Key2Control > Nieuws > Actueel > Vergroot procesanalyse de digitale weerbaarheid?

Vergroot procesanalyse de digitale weerbaarheid?

20 februari 2026 Actueel, Bedrijfscontinuïteit, Blogs, Informatiebeveiliging, Nieuws
digitale weerbaarheid


Procesanalyse is al jarenlang het vaste vertrekpunt binnen informatiebeveiliging, privacy, BCM en zelfs het financiële domein. We tekenen processen, beschrijven ze en analyseren ze tot in detail. Dat is begrijpelijk en historisch goed te verklaren: processen bieden houvast en structuur. Maar laten we eerlijk zijn: digitale weerbaarheid wordt er zelden beter van. De focus op processen leidt vaak af van waar het werkelijk om gaat. Het resultaat is veel activiteit en veel documentatie, maar beperkt effect.

Daarbij ontstaat het risico dat we vooral herhalen wat bekend is. Methodieken worden gevolgd omdat ze gangbaar zijn, niet omdat ze aantoonbaar bijdragen aan weerbaarheid in de eigen context. Als dat doorslaat, verdwijnt het kritische denken, ontstaat routine zonder reflectie en verliezen we het momentum door lange doorlooptijden.

Door Gerrit Goud

Informatiebeveiliging is geen procesbeveiliging

De discussie begint vaak bij het gekozen vertrekpunt. Informatiebeveiliging gaat niet over bedrijfsprocessen, maar over informatie. Over data. Over de waarde, gevoeligheid en beschikbaarheid daarvan. Dataclassificatie is niet voor niets een fundament onder moderne beveiligingsnormen: je kunt pas verantwoord beveiligen als je weet wát je beveiligt en hoe belangrijk dat is.

Processen zijn hooguit context. Ze veranderen continu, zijn vaak historisch gegroeid en geven zelden inzicht in wat echt beschermd moet worden. Wie processen als primaire ingang kiest, loopt het risico het overzicht te verliezen. Digitale weerbaarheid vraagt daarom een ander perspectief: follow the data. Niet vertrekken vanuit de procesplaat, maar vanuit de werkelijkheid van data en van daaruit terugredeneren. Waar ontstaat die data, waar staat zij, wie kan erbij, waar gaat zij heen en wat gebeurt er als het misgaat?

Wie inzicht heeft in het applicatielandschap en daarop consequent dataclassificatie toepast, verdwaalt niet. Integendeel: zo’n organisatie zet in korte tijd grotere stappen richting digitale weerbaarheid dan met tijdrovende procesanalyses mogelijk is. De uitdaging verschuift dan naar waar die hoort: het professionaliseren van functioneel applicatiebeheerders door hen concrete handvatten te geven om digitale weerbaarheid in de praktijk te versterken.

Procesanalyse en het risico van schijncontrole

De klassieke route is bijna een vast patroon: eerst het proces inventariseren, vervolgens risico’s bepalen en daarna maatregelen formuleren. Wat heeft ons dat in de afgelopen dertig jaar opgeleverd qua digitale weerbaarheid?

In de praktijk leidt dat vaak tot dezelfde uitkomsten. Toegangsbeperking, autorisaties, logging, back-ups en continuïteitsmaatregelen. Dat zijn belangrijke maatregelen, maar zelden verrassend of onderscheidend.

Het risico is dat procesanalyse een gevoel van beheersing creëert dat vooral administratief van aard is. Het is overzichtelijk, auditbaar en comfortabel, maar het zegt weinig over detectievermogen, hersteltijd of de daadwerkelijke impact wanneer systemen uitvallen of data wordt misbruikt. Auditeerbaarheid is waardevol, maar mag niet worden verward met weerbaarheid.

En hoe zit het dan met BCM?

Bij Business Continuity Management ligt dat genuanceerder. Daar heeft procesanalyse wel degelijk een functie, omdat inzicht nodig is in waar de dienstverlening kwetsbaar is en waar verstoringen maatschappelijke, financiële of operationele impact hebben. Maar ook binnen BCM is procesanalyse geen logisch vertrekpunt, maar een vervolgstap.

BCM begint bij het vaststellen van kritieke diensten, kritieke informatie en ondersteunende middelen. Dat fundament wordt voor een belangrijk deel bepaald door dataclassificatie. Pas wanneer duidelijk is welke informatie en middelen echt kritisch zijn, ontstaat gericht inzicht in welke processtappen kwetsbaar zijn en welke maatregelen nodig zijn om continuïteit te borgen. Procesanalyse ondersteunt dat inzicht, mits zij doelgericht wordt ingezet en niet verwordt tot een allesomvattende exercitie.

BIO2: eerst doen wat verplicht is, daarna pas finetunen

Dit spanningsveld wordt zichtbaar bij kaders waarin een groot deel van de maatregelen verplicht is gesteld vanuit zorgplicht zoals de BIO2. In zulke situaties heeft het weinig toegevoegde waarde om te starten met risicomanagement alsof alles nog afgewogen moet worden. De logica is dan eenvoudig: zorg eerst dat de verplichte maatregelen zijn geïmplementeerd en aantoonbaar werken. Pas daarna ontstaat ruimte voor risicomanagement als instrument voor verfijning en prioritering. Dit past ook in een groeiproces gericht op continu verbeteren.

Risicomanagement vraagt om ervaring en vaardigheid en moet je als organisatie aanleren. Dat is onderdeel van een groeiproces. Wanneer organisaties zonder die basis direct “vol op het orgel” gaan, leidt dat vaak tot teleurstellingen en losse, moeilijk beheersbare risicolijstjes die weinig bijdragen aan sturing. Juist daarom is het verstandig om risicomanagement gefaseerd te introduceren, passend bij het volwassenheidsniveau van de organisatie. Je geeft een kind ook geen autosleutels. Eerst groeien en leren, dan rijbewijs halen, pas daarna rijden.

Digitale weerbaarheid vraagt om eigenaarschap

Wat in veel procesgerichte benaderingen onderbelicht blijft, is eigenaarschap. Data heeft een eigenaar nodig die verantwoordelijkheid neemt voor het doel en gebruik, voor de classificatie en voor de prioritering van beveiligingsmaatregelen. Zonder expliciet eigenaarschap blijft informatiebeveiliging abstract en moeilijk te sturen.

Procesplaten helpen daarbij nauwelijks. Integendeel: ze verdunnen verantwoordelijkheid. Alles zit “in het proces”, maar wanneer er iets misgaat voelt niemand zich echt verantwoordelijk. Digitale weerbaarheid ontstaat pas wanneer rollen helder zijn belegd, verantwoordelijkheden expliciet zijn toegewezen en maatregelen aantoonbaar werken in de omgeving waar de data daadwerkelijk leeft.

Functioneel applicatiebeheerders vervullen hierin een sleutelrol. Zij zijn de poortwachters van gestructureerde data en bevinden zich op het snijvlak van beleid en praktijk. Juist daar wordt bepaald wie toegang heeft, hoe gegevens worden verwerkt, hoe logging is ingericht en hoe incidenten worden gesignaleerd en opgepakt. Vanuit die positie ondersteunen zij het eigenaarschap over data in de dagelijkse praktijk. Digitale weerbaarheid groeit wanneer deze rollen duidelijk zijn gepositioneerd en worden ondersteund met concrete kaders, mandaat en handelingsperspectief.

Stop met volgen, begin met kiezen

De sector heeft geen gebrek aan methodieken. Wat vaak ontbreekt, is reflectie op effectiviteit en volgorde. Niet nóg een procesanalyse om “bezig te zijn”, maar bewuste keuzes. Eerst doen wat verplicht is, focus op data en datastromen, mensen in positie brengen en maatregelen testen op werking.

Digitale weerbaarheid is zichtbaar gedrag, duidelijke verantwoordelijkheid en aantoonbare werking. Wie inzet op processen, investeert in documentatie. Wie inzet op data, eigenaarschap en maatregelen, investeert in weerbaarheid. En precies daar ligt het verschil tussen compliant lijken en daadwerkelijk digitaal weerbaar zijn.

Kies je in jouw organisatie als startpunt voor een verdiepingsslag via procesanalyse, of voor een follow the data-benadering als onderdeel van een groeiproces richting digitale weerbaarheid?

De keuze van het vertrekpunt bepaalt uiteindelijk het effect. Daarover gaan wij graag verder in gesprek.

Meer weten?
Auteur Gerrit Goud
Auteur Gerrit Goud

Deze blog is geschreven door Gerrit Goud, die informatiebeveiliging benadert vanuit een ander perspectief. Niet procesanalyse, maar digitale weerbaarheid en eigenaarschap staan centraal. Een invalshoek die in de praktijk effectiever blijkt dan de gangbare, procesgedreven aanpak.

Tags:

Dit vind je misschien ook interessant