Stel,
Het gaat een keertje mis.
Niet bij jullie natuurlijk, maar ergens anders.
Er is een diamanten halsketting van 27 miljoen gejat. Of een klant heeft in de tuin van de directeur staan plassen omdat hij zijn verzekeringsgeld niet krijgt uitgekeerd.
Trouwens, waarom zijn die zware jongens 3 maanden na de Tefaf- overval nog niet gepakt? In het tv-programma Hunted; met die opgewonden ex-politieman, lukt het altijd wel.

Kortom, dan is er paniek in de tent.
Het managementteam komt bij elkaar om met een oplossing te komen.
Dat gaat dan ongeveer zo:
Linda van HR roept opgewekt: ‘Training. We moeten onze mensen gaan trainen.’
Joost de finance controller, vraagt aan niemand specifiek: ‘Wat kost dat?’
Het gesprek valt doodstil. Iedereen kijkt verwachtingsvol naar Rodrigo.
Rodrigo, is sinds twee weken hoofd Security. Daarvoor was hij coördinator beveiliging. Hij ziet dat iedereen verwachtingsvol naar hem kijkt, en geeft spontaan een slag in de lucht antwoord.
Jan-Willem, de CEO, spuugt van schrik zijn water uit.

Voor je het weet zijn je security oplossingen vergelijkbaar met Senseo koffie. Je weet wel, met zo’n koffiepadje. Dat stop je in een Senseo-apparaat. Vervolgens druppelt er dan iets uit met een vermoeden van koffie.
Begin eens met andere vragen, bijvoorbeeld:
- Waar zijn jullie eigenlijk kwetsbaar en voor wie?
- Wat zijn de mogelijkheden om toegang te krijgen tot wat je wilt beschermen?
- Hoe weet je dat?
- Hoe gemakkelijk is dat?
- Wat is de impact als het inderdaad mis gaat?
Spoiler alert: Als het je overkomt weet je meteen waar je nu kwetsbaar bent.
Als je het nog niet weet – en die kans is groter dan je denkt – is er een gouden kans voor een kwaadwillende. Die gaat jullie kwetsbaarheid waar je zelf nog geen weet van hebt, genadeloos tegen je gebruiken.
Reken daar maar op.
Niet volgend jaar, maar vandaag.
Hoe kom je erachter of je kwetsbaar bent?
Door te gaan Red Teamen.
Daarmee krijg je wel antwoorden op lastige vragen.
Het management bepaalt wat het meest vitale is dat beschermt moet worden. Het Red Team bedenkt vervolgens uitgekookte out – of – the box scenario’s en gaat die uitproberen om de kwetsbaarheden in kaart te brengen.
Vergelijk het met een experiment zonder regels. Die heeft een kwaadwillende namelijk ook niet.
En wat is dan het resultaat?
Weten waar je kwetsbaar bent, geeft zicht op een oplossing.
Dat kan soms zo simpel zijn als het verplaatsen van de plantenbak of een net iets slimmere proactieve procedure.
Nog veel belangrijker is dat integrale beveiliging echt gaat leven. Iedereen doet namelijk mee.
Hoe pak ik dat aan?
Wij zweren bij co-creatie.
We stellen kritische doorvraag – vragen en werken samen een Red Teaming plan uit.
Binnen drie dagen heb je dan je eigen onafhankelijke Red Team operationeel, met mensen uit je eigen organisatie.
Hoe fijn is dat?
En dan?
Het Red Team gaat dan bestaande en nieuwe kwetsbaarheden ontdekken.
Het is vervolgens aan het managementteam om de resultaten te wegen.
Dat is ook prettig voor de Security manager.
Die kan dan op zijn beurt de nederige excuses in ontvangst nemen als het een keer wél misgaat, en er niks mee gedaan is.

Is het niet vervelend om te horen dat je kwetsbaar bent?
Zou kunnen, en in dat geval zou ik zeggen: Probeer eens een echt incident uit.
Zullen we daar eens over bellen?
Dan kan ik je precies vertellen hoe anderen dat doen.
Groeten,
Bert van Pel
PS. Senseo koffie. Ik vind het gore troep, maar sommige mensen kan dat niks schelen.
Interessant?
Je mag dit blog ook doorsturen. Graag zelfs, want je weet nooit hoe je een ander hiermee kan helpen. Je doet mij en je collega’s een groot plezier.
Waarmee kunnen wij je helpen?
Wil je wel eens weten of die andere manier van beveiligen ook iets voor jullie is?
Ontdek hoe wij anders beveiligen hebben geïmplementeerd in een grote organisatie.
Hier staat een gratis casestudy voor je klaar. Vol met tips en inspiratie.
Studieboek Proactief beveiligen op basis van Predictive Profiling
Hét onmisbare en vlot geschreven studieboek voor de security professional van nu.
Een hele goede profiler worden?:
De registeropleiding Operational Security Profiler (OSP): twee dagen scenario- trainen. Praktijk, praktijk en nog eens praktijk.
Zelf aan de slag met Red Teaming
Wij organiseren een inhouse Red Teaming masterclass voor organisaties.
Binnen drie dagen heb je een eigen Red Team operationeel.
Inclusief alle procedures, verdachte indicatoren, realistische scenario’s en een jaarplanning met oefeningen op maat.
Idee voor jullie organisatie? Plan hier een vrijblijvende strategiesessie in.