagt aan echte veiligheid.

Detectietools verkopen goed omdat ze een aantrekkelijk verhaal vertellen: “De hacker zit al binnen; wij vinden hem als eerste.” Na jaren waarin organisaties dachten dat een firewall voldoende was, kwam het besef dat geen enkele verdediging waterdicht is. Het zogeheten assume breach-denken werd de norm, en leveranciers speelden daar handig op in met producten die beloven indringers razendsnel te detecteren.

Er zit ook psychologie achter. Een tool die meldt dat er “5.000 aanvallen zijn tegengehouden” geeft tastbaar resultaat. Een goed uitgevoerde hardening, waardoor er juist géén meldingen zijn, is moeilijker te vieren. Het menselijk brein houdt van actie en feedback, voorkomen is belangrijk, maar niet spannend.

En dan is er het verdienmodel: detectie en respons worden meestal aangeboden als abonnement of managed service, met terugkerende inkomsten en hoge marge voor de leverancier. Preventie, zoals hardening, is vaak eenmalig, stiller werk. Kortom: detectie combineert zichtbaarheid, adrenaline en verdienmodel. Geen wonder dat het populair is.

Preventie en hardening: de vergeten basis

Preventie daarentegen, het gedisciplineerd voorkomen van problemen, krijgt minder applaus. Zeker hardening, het goed instellen en onderhouden van systemen, is zelden sexy werk. Patchbeheer, ongebruikte diensten uitschakelen, rechten beperken, wachtwoorden afdwingen: het zijn precies die maatregelen die rampen voorkomen, maar niemand merkt het als het goed gaat.

Toch tonen onderzoeken keer op keer aan dat het merendeel van de incidenten te voorkomen was geweest met deze eenvoudige maatregelen. Volgens de CIS Critical Security Controls kan tot 93% van datalekken worden voorkomen door goede configuraties, tijdige updates en een actueel overzicht van assets.

Maar juist dat laatste ontbreekt vaak. Veel organisaties investeren liever in nieuwe tools dan in het op orde brengen van de basis. Het gevolg: aanvallen via bekende lekken of standaardinstellingen, de digitale variant van een deur die gewoon niet op slot zit.

Waarom krijgt preventie zo weinig liefde? Omdat succes er saai uitziet. Een goed geconfigureerd systeem doet z’n werk, zonder alarm, zonder applaus. En binnen organisaties wordt “beveiligingshygiëne” nog vaak gezien als hinderlijk: iets wat processen vertraagt of gebruikers in de weg zit.

Daar komt bij dat hardening geen product is, maar een gedeelde verantwoordelijkheid. Het vergt samenwerking tussen IT en security, discipline, onderhoud en soms een geplande onderbreking. Dat is moeilijker te verkopen dan een kastje met lampjes.

Onderbelichte onderdelen: Identify en Recover

Niet alleen preventie, ook andere functies van het NIST-model blijven onderbelicht.

Identify, weten wat je bezit en waar het staat, is in veel organisaties onvoldoende uitgewerkt. Volgens onderzoek heeft slechts een kwart van de bedrijven een volledig overzicht van hun hardware en cloudsystemen. En wat je niet kent, kun je ook niet beveiligen. Vergeten servers, oude accounts en schaduw-IT zijn voor aanvallers laaghangend fruit.

Ook Recover krijgt vaak pas aandacht als het misgaat. Back-ups zijn er meestal wel, maar herstelprocedures blijken bij een aanval niet getest, verouderd of incompleet. Het gevolg: lange uitval, dataverlies en stress, omdat het rampenplan nog op de plank ligt.

De oorzaak: psychologie en prikkels

De onbalans in het NIST-model is geen toeval. Ze komt voort uit drie factoren: menselijke natuur, economische prikkels en organisatiecultuur.

Mensen houden van actie. Een dreiging zien en erop reageren voelt daadkrachtig. Een aanval voorkomen voelt… onzichtbaar. Daarbij helpt de constante stroom van nieuws over datalekken niet: ze voedt de behoefte aan zichtbare bescherming.

Economisch is het logisch: het is eenvoudiger om een detectie- of responsdienst te verkopen dan een preventiemethode die de klant deels zelf moet uitvoeren. Abonnementen en monitoring leveren terugkerende omzet op; een goed uitgevoerde hardening niet altijd.

En cultureel speelt gewenning mee. Jarenlang werd beveiliging gezien als iets wat “IT regelt”. Preventieprojecten sneuvelden vaak bij druk op de planning, want “de operatie moet door”. Zo groeit een cultuur waarin detectie prioriteit krijgt en hardening een bijzaak blijft.

Naar meer evenwicht

Een gezonde beveiligingsstrategie vraagt om balans. Te veel nadruk op één onderdeel maakt de rest kwetsbaar. Een organisatie die wel alles logt, maar haar servers niet updatet, houdt vooral veel meldingen over zichzelf bij.

Onderzoekers adviseren daarom om het budget en de aandacht ruwweg te verdelen:

• 35–40% voor Protect (preventie, hardening, patchbeheer)

• 25–30% voor Detect

• 25–30% voor Respond en Recover

  Dat is geen exacte wetenschap, maar het voorkomt dat één domein alles opslokt. De kern blijft: sterke basis, aangevuld met slim toezicht.

Wat kun je als organisatie concreet doen?

1. Breng je assets in kaart, je kunt niet beveiligen wat je niet kent.

2. Voer structureel patch- en configuratiebeheer. Hardening is nooit “klaar”.

3. Meet voortgang, bijvoorbeeld het percentage systemen dat volledig up-to-date is binnen SLA.

4. Test je herstelplan, een back-up is pas waardevol als je hem kunt terugzetten.

5. Verander de gesprekken. Vraag niet alleen: “Hoeveel aanvallen zagen we?”, maar ook: “Hoeveel kwetsbaarheden hebben we verholpen?”

Zo verschuif je de aandacht van spanning naar stabiliteit — en dat is precies wat echte veiligheid nodig heeft.

Tot slot

Elk onderdeel van het NIST-framework is belangrijk. Detectie en respons krijgen veel aandacht, en vaak terecht, maar ze vervangen geen goede Identify- en Protect-processen. De uitdaging is balans: techniek én discipline, zichtbaarheid én rust.

De meest volwassen organisaties combineren moderne detectie met sterke preventieve hygiëne. Ze investeren net zo graag in het onzichtbare werk, patchen, hardenen, trainen, als in de nieuwste tool. En interessant genoeg: hoe beter ze dat doen, hoe minder piepjes er op hun dashboards verschijnen. En dát is misschien wel het mooiste signaal van allemaal.