Week 1–2: The Clarity Assessment
De Sprint begint met een diagnose. Geen vragenlijst die u zelf invult. Een gedegen, hands-on assessment waarin we elke tekortkoming in uw omgeving in kaart brengen: identity- en access management, endpoint security, back-up en recovery, logging en monitoring, security-beleid, leveranciersrisico en offboarding-procedures.
We kijken naar wat u heeft, wat u denkt te hebben en wat daadwerkelijk werkt. Het verschil tussen deze drie is meestal significant. De meeste bedrijven overschatten hun dekking met 40-60%, omdat ze "we hebben de tool gekocht" verwarren met "de tool is geconfigureerd, gemonitord en wordt afgedwongen."
Resultaat: een geprioriteerde remediatie-roadmap. Geen rapport van 200 pagina's dat in de kast belandt. Een helder, gefaseerd plan dat u precies vertelt wat wordt geïmplementeerd, in welke volgorde en waarom.
Week 3–4: Fundamentele controls
Dit is waar het meest impactvolle werk plaatsvindt. We implementeren de controls die 90% van de security-incidenten stoppen: SSO afgedwongen voor alle applicaties (geen wachtwoord-alleen toegang meer tot kritieke systemen), MFA op elk account dat bedrijfsdata raakt, device management (MDM) ingeschreven voor alle endpoints, en endpoint detection and response (EDR) uitgerold met 24/7 monitoring.
Deze vier controls alleen al transformeren uw security-houding van "hopelijk gebeurt er niets" naar "we zouden een incident detecteren en beheersen." De meeste datalekken benutten een van deze tekortkomingen — gestolen credentials, onbeheerde apparaten of endpoints zonder detectiecapaciteit. Tegen week 4 zijn die vectoren gesloten.
Week 5–8: Policy pack en evidence
Dit is de fase waarin de meeste DIY security-inspanningen stranden. Het schrijven van informatiebeveiligingsbeleid, het opbouwen van een risicoregister, het documenteren van toegangsbeoordelingen, het opzetten van evidence-verzameling — het is onromantisch, detailrijk werk dat iemand vereist die het voor tientallen bedrijven heeft gedaan, niet iemand die het voor het eerst uit een sjabloon probeert te halen.
Wij leveren het volledige policy pack: informatiebeveiligingsbeleid, acceptable use policy, data classification policy, incident response plan, vendor management policy, access control policy en business continuity plan. Dit zijn geen generieke documenten met uw logo erop geplakt. Ze zijn geschreven om uw werkelijke omgeving, uw werkelijke tools en uw werkelijke risicoprofiel weer te geven.
Tegelijkertijd beginnen wij met het verzamelen van de evidence waar auditors en enterprise-kopers naar zullen vragen. Logs van toegangsbeoordelingen. Configuratie-screenshots. Records van beleidsbevestigingen. Het evidence pack begint op te bouwen vanaf dag één van deze fase — want compliance gaat niet over het hebben van beleid, het gaat over bewijzen dat u zich eraan houdt.
Week 9–10: Geavanceerde controls
Met de fundamenten op hun plaats voegen we de geavanceerde capaciteiten toe: SIEM-configuratie met gecentraliseerde logging en alertingregels afgestemd op uw omgeving. Back-upverificatie — niet alleen "back-ups bestaan" maar "we hebben restore getest en het werkt." Vulnerability scanning over uw infrastructuur en applicaties. Incident response-procedures getest via een tabletop-oefening. Vendor risk framework toegepast op uw kritieke leveranciers.
Deze fase brengt u van "we hebben controls" naar "we hebben controls die worden gemonitord, getest en gedocumenteerd." Dat is het verschil tussen security die er op papier goed uitziet en security die u daadwerkelijk beschermt.
Week 11–12: Overdracht en transitie
Alles wordt gedocumenteerd. Elke configuratie, elk beleidsstuk, elke procedure, elke tool — gedocumenteerd in een formaat dat uw team kan raadplegen en onderhouden. Uw interne security-eigenaar krijgt een briefing over wat er is geïmplementeerd, hoe het werkt en wat hun doorlopende verantwoordelijkheden zijn.
Het evidence pack wordt overgedragen. Als u ISO 27001- of SOC 2-certificering nastreeft, heeft u alles wat de auditor zal vragen. Als u overgaat naar onze managed services, verloopt de transitie naadloos — wij hebben de omgeving gebouwd, wij kennen elke configuratie en wij blijven hem draaien zonder een hiaat in de dekking.
Wat u moet leveren
Vier tot zes uur per week van een interne champion. Deze persoon hoeft geen security-expert te zijn — ze hebben beslissingsbevoegdheid nodig voor beleidsgoedkeuringen en de mogelijkheid om ons toegang te verlenen tot admin consoles. Dat is de totale tijdsinvestering van uw kant.
Wij regelen de implementatie, de documentatie, de configuratie en het projectmanagement. U neemt de beslissingen die alleen iemand binnen uw bedrijf kan nemen: "Ja, dit beleid weerspiegelt hoe wij willen werken." "Ja, trek de toegang van die persoon in." "Ja, keur deze leveranciersrisicobeoordeling goed."
Dat is het. Wij doen de rest.
"90 dagen klinkt snel totdat u het plan ziet. Dan klinkt het onvermijdelijk."
Volgende stap