Inhoud
"Wij hebben onze beveiliging gewoon op orde — daar hebben we mensen voor." Dat is een terechte en geruststellende gedachte. Een eigen IT-afdeling betekent dat iemand elke dag let op je systemen, updates en back-ups. En toch laten juist organisaties mét een IT-team geregeld een onafhankelijke scan uitvoeren. Niet omdat ze hun mensen niet vertrouwen, maar omdat ze het verschil kennen tussen denken dat alles dicht zit en weten dat het zo is.
1. Een eigen IT-afdeling is een kracht
Laten we hier geen misverstand over laten bestaan: een eigen IT-afdeling is een groot voordeel. Je team kent je systemen door en door, lost problemen snel op en houdt de boel draaiende. Dat is precies wat veel kleinere bedrijven missen. Dit artikel gaat dan ook niet over een tekortkoming van je team — het gaat over een natuurkundige beperking die voor élke beheerder geldt, hoe goed ook: je kunt je eigen werk nooit volledig met de ogen van een buitenstaander bekijken.
2. Waarom de blik van binnenuit blinde vlekken heeft
Een banketbakker proeft op een gegeven moment zijn eigen taart niet meer scherp. Een tekst die je zelf schreef lees je over je eigen typefouten heen. Datzelfde geldt voor de mensen die een IT-omgeving dag in, dag uit beheren. Niet door onkunde, maar door vertrouwdheid.
- Aannames worden onzichtbaar — "die server staat veilig achter de firewall" is ooit waar gemaakt, maar wordt zelden opnieuw getoetst.
- Tijdelijke oplossingen blijven hangen — een poort die "even" open ging voor een test, een testaccount dat nooit werd verwijderd.
- Je kent je eigen huis — je loopt blind naar de lichtknop, maar ziet daardoor ook niet meer welke deur eigenlijk nooit op slot gaat.
- De focus ligt op draaiend houden — een IT-afdeling is vaak terecht bezig met beschikbaarheid en support, niet met de hele dag denken als een aanvaller.
Een aanvaller heeft die vertrouwdheid niet. Die kijkt volkomen onbevooroordeeld naar je buitenkant en zoekt simpelweg de makkelijkste opening. Een externe scan doet precies hetzelfde — alleen dan vóórdat het misgaat.
3. Wat een externe scan ziet dat je team niet ziet
Het krachtigste aan een onafhankelijke scan is het perspectief van buitenaf: we kijken naar je organisatie zoals die op het internet zichtbaar is — je attack surface. Dat levert vaak verrassingen op die van binnenuit lastig te zien zijn:
| Blinde vlek | Waarom die ontstaat |
|---|---|
| Vergeten subdomeinen | Een oude campagnesite of testomgeving die nooit is opgeruimd, maar nog wél benaderbaar is. |
| Shadow IT | Tools en clouddiensten die een afdeling zelf inkocht, buiten het zicht van IT om. |
| Verlopen of zwakke certificaten | Iets dat ooit netjes stond, maar stilletjes is verlopen zonder dat iemand het merkte. |
| Blootgestelde diensten | Een beheerpaneel of database die per ongeluk vanaf het internet bereikbaar is. |
| Bekende kwetsbaarheden | Software die één update achterloopt op een lek dat publiek bekend (en eenvoudig misbruikt) is. |
Geen van deze dingen wijst op een slechte IT-afdeling. Het zijn precies de losse eindjes die ontstaan in elke organisatie die groeit, verandert en mensen ziet komen en gaan. Ze worden alleen zelden gevonden door wie er middenin zit.
4. Geen wantrouwen, maar bevestiging
Veel ondernemers aarzelen om een externe scan te laten doen, uit een begrijpelijke gedachte: "voelt mijn IT-team zich dan niet gepasseerd?" In de praktijk is het tegenovergestelde waar. Vergelijk het met een accountant die je boekhouding controleert — dat is geen beschuldiging aan je financiële mensen, het is een normale, gezonde controle die juist vertrouwen oplevert.
Sterker nog: goede IT'ers vragen er vaak zélf om. Een onafhankelijke scan levert hen namelijk één van twee waardevolle dingen op:
- Bevestiging dat het goed zit — zwart op wit, en daarmee geruststelling voor de directie en eventueel je klanten.
- Een onderbouwd mandaat — dat ene verbeterpunt waar IT al langer op hamerde, krijgt eindelijk prioriteit en budget omdat een onafhankelijke partij het bevestigt.
Zo wordt de scan geen examen voor je team, maar een hulpmiddel dat hun werk zichtbaar en aantoonbaar maakt.
5. Wanneer een externe scan extra zinvol is
Een onafhankelijke blik loont altijd, maar op sommige momenten is het verschil het grootst — juist dan ontstaan de meeste onbedoelde openingen:
- Na een groei of verbouwing van je infrastructuur, of een migratie naar de cloud.
- Bij een nieuwe webapplicatie of koppeling die online wordt gezet.
- Na een fusie of overname, wanneer twee IT-omgevingen samenkomen.
- Periodiek — minimaal jaarlijks — als vaste gezondheidscheck, los van losse projecten.
- Op verzoek van een klant of verzekeraar die een aantoonbare controle wil zien.
6. Hoe scan en IT-afdeling elkaar versterken
Een externe scan vervangt je IT-afdeling niet — de twee doen verschillende dingen die elkaar mooi aanvullen. De scan levert de blik van buiten: een onbevooroordeeld overzicht van wat er vanaf het internet te zien en te misbruiken valt, geprioriteerd op risico. Je eigen team levert de uitvoering van binnen: zij kennen de systemen, de context en de afhankelijkheden, en kunnen de bevindingen het snelst en verstandigst oplossen.
Bij Nembis is dat precies de gedachte achter de pre-pentest scan: een betaalbare, onafhankelijke eerste stap die je risico's in kaart brengt en prioriteert, zónder meteen een duur en uitgebreid pentesttraject in te hoeven. Je krijgt een concreet, geprioriteerd verbeterplan dat je IT-afdeling direct kan oppakken. Vertrouwen in je team is goed — de geruststelling dat een onafhankelijke partij hetzelfde ziet, is beter.
7. Veelgestelde vragen
We hebben een eigen IT-afdeling. Waarom dan nog een externe scan?
Een eigen IT-afdeling is onmisbaar, maar kijkt vooral van binnenuit. Een externe scan kijkt juist van buitenaf — precies zoals een aanvaller dat doet — en vindt blinde vlekken die voor het eigen team logisch en vertrouwd zijn geworden. Het is geen vervanging, maar een onafhankelijke controle.
Is een externe scan geen motie van wantrouwen richting mijn IT-team?
Nee. Net zoals een accountant je boekhouding controleert zonder dat dat wantrouwen richting je financiële afdeling betekent, is een externe scan een second opinion. Goede IT'ers vragen er vaak zelf om: de uitkomst bevestigt hun werk of geeft hen een onderbouwd mandaat om iets aan te pakken.
Hoe vaak is een externe scan zinvol?
Een goede vuistregel is minimaal jaarlijks, en daarnaast na grote veranderingen: een nieuwe webapplicatie, een migratie naar de cloud, een fusie of een flink uitgebreide infrastructuur. Juist op die momenten ontstaan de meeste onbedoelde openingen.
Vervangt een externe scan onze eigen IT-afdeling?
Absoluut niet. De scan brengt risico's in kaart en prioriteert ze; je eigen IT-afdeling is degene die ze het beste kan oplossen, omdat zij de systemen en de context kennen. De twee versterken elkaar: de scan levert de blik van buiten, je team levert de uitvoering van binnen.