IT Blogs | Lees onze laatste blogs

Van tijdrovende cybersecuritytaken naar business enablers

Geschreven door Bart Van den Branden | 13-jul-2026 13:15:32

Vulnerability management: van routinetaak naar strategisch voordeel 

Vulnerability management omvat het identificeren, beoordelen, prioriteren en patchen van beveiligingskwetsbaarheden voordat cybercriminelen ze misbruiken. Het is misschien niet het meest spannende aspect van cybersecurity, maar door het proactieve karakter wel een fundamenteel onderdeel. Hoewel organisaties vaak focussen op Detect & Respond, is Assess & Prevent onmisbaar voor een efficiënte beveiliging. Je kan het vergelijken met fysieke beveiliging: je hebt niet alleen een inbraakalarm nodig (Detect & Respond), maar bovenal ook een slot op de deur (Assess & Prevent).

Verouderde systemen die niet zijn gepatcht voor de nieuwste kwetsbaarheden zijn een gemakkelijk doelwit voor cybercriminelen. Een analyse van ransomware-incidenten door cybersecuritybedrijf BitSight laat er geen twijfel over bestaan:

Organisaties die achterlopen met patchen, hebben 7 keer meer kans om slachtoffer te worden van een ransomware-aanval dan organisaties die dit vaker doen.

Ontdekte kwetsbaarheden krijgen doorgaans een unieke CVEidentifier (Common Vulnerabilities and Exposures) en worden daarna beoordeeld op ernst met behulp van systemen zoals het CVSS (Common Vulnerability Scoring System) of de VPR (Vulnerability Priority Rating) methode van Tenable.

Veel CISO’s gaan ervan uit dat elke nieuwe kwetsbaarheid onmiddellijk gepatcht moet worden. Die aanpak is echter niet altijd de meest efficiënte manier om de middelen binnen je organisatie in te zetten. Uit het rapport “A Visual Exploration of Exploits in the Wild” van Cyentia blijkt namelijk dat jaarlijks zo’n 2% van de nieuwe CVE’s daadwerkelijk wordt misbruikt. Wanneer je de bredere cijfers bekijkt, dan zie je dat ongeveer 6% van alle gepubliceerde CVE’s sinds 2024 effectief is uitgebuit. Dit toont aan dat cybercriminelen niet alleen jagen op recente kwetsbaarheden, maar ook op oudere kwetsbaarheden die door organisatie niet zijn gepatcht.

De omslag naar risicogedreven Vulnerability Management 

Deze statistieken tonen aan dat strikte SLA’s die een snelle remediatie eisen van alle kwetsbaarheden, beter kunnen evolueren naar een meer genuanceerde, risicogedreven aanpak. Naast de CVSS- en/of VPR-scores van een kwetsbaarheid moet je immers ook de context van de getroffen systemen evalueren. Bijvoorbeeld: Zijn ze intern of extern? Ondersteunen ze kritieke bedrijfsvoering? Wanneer is de volgende patchronde gepland? Met een dergelijke aanpak zorg je ervoor dat je die kwetsbaarheden die waarschijnlijk de grootste impact hebben op de bedrijfsvoering gaat verhelpen.

Effectief vulnerability management begint met goed asset management. Dankzij een solide CMDB (Configuration Management Database) weet je zeker dat alle systemen in de scans worden meegenomen - zowel on-premise als in de cloud, en zowel IT- als OT-omgevingen. Vervolgens combineer je de kwetsbaarheidsscores met de context van die assets (zoals de eerder vermelde locatie en kritikaliteit) voor een risicogedreven prioritering. Idealiter maakt dit alles deel uit van een organisatiebreed proces, ondersteund door continue scans om de overgang te maken van reactief patchen naar proactieve risicobeperking.

Compliance management: voorbij checklists, richting continue assurance

Compliance management is de discipline die ervoor zorgt dat organisaties voldoen aan wettelijke vereisten, industrienormen en best practices. Binnen cybersecurity betekent dit dat ITsystemen worden gescand op configuratie-instellingen. Je evalueert en corrigeert of versterkt de instellingen waar nodig, zodat je aan alle vereisten kan voldoen.

Dit gebeurt doorgaans op basis van CIS-benchmarks (Center for Internet Security). Dit zijn configuratiebaselines met bewezen best practices voor een veilige configuratie van uiteenlopende productfamilies. Ze zijn er voor besturingssystemen zoals Windows en Linux servers, maar ook op applicatieniveau, bijvoorbeeld voor web- en databaseservers.

Net zoals bij vulnerability management vormt asset management via een CMDB de basis voor effectief compliance management. Nadat alle assets in kaart zijn gebracht, krijgt elk systeem een eigen baseline waaraan de configuratie moet voldoen. Pas dan kan worden verzekerd dat het scannen van de ITomgeving met behulp van CISbaselines alle systemen voldoende dekt.

En ook hier geldt, net zoals bij vulnerability management, dat afwijkingen ten opzichte van de baselines gecombineerd moeten worden met contextuele informatie over de assets voor een risicogedreven prioritering. Vervolgens worden de CIScontroles (verdedigingsmaatregelen) als eerste geïmplementeerd. Ook dat maakt idealiter deel uit van een organisatiebreed proces. Zo monitor je de compliancestatus van de ITomgeving continu en wordt de infrastructuur versterkt.

Risicogedreven operations: de stille kracht achter efficiëntie 

Zoals blijkt uit het voorgaande, starten zowel vulnerability management als compliance management met asset management. Ze maken gebruik van context om tot een risicogedreven prioritering te komen en moeten worden ingebed in de bedrijfsprocessen. Het integreren van vulnerability management en compliance management vertaalt zich meteen in concrete operationele winst.

Deze voordelen worden concreet dankzij de volgende integraties:

  • Contextuele risicoinzichten: Beide processen steunen op dezelfde contextuele assetinformatie, zoals de kritikaliteit van systemen. Deze data kan voor beide processen worden gebruikt en dient te worden vastgelegd in een CMDB.
  • Gezamenlijke governance: Beide processen vereisen een strakke opvolging -van scan en analyse tot actie - en maken gebruik van meetbare metrics om SLAnaleving te verbeteren. Dit realiseer je door vulnerability management en compliance management te verankeren in je bedrijfsprocessen, zodat elk nieuw asset gedurende zijn hele levenscyclus aan de gestelde normen voldoet.
  • Geïntegreerde observability: Door beide disciplines in één uniform dashboard samen te brengen, krijg je een volledig en samenhangend beeld van de risico’s binnen de organisatie.

Recente regelgeving, zoals NIS2, onderstreept eveneens het belang van deze geïntegreerde, risicogedreven processen.