Cyberdreigingen zijn geen ver-van-je-bed-show meer. We lezen bijna wekelijks over ransomware, datalekken of gehackte cloudaccounts. En toch wordt beveiliging in veel IT‑projecten nog steeds gezien als sluitpost. Met de komende NIS2‑richtlijn (die hogere eisen stelt aan vitale sectoren, waaronder verzekeraars) en de opkomst van hybride cloudomgevingen is het tijd om onze architectuur wakker te schudden.
Als ik met teams praat over security, begint het vaak met een zucht: ‘Moeten we echt nog een wachtwoord wijzigen?’ Ja dus. Zero‑trust betekent dat je nooit één knooppunt vertrouwt – ook niet je interne netwerk. Elk apparaat, elke gebruiker en elke applicatie moet zich continu identificeren. Dat klinkt paranoïd, maar het voorkomt dat een aanvaller na één succesvolle phishingmail vrij spel heeft in je hele infrastructuur.
Wat betekent dat concreet?
- Segmenteren en authenticeren. Scheid je netwerken, geef systemen alleen toegang tot de services die ze nodig hebben en gebruik multifactor authenticatie. Ook in je DevOps‑pijplijn: zorg ervoor dat bouwservers niet zomaar bij productie kunnen.
- Encryptie standaardiseren. Onversleuteld verkeer en databases zijn in 2025 echt not done. Versleutel data at rest en in transit en zorg dat sleutels veilig beheerd worden. Tijdens audits zie ik nog te vaak plain‑text wachtwoorden in configuratiebestanden of datasets zonder encryptie. De nieuwe regelgeving maakt daar korte metten mee.
- Voorbereiden op NIS2. Deze richtlijn dwingt organisaties na te denken over risicobeheer, incidentrespons en supply chain security. Dat is geen papieren tijger: verwacht strengere rapportageplicht bij incidenten en audits die verder gaan dan een Excel sheetje met kwetsbaarheidsscans. Investeer in processen en tooling die je helpen aantoonbaar aan de eisen te voldoen.
Ik heb geen spectaculaire hackverhalen om te delen, en dat is maar goed ook. Goede security is saai: logging, monitoring, rechten opschonen, updates installeren. Maar ik weet uit ervaring dat de saaiheid pas waarde krijgt als je onder druk staat. Dus besteed er aandacht aan voordat je in het nieuws komt.
Tot slot een tip: behandel beveiliging als een iteratieve reis. Begin klein, bijvoorbeeld met het segmenteren van je netwerk of het afdwingen van MFA, en bouw stapsgewijs verder. Gebruik threat modelling en architectuurprincipes om security integraal onderdeel van je ontwerp te maken. Zo voorkom je dat je moet uitleggen aan een toezichthouder dat je de NIS2 alleen maar kende van horen zeggen.