English version: scroll down

Een cyberaanval is vergelijkbaar met een kwaliteitsaudit van je cyberveiligheid, alleen gedaan door onbekende derden. Op zoek naar afwijkingen in die kwaliteit die jij nog niet kent. In mijn vorige blog stelde ik dat kwaliteit niet meetbaar is. Kwaliteit is de norm. Alleen afwijkingen van die norm zijn zichtbaar en dus meetbaar. Hetzelfde geldt voor security. We meten geen security, we meten non-security. We meten beveiligingsincidenten, kwetsbaarheden, datalekken, ransomware-aanvallen, misconfiguraties en menselijke fouten. 

We meten non-security. Want security is geen product, geen certificaat en geen afdeling. Security is de zichtbare kwaliteit van een organisatie. Net zoals kwaliteit zichtbaar wordt door het ontbreken van fouten, wordt security zichtbaar door het ontbreken van incidenten. Wie security écht wil verbeteren, moet niet beginnen bij technologie, maar bij de kwaliteit van de organisatie zelf. Uiteindelijk is cybersecurity niets anders dan kwaliteitsmanagement voor het digitale tijdperk.

Technologie is hulpmiddel, geen oorzaak

Dat klinkt misschien als een provocerende stelling. De cybersecurity-industrie heeft ons immers geleerd dat security vooral draait om firewalls, encryptie, endpoint-detectie, monitoring, logging, certificeringen en compliance. Natuurlijk zijn deze zaken belangrijk. Maar ze zijn niet de oorzaak van security. Ze zijn hooguit hulpmiddelen. De werkelijke vraag is niet welke technologie een organisatie gebruikt, maar hoe goed die organisatie functioneert.

Een ransomware-aanval onthult organisatorische tekortkomingen. Wanneer een organisatie wordt getroffen door ransomware, blijkt achteraf zelden dat de aanval uitsluitend mogelijk was door een technisch probleem. Vrijwel altijd komt een combinatie van factoren aan het licht: onduidelijke verantwoordelijkheden, achterstallig onderhoud, onvoldoende documentatie, gebrekkig change-management, ontbrekende procedures, onvoldoende opleiding of een gebrek aan bestuurlijke aandacht voor risico’s.

De ransomware-aanval is niet het probleem; de aanval maakt het probleem alleen zichtbaar. Net zoals een defect product wijst op een tekortkoming in het productieproces, wijst een security-incident op een tekortkoming in het organisatorische proces.

Cyberaanval of kwaliteitsaudit: hetzelfde doel

Het incident is de afwijking. De onderliggende oorzaak ligt vrijwel altijd dieper. In dat opzicht verschilt een cyberaanval nauwelijks van een kwaliteitsaudit. Beide zijn op zoek naar afwijkingen van de norm. Het enige verschil is dat een kwaliteitsaudit wordt uitgevoerd door een interne of externe auditor, terwijl een cyberaanval wordt uitgevoerd door een tegenstander die dezelfde afwijkingen ontdekt voordat jij dat doet. Echte security komt uit een kwaliteitscultuur. 

Dat verklaart ook waarom organisaties die uitblinken in security vaak niet de organisaties zijn met de grootste security-afdelingen. Het zijn organisaties waarin: verantwoordelijkheden helder zijn belegd, processen beheerst verlopen, wijzigingen zorgvuldig worden doorgevoerd, afwijkingen worden gemeld en medewerkers begrijpen welke rol zij zelf spelen in het geheel. Met andere woorden: het zijn organisaties waarin kwaliteit onderdeel is van de cultuur.

Security als eigenschap van de organisatie

Hier ligt ook een belangrijke les voor bestuurders. Veel organisaties reageren op toenemende cyberdreigingen door meer beveiligingsproducten aan te schaffen of extra security-specialisten aan te nemen. Dat is begrijpelijk, maar vaak vergelijkbaar met het uitbreiden van de kwaliteitscontrole aan het einde van een productielijn. Het kan helpen om fouten te ontdekken, maar het voorkomt niet dat die fouten ontstaan. Kwaliteit wordt niet in een product geïnspecteerd. Kwaliteit wordt in het proces ontworpen. Hetzelfde geldt voor security.

Een organisatie die haar informatiestromen begrijpt, haar processen beheerst, verantwoordelijkheden expliciet maakt en afwijkingen structureel corrigeert, bouwt security in haar werkwijze in. Niet als aparte discipline, maar als eigenschap van de organisatie zelf. Dat betekent ook dat security niet meetbaar is. Wat we meten zijn afwijkingen van security: het aantal incidenten, kwetsbaarheden, ongeautoriseerde wijzigingen, misconfiguraties, auditbevindingen of privilege-escalaties. Allemaal vormen van non-security, net zoals defecten vormen van non-kwaliteit zijn.

Geen scores, maar echte kwaliteit

Daarom is het misleidend om te spreken over een “security score” of een “security maturity level” alsof daarmee security zelf wordt gemeten. Wat in werkelijkheid wordt gemeten, is de mate waarin afwijkingen zichtbaar zijn geworden. Net zoals een minimaal aantal productiefouten iets zegt over de kwaliteit van een proces, zegt een minimaal aantal security-incidenten iets over de kwaliteit van een organisatie.

Security is een organisatievraagstuk. Het gaat niet primair over systemen, maar over leiderschap, verantwoordelijkheid, discipline, transparantie en continue verbetering. Technologie ondersteunt dat proces, maar kan het nooit vervangen. Misschien is dat wel de belangrijkste les van het digitale tijdperk: Cybersecurity is niet het beschermen van computers tegen aanvallers. Cybersecurity is het organiseren van kwaliteit in een wereld waarin vrijwel alle processen digitaal zijn geworden. En precies daarom is security de kwaliteit van een organisatie. Niet meer en niet minder.

Photo by Markus Winkler

——————————- Translated by ChatGPT ——————————-

Cybersecurity is Quality Management

A cyberattack is comparable to a quality audit of your cybersecurity, except that it is conducted by unknown third parties. They are searching for deviations in your level of quality that you have not yet discovered yourself.

In my previous blog, I argued that quality cannot be measured. Quality is the norm. Only deviations from that norm are visible and therefore measurable. The same applies to security. We do not measure security; we measure non-security. We measure security incidents, vulnerabilities, data breaches, ransomware attacks, misconfigurations, and human errors.

We measure non-security because security is not a product, a certificate, or a department. Security is the visible quality of an organization. Just as quality becomes apparent through the absence of defects, security becomes apparent through the absence of incidents. Anyone who truly wants to improve security should not start with technology, but with the quality of the organization itself. Ultimately, cybersecurity is nothing more than quality management for the digital age.

Technology is a Tool, Not the Cause

This may sound like a provocative statement. After all, the cybersecurity industry has taught us that security is primarily about firewalls, encryption, endpoint detection, monitoring, logging, certifications, and compliance. Of course, these things are important. But they are not the cause of security. At best, they are tools. The real question is not which technology an organization uses, but how well that organization functions.

When an organization is hit by ransomware, it is rarely the case that the attack was made possible solely by a technical flaw. Almost always, a combination of factors comes to light: unclear responsibilities, deferred maintenance, inadequate documentation, poor change management, missing procedures, insufficient training, or a lack of executive attention to risk.

The ransomware attack is not the problem; it merely exposes the problem. Just as a defective product points to a weakness in the production process, a security incident points to a weakness in the organizational process.

Cyberattack or Quality Audit: The Same Objective

The incident is the deviation. The underlying cause almost always runs deeper. In that respect, a cyberattack differs very little from a quality audit. Both are searching for deviations from the norm. The only difference is that a quality audit is conducted by an internal or external auditor, while a cyberattack is conducted by an adversary who discovers those same deviations before you do.

True security emerges from a culture of quality. This also explains why organizations that excel in security are often not the organizations with the largest security departments. They are organizations where responsibilities are clearly assigned, processes are controlled, changes are implemented carefully, deviations are reported, and employees understand the role they play within the larger system. In other words, they are organizations where quality is embedded in the culture.

Security as an Organizational Characteristic

There is an important lesson here for executives and board members. Many organizations respond to increasing cyber threats by purchasing more security products or hiring additional security specialists. That is understandable, but it is often comparable to expanding quality inspection at the end of a production line. It may help identify defects, but it does not prevent those defects from occurring. Quality is not inspected into a product. Quality is designed into the process.

The same is true for security. An organization that understands its information flows, controls its processes, makes responsibilities explicit, and systematically corrects deviations builds security into the way it operates. Not as a separate discipline, but as an inherent characteristic of the organization itself. This also means that security cannot be measured directly. What we measure are deviations from security: the number of incidents, vulnerabilities, unauthorized changes, misconfigurations, audit findings, or privilege escalations. All of these are forms of non-security, just as defects are forms of non-quality.

Not Scores, But Real Quality

This is why it is misleading to speak of a “security score” or a “security maturity level” as if security itself is being measured. What is actually being measured is the extent to which deviations have become visible. Just as a low number of production defects says something about the quality of a process, a low number of security incidents says something about the quality of an organization.

Security is fundamentally an organizational issue. It is not primarily about systems, but about leadership, accountability, discipline, transparency, and continuous improvement. Technology supports that process, but it can never replace it. Perhaps that is the most important lesson of the digital age: Cybersecurity is not about protecting computers from attackers. Cybersecurity is about organizing quality in a world where almost every process has become digital.

And that is precisely why security is the quality of an organization. Nothing more, and nothing less.