Veelgestelde Vragen

Onze missie is om organisaties in staat te stellen hun kritieke activa, producten en diensten te beveiligen. We bereiken dit door technologie-onafhankelijke begeleiding te bieden en interne cyberbeveiligingscapaciteiten binnen uw organisatie op te bouwen. De letter ‘r’ tussen haakjes duidt niet op een gebrek aan ambitie, maar op het realisme dat 100% cyberbeveiliging noch praktisch, noch wenselijk is. Perfecte beveiliging zou een volledige ontkoppeling van de digitale wereld vereisen, wat het doel van digitale transformatie en bedrijfsinnovatie tenietdoet. In plaats daarvan richten we ons op het ‘veiliger’ maken van de digitale wereld: het beheren en beperken van risico's tot een aanvaardbaar niveau, terwijl we uw organisatie in staat stellen om zowel digitaal als economisch te floreren.

Technologie- en leveranciersonafhankelijkheid betekent dat we geen IT- of beveiligingsproducten en -platforms verkopen, doorverkopen of commissies ontvangen. Onze beoordelingen en aanbevelingen zijn uitsluitend gebaseerd op wat wij het beste achten voor de specifieke behoeften en risico's van uw organisatie, niet op wat inkomsten genereert voor ons of een leverancier. We zijn niet gebonden aan het ecosysteem van een bepaalde leverancier en worden niet gestimuleerd om oplossingen of diensten te oversellen. Deze onafhankelijkheid is belangrijk omdat wanneer adviseurs financiële relaties hebben met leveranciers, hun aanbevelingen bewust of onbewust bevooroordeeld kunnen zijn ten gunste van oplossingen die zij kennen of die hen financieel voordeel opleveren, in plaats van oplossingen die operationeel optimaal zijn voor uw organisatie. Bovendien zijn wij er sterk van overtuigd dat technologie slechts tot op zekere hoogte veiligheid kan bieden. Digitale voordelen zijn niet duurzaam als u geen rekening houdt met de cyber- en informatiebeveiligingsrisico's op alle niveaus van uw bedrijfs- en IT-architectuur. Om deze vandaag en morgen te beheren, moet u verder kijken dan de noodzakelijke technologie-investeringen en een interne capaciteit en cultuur opbouwen die voortdurend afwegingen kan maken en transparantie en vertrouwen creëert. Onze leveranciersonafhankelijke aanpak betekent dat we uw bestaande investeringen objectief kunnen evalueren, de meest kosteneffectieve oplossingen kunnen aanbevelen, kunnen helpen bij het onderhandelen over betere contracten en zelfs advies kunnen geven wanneer u helemaal geen nieuwe technologie nodig hebt. Soms komt de beste verbetering van de cyberbeveiliging voort uit betere processen of training – advies dat u waarschijnlijk niet zult horen van leveranciers die u iets willen verkopen.

Ooit waren het twee geïsoleerde werelden en verantwoordelijkheden binnen elke organisatie met een technische component als kern, maar tegenwoordig vereist de convergentie en/of interactie tussen beide kennis en samenwerking om de hele organisatie te beveiligen. En zelfs de grotere/uitgebreide toeleveringsketen(en) waarvan elk bedrijf deel uitmaakt. OT en IT hebben fundamenteel verschillende prioriteiten en beperkingen. IT-beveiliging richt zich op het beschermen van de vertrouwelijkheid van gegevens/informatie en de beschikbaarheid van systemen, terwijl OT-beveiliging prioriteit moet geven aan de veiligheid van mensen, milieubescherming en de continue werking van kritieke processen. Een IT-beveiligingsincident kan leiden tot gestolen gegevens of systeemuitval, maar een inbreuk op de OT-beveiliging kan leiden tot lichamelijk letsel, milieuschade of verstoring van de productie (voeding, chemicaliën, discrete producten, ...) of essentiële ‘openbare’ diensten zoals elektriciteit, transport of watervoorziening. Organisaties hebben behoefte aan beveiligingsexperts die beide domeinen en hun raakvlakken begrijpen. De meeste cybersecurityproviders zijn gespecialiseerd in IT of OT, waardoor er gevaarlijke hiaten ontstaan waar deze werelden samenkomen. De dubbele expertise van Spinae zorgt voor uitgebreide bescherming die uw bedrijfsgegevens veilig houdt en tegelijkertijd de veiligheid en betrouwbaarheid van uw operationele processen waarborgt.

Als we veilige capaciteiten kunnen opbouwen in complexe industriële omgevingen waar een cyberbeveiligingsfout productielijnen kan stilleggen of veiligheidssystemen in gevaar kan brengen, kunnen we zeker ook organisaties met minder technische complexiteit beschermen. Onze expertise toont aan dat we de meest veeleisende cyberbeveiligingsuitdagingen aankunnen. Dat betekent dat we goed uitgerust zijn om HR-dienstverleners, financiële instellingen, transportbedrijven, IT/OT-adviesbureaus en andere bedrijven te beveiligen. Veel van onze klanten zijn dan ook precies dit soort organisaties: IT-providers, softwarebedrijven, automatiseringsspecialisten, salarisadministratiekantoren en financiële partners. Deze bedrijven hebben vaak geavanceerde cyberbeveiligingsbehoeften, ondanks dat ze niet over traditionele operationele technologie beschikken. Ze verwerken gevoelige klantgegevens, beheren kritieke bedrijfsprocessen of leveren diensten waar andere organisaties van afhankelijk zijn. Dankzij onze technische diepgang en bedrijfsgerichte aanpak kunnen we onze expertise afstemmen op het complexiteitsniveau van elke organisatie. Of u nu industriële controlesystemen beheert of gewoon klantendatabases moet beschermen en de bedrijfscontinuïteit moet waarborgen, dezelfde risicogebaseerde, praktische beveiligingsprincipes zijn van toepassing. Wij helpen organisaties van alle technische niveaus bij het opzetten van evenredige, effectieve cyberbeveiligingsprogramma's die hun bedrijfsdoelstellingen mogelijk maken in plaats van belemmeren.

ISO 27001 is een internationale norm voor Information Security Management Systems (ISMS). De norm biedt een gestructureerd kader om gevoelige informatie te beheren en te beschermen via beleid, procedures en beheersmaatregelen die de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens waarborgen. Wij ondersteunen organisaties bij het behalen van ISO 27001-certificering om hun beveiligingsbetrouwbaarheid aan te tonen aan klanten, te voldoen aan wet- en regelgeving of hun algemene beveiligingsniveau te versterken. Alles begint met een correcte afbakening (scoping). We vertalen de generieke vereisten van ISO 27001 naar uw specifieke omvang, bedrijfscontext en risicobereidheid. Spinae biedt end-to-end ondersteuning tijdens het volledige ISO 27001-traject. We voeren een gap-analyse uit om het verschil te bepalen tussen uw huidige beveiligingspraktijken en de vereisten van de norm, helpen bij het opstellen en implementeren van het nodige beleid en de documentatie, en zetten samen met u het managementsysteem op dat ISO 27001 vereist. We helpen u niet alleen om gecertificeerd te raken, maar maximaliseren vooral de kans dat het ISMS effectief werkt voor uw organisatie en uw bedrijfsdoelstellingen ondersteunt. Onze aanpak gaat verder dan louter compliance of het afvinken van checklists. We vertalen de technische eisen van ISO 27001 naar begrijpelijke en toepasbare business-taal, integreren beveiligingsmaatregelen in bestaande processen en trainen uw team in het onderhouden en continu verbeteren van het ISMS. Daarnaast ondersteunen we bij auditvoorbereiding en -begeleiding, zodat u zowel initiële certificeringsaudits als opvolgaudits met vertrouwen doorloopt. Belangrijk daarbij is dat we ISO 27001 positioneren als het fundament van uw bredere beveiligingsprogramma; niet als het eindpunt daarvan.

IEC 62443 is de internationale norm voor industriële cyberbeveiliging, specifiek ontwikkeld voor operationele technologie-omgevingen (OT) zoals productie-installaties, procescontrolesystemen en kritieke infrastructuur. In tegenstelling tot klassieke IT-beveiligingsnormen richt IEC 62443 zich op de unieke uitdagingen van omgevingen waar veiligheid, continue werking en fysieke processen centraal staan — en waar systemen niet zomaar herstart of gepatcht kunnen worden zonder impact op de productie. Onze aanpak sluit aan bij alle stakeholderrollen die binnen de norm worden onderscheiden. Of u nu optreedt als asset owner die industriële systemen exploiteert, als system integrator die automatiseringsoplossingen bouwt, of als product supplier die industriële componenten ontwikkelt: wij spreken uw taal en begrijpen uw verantwoordelijkheden. Spinae biedt gespecialiseerde ondersteuning bij de implementatie van IEC 62443 in uw OT-omgeving. We voeren zone- en conduit-analyses uit om industriële netwerken correct te segmenteren, brengen OT-specifieke dreigingen en risico’s in kaart en helpen bij het vastleggen van de juiste security levels voor verschillende operationele zones. Daarbij houden we steeds rekening met het delicate evenwicht tussen beveiliging en operationele continuïteit. Daarnaast ondersteunen we bij het toepassen van secure-by-design principes, het vastleggen van beveiligingseisen voor leveranciers en het uitwerken van operationele procedures die beveiliging integreren in onderhouds- en engineeringprocessen. Dankzij onze gecombineerde OT- en IT-expertise zorgen we ervoor dat uw industriële cyberbeveiligingsprogramma naadloos aansluit op uw ISMS en uw bredere enterprise risk- en businessmanagementaanpak.

Vulnerability scanners brengen potentiële zwakheden in kaart, maar alleen penetratietesten tonen aan of die zwakheden daadwerkelijk misbruikt kunnen worden en welke reële impact een aanvaller kan veroorzaken. Het is het verschil tussen weten dat een deurslot verouderd is en iemand zien aantonen dat het in 30 seconden te openen is. Offensive security - waarbij ethische hackers uw verdediging testen - maakt duidelijk hoe effectief uw beveiligingsmaatregelen zijn onder realistische aanvalsscenario’s. Penetratietesten valideren bovendien uw detectie- en responsvermogen. Is uw securityteam of SOC-dienstverlener in staat een aanval in uitvoering te herkennen? Werken uw incident response-procedures onder druk? Dit soort inzichten is cruciaal voor het bouwen van robuuste beveiligingsprogramma’s die echte aanvallen kunnen weerstaan, en niet alleen voldoen aan compliance-eisen. De conclusie is eenvoudig: zien is geloven. Penetratietesten gaan niet alleen over het vinden van kwetsbaarheden, maar vooral over aantonen dat uw beveiliging standhoudt wanneer ze wordt geconfronteerd met realistische aanvallen.

Penetratietesten simuleren realistische aanvalsscenario’s om kwetsbaarheden bloot te leggen vóórdat kwaadwillenden ze kunnen misbruiken. Wij bieden verschillende gespecialiseerde vormen aan, elk gericht op een specifieke set aanvalsvectoren: Applicatie-penetratietesten Het testen van webapplicaties, mobiele apps en API’s op beveiligingslekken zoals injectieaanvallen, zwakke authenticatie, onveilige gegevensopslag en fouten in businesslogica. Dit geldt zowel voor extern toegankelijke als interne applicaties. Infrastructuur-penetratietesten Het evalueren van uw netwerkinfrastructuur, servers, firewalls en perimeterbeveiliging. We proberen ongeautoriseerde toegang te verkrijgen, privileges te verhogen en lateraal door systemen te bewegen — precies zoals een echte aanvaller dat zou doen. Device- en hardware-penetratietesten Het testen van fysieke apparaten zoals embedded devices, IoT-sensoren, industriële controllers (PLC’s), gebouwbeheersystemen enzovoort. Dit is bijzonder relevant voor OT-omgevingen, waar hardwarekwetsbaarheden ook fysieke veiligheidsrisico’s kunnen inhouden. Social engineering tests Vaak niet gezien als ‘echte’ pentesting, maar wel cruciaal: we brengen menselijke kwetsbaarheden in kaart via phishingcampagnes, fysieke toegangsproeven tot kantoren of serverruimtes, en telefonische social engineering. In de praktijk is de zwakste schakel vaak niet technologie, maar de mens. We stemmen onze testaanpak af op uw specifieke omgeving, risicoprofiel en compliance-eisen, en leveren concrete, bruikbare bevindingen die uw beveiligingsniveau verbeteren zonder uw operationele werking te verstoren.

Spinae beschikt over diepgaande expertise in een breed scala aan relevante standaarden, raamwerken en wet- en regelgeving. Standaarden * ISO 27001 (Information Security Management) * IEC 62443 (industriële/OT-cyberbeveiliging) * ETSI EN 303 645 (IoT-cyberbeveiliging) * ISO 21434 (automotive cybersecurity) * NR 659 (Bureau Veritas – regels voor cyberbeveiliging bij de classificatie van maritieme eenheden) Frameworks * CIS Controls (best practices voor cyberbeveiliging) * NIST Cybersecurity Framework (NIST-CSF) * NIST SP 800-218 (Secure Software Development Framework) * NIST SP 800-61 (incident response) * NIST SP 800-64 (security in de softwareontwikkelcyclus) * NIST SP 800-82r3 (ICS/OT-beveiliging) * CMMC (Cybersecurity Maturity Model Certification – Amerikaanse defensiesector) * SWIFT CSCF (Customer Security Controls Framework – financiële sector) Wet- en regelgeving * EU GDPR (Algemene Verordening Gegevensbescherming) * NIS-/NIS2-richtlijnen (Network and Information Security) * DORA (Digital Operational Resilience Act) * CER (Critical Entities Resilience Directive) * AI Act (EU Artificial Intelligence Act) * CRA (Cyber Resilience Act) * EU Machinerichtlijn * RED (Radio Equipment Directive) Het onderscheid tussen frameworks en standaarden is soms subtiel: frameworks zijn doorgaans flexibeler en principieel van aard, terwijl standaarden meer concrete en voorschrijvende eisen bevatten en vaak certificeerbaar zijn.