Waarom een traditionele security maturity-aanpak tekortschiet en wat wél werkt

In veel organisaties wordt informatiebeveiliging nog steeds behandeld als een check box-exercitie. De ‘security volwassenheid’ wordt ‘gemeten’ aan de hand van allerlei abstracte modellen, gevuld met algemene termen, wollige taal en een lappendeken aan spreadsheets. CISO’s, CIO’s en CTO’s zitten daardoor met rapporten vol open deuren, maar zonder richting.

Wat mist? Concrete handvaten, echte inzichten en een aanpak die aansluit bij hoe organisaties vandaag écht werken. In deze blog deelt Patrick van Bemmelen, security consultant bij Wortell, zijn ervaring: waarom de traditionele aanpak niet altijd goed meer werkt en wat hij in de praktijk ziet bij verschillende organisaties. 

Wat ik in de praktijk zie? Papieren volwassenheid, maar weinig sturing

Bij verschillende organisaties, van zorginstellingen tot publieke uitvoeringsorganisaties en internationaal opererende bedrijven, zie ik hetzelfde patroon terugkomen. Ze hebben ISMS-documentatie op orde, policies liggen er keurig en er is ooit een CMM of ISO 27001-audit gedaan. Toch worstelen ze met vragen als:

• "Welke risico's spelen er nu écht?"
• "Hoe toon ik aan dat we verbeteren?"
• "Waar moet ik investeren voor maximale impact?"

Het probleem? De meeste maturity-modellen blijven steken in abstractieniveaus als “repeatable” of “defined”. Die zeggen iets over processen op papier, maar weinig over hoe weerbaar je organisatie daadwerkelijk is. En al helemaal niet hoe je die weerbaarheid vergroot.

Waarom het anders moet? Sturing, geen status

Security vraagt vandaag om meer dan statussen en scores. Het vraagt om sturing. Wat ik organisaties gun, is een aanpak die verder gaat dan constateren. Die:

• Gericht is op verbetering, niet alleen op beoordeling.
• Draagvlak en richting creëert, niet alleen compliance afvinkt.
• Aansluit bij de organisatiecontext, niet bij een generiek model.

Daarom hebben wij een hele praktische Security Maturity Scan ontwikkeld. Niet als audit, maar als praktiserend en lerend instrument.

Hoe wij het doen? Concreet, toepasbaar en in context

Onze scan vertrekt altijd vanuit de praktijk van de organisatie: het type dienstverlening, de risico’s in de keten, het volwassenheidsniveau van governance en de IT-organisatie. Geen vinklijstjes, maar:

• Heldere maturity-scores per domein (zoals governance, risk en incident response)
• Concreet overzicht van gaps en risico’s, inclusief quick wins
• Adviezen waar je als CISO, CIO of CTO direct mee aan de slag kunt
• Een routekaart die je helpt richting te geven aan investeringen en beleid

Bijvoorbeeld: bij een publieke organisatie bleken processen voor incident response wel op papier te staan, maar niemand wist wie wat moest doen bij een daadwerkelijke aanval. Na onze analyse hebben ze heldere verantwoordelijkheden vastgelegd, incidenten gesimuleerd én het team getraind. In drie maanden waren ze aantoonbaar weerbaarder!
 

Wat ik vaak mis zie gaan? Modellen zonder verhaal

De grootste valkuil van traditionele maturity-assessments? Ze meten volwassenheid zonder het waarom en hoe. ‘Je scoort een ‘3’ op risk management.’ Prima, maar wat betekent dat voor je cloudtransitie, klanten of leveranciers? Wat moet je nu prioriteren als je beperkte capaciteit hebt? Wat vertel je je bestuur?

Wat wij merken: zodra je met besturen aan tafel zit en laat zien waar de risico’s zich écht ophopen en hoe ze daarop kunnen sturen, verandert het gesprek. Dan gaat het niet meer over "halen we de audit?", maar over: “Hoe zorgen we dat we als organisatie wendbaar én veilig blijven?”
 

Tot slot: maturity is geen doel op zich, maar een middel tot weerbaarheid

Als CISO, CIO of CTO sta je voor een complexe opgave. Je wilt aantonen dat je grip hebt op informatiebeveiliging, risico’s onder controle zijn en dat je stuurt op continue verbetering. Onze Security Maturity Scan helpt je daarbij! Niet met abstracte modellen, maar met inzichten en handelingsperspectief.