De MFA-illusie
MFA is een basisvereiste. Het beschermt precies één aanvalsvector: gestolen of geraden credentials. Dat is belangrijk — credential stuffing en phishing zijn nog steeds de meest voorkomende initiële toegangstechnieken — maar het is één vector uit vele. MFA doet niets voor onbeheerde apparaten die verbinding maken met uw systemen. Niets voor ontbrekende back-ups wanneer ransomware toeslaat. Niets voor het ontbreken van logging dat betekent dat u een datalek maandenlang niet zult detecteren. Niets voor de ex-medewerker die nog steeds toegang heeft tot uw productieomgeving.
De meeste SaaS-bedrijven die wij beoordelen hebben MFA ingeschakeld en geloven dat ze "redelijk veilig" zijn. Wanneer we dieper kijken, missen ze 4-5 van de 7 controls die daadwerkelijk een security-baseline vormen. MFA is waar security begint. Het is niet waar het eindigt.
1. Identity- en access management
Single sign-on voor alle applicaties — niet alleen die het gemakkelijk maken. Role-based access control zodat mensen alleen toegang hebben tot wat ze nodig hebben voor hun werk. Kwartaalbeoordelingen van toegang om permission creep te detecteren. Geautomatiseerde provisioning bij indiensttreding en onmiddellijke deprovisioning bij uitdiensttreding.
De test is eenvoudig: als iemand uw bedrijf vandaag verlaat, hoe lang duurt het tot elk account, token en toegangsrecht is ingetrokken? Als het antwoord "een paar dagen" is of "als IT eraan toekomt," heeft u een identity- en access management-probleem. Het juiste antwoord is 24 uur of minder, en het zou automatisch moeten worden geactiveerd — niet afhankelijk van iemand die eraan denkt een checklist door te lopen.
2. Endpoint protection (EDR)
Elk apparaat dat bedrijfsdata raakt heeft managed endpoint detection and response nodig. Geen consumer-antivirus. Geen "Windows Defender is waarschijnlijk wel voldoende." Echte EDR met gedragsdetectie, 24/7 monitoring door een security operations team, geautomatiseerde isolatie van gecompromitteerde endpoints en forensische capaciteit wanneer er iets misgaat.
Het verschil tussen antivirus en EDR is het verschil tussen een slot op uw deur en een security-systeem met camera's, bewegingssensoren en een responsteam. Antivirus vangt bekende malware-signatures. EDR vangt afwijkend gedrag — de aanvaller die legitieme tools op illegitieme manieren gebruikt, de lateral movement die signature-based detectie nooit zal zien.
3. Device management (MDM)
Bedrijfsapparaten ingeschreven in een mobile device management-platform. Schijfversleuteling afgedwongen — niet "aanbevolen," afgedwongen. Remote wipe-capaciteit voor verloren of gestolen apparaten. Compliance van besturingssysteem en patches gemonitord en gealarmeerd. Een duidelijk BYOD-beleid met technische controls die de grenzen afdwingen, niet alleen een document dat mensen vraagt voorzichtig te zijn.
Zonder MDM heeft u geen zicht op de security-houding van de apparaten die toegang hebben tot uw data. U weet niet welke laptops draaien op niet-gepatchte besturingssystemen. U kunt een gestolen apparaat niet op afstand wissen. U kunt versleuteling niet afdwingen. U vertrouwt erop dat elke werknemer zijn apparaat onderhoudt volgens een standaard die u nooit heeft gedefinieerd en niet kunt verifiëren.
4. Back-up en recovery
SaaS-data wordt niet automatisch geback-upt. Dit is de misvatting die bedrijven het vaakst opbreekt. Microsoft 365 heeft een retentiebeleid, geen back-up. Google Workspace heeft een prullenbak, geen back-up. Uw CRM, uw projectmanagement-tool, uw code repositories — als een gebruiker data verwijdert, als ransomware het versleutelt, als een API-integratie op hol slaat en records corrumpeert, zal uw SaaS-aanbieder het niet voor u herstellen.
Onafhankelijke back-up met geteste recovery is niet onderhandelbaar. "Getest" betekent dat u daadwerkelijk een restore heeft uitgevoerd en de data-integriteit heeft geverifieerd — niet "we nemen aan dat het werkt omdat de back-upjob is voltooid." De back-up die nooit is getest, is geen back-up. Het is een hoop.
5. Logging en monitoring (SIEM)
Als u niet kunt zien wat er in uw omgeving gebeurt, kunt u geen incidenten detecteren. De gemiddelde tijd om een datalek te detecteren is 204 dagen (IBM, 2024). Dat komt niet omdat aanvallers geavanceerd zijn. Het komt omdat de meeste bedrijven geen gecentraliseerde logging hebben, geen alerting en niemand die kijkt.
Een SIEM (Security Information and Event Management)-platform verzamelt logs van uw hele omgeving — identity provider, e-mail, endpoints, cloudinfrastructuur, applicaties — normaliseert deze, correleert gebeurtenissen en alarmeert bij anomalieën. Wanneer iemand inlogt vanaf een ongebruikelijke locatie, wanneer een service account zich abnormaal gedraagt, wanneer data-exfiltratiepatronen ontstaan — u moet het onmiddellijk weten, niet 7 maanden later tijdens een routineaudit.
6. Security-beleid
Geen documenten op een plank. Geen templates van internet met uw logo erop. Levend beleid dat uw werkelijke omgeving, uw werkelijke risicoprofiel en uw werkelijke operationele procedures weerspiegelt. Acceptable use policy. Data classification policy. Incident response plan. Vendor management policy. Access control policy. Business continuity plan.
Dit beleid dient drie doelen: het vertelt uw team wat er wordt verwacht, het levert bewijs voor compliance-frameworks en enterprise-security-vragenlijsten, en het geeft u een gedocumenteerd proces om te volgen wanneer er iets misgaat. Het bedrijf zonder incident response-plan reageert niet goed op incidenten. Het bedrijf zonder vendor management-beleid beheert leveranciersrisico niet. Het beleid is de basis voor de praktijk.
7. Offboarding
De meest verwaarloosde control in elke omgeving die wij beoordelen. Wanneer iemand vertrekt — vrijwillig of niet — moet elk account, apparaat, access token, SSH key, API credential en gedeeld wachtwoord binnen 24 uur worden ingetrokken. Niet "als IT eraan toekomt." Niet "volgende week." Onmiddellijk.
Dit betekent dat u een volledige inventaris nodig heeft van waartoe elke persoon toegang heeft (zie: identity- en access management). U heeft een geautomatiseerd of semi-geautomatiseerd proces nodig dat wordt geactiveerd bij vertrek. U heeft verificatie nodig dat intrekking daadwerkelijk heeft plaatsgevonden. En u moet de randgevallen kunnen afhandelen: gedeelde accounts, service accounts die door één persoon werden beheerd, OAuth-tokens die blijven bestaan na wachtwoordwijzigingen.
De meeste datalekken waarbij ex-werknemers betrokken zijn, gebeuren niet omdat de persoon kwaadwillig is. Ze gebeuren omdat de persoon nog steeds toegang had die niemand zich herinnerde in te trekken, en die credentials raakten via een aparte vector gecompromitteerd. Het aanvalsoppervlak dat u niet sluit, is wat wordt geëxploiteerd.
Hoeveel heeft u er?
De meeste SaaS-bedrijven die wij beoordelen hebben 2-3 van deze 7 controls op zijn plaats. Meestal MFA (gedeeltelijk — niet afgedwongen in alle apps), een vorm van endpoint protection (consumer-grade, geen managed EDR) en mogelijk een back-upoplossing voor één of twee systemen. De andere 4-5 controls zijn afwezig, gedeeltelijk geïmplementeerd, of geconfigureerd maar niet gemonitord.
De 90-Day Accelerator Sprint implementeert alle 7 in 90 dagen. Niet als theoretische oefening. Als geconfigureerde, operationele, gemonitorde en gedocumenteerde controls die uw bedrijf daadwerkelijk beschermen en voldoen aan de bewijsvereisten van ISO 27001, SOC 2 en enterprise-security-vragenlijsten.
"Security is niet één control goed gedaan. Het is zeven controls consistent gedaan."
Volgende stap