Veel IT-bedrijven behandelen beveiliging als een extra laag die achteraf over een bestaande omgeving wordt gelegd. Een firewall hier, een antivirusprogramma daar — en dan maar hopen dat het voldoende is. Bij 5iX werken wij andersom. Beveiliging is ons vertrekpunt, niet onze nagedachte. Dit noemen wij security first: elke server, elke applicatie en elke werkplek die wij inrichten of beheren, wordt van de grond af aan beveiligd.

In dit artikel leggen wij uit wat security first concreet inhoudt, welke standaarden wij hanteren en waarom dit de enige verstandige aanpak is in een wereld waarin cyberdreigingen dagelijkse realiteit zijn geworden.

Waarom security first?

De cijfers liegen er niet om. Ransomware-aanvallen, CEO-fraude, phishing en datalekken kosten Nederlandse bedrijven jaarlijks honderden miljoenen euro's. De meeste slachtoffers zijn geen grote multinationals maar juist MKB-bedrijven — precies de doelgroep van 5iX. Cybercriminelen weten dat kleinere organisaties vaak minder geïnvesteerd hebben in beveiliging en richten hun aanvallen steeds vaker specifiek op dit segment.

Beveiliging achteraf toevoegen is bovendien aanzienlijk duurder dan het van begin af aan goed inrichten. Een datalek of ransomware-aanval kost een gemiddeld MKB-bedrijf tientallen tot honderdduizenden euro's aan herstelkosten, productiviteitsverlies en reputatieschade. Preventie is en blijft de verstandigste investering.

CIS Benchmarks als technische basis

De technische fundering van ons security first-beleid zijn de CIS Benchmarks (Center for Internet Security). Dit zijn wereldwijd erkende beveiligingsstandaarden die per besturingssysteem, applicatie en cloudplatform precies beschrijven hoe een veilige configuratie eruitziet. Wij passen CIS Benchmarks toe op:

  • Alle Linux-servers (Ubuntu, Debian) — CIS Level 1 en Level 2
  • Windows Server-omgevingen
  • Windows-werkstations en laptops
  • Netwerkapparatuur en firewalls

CIS Hardening is geen eenmalige actie. Wij controleren dagelijks via Nagios of servers nog steeds voldoen aan de CIS-norm. Afwijkingen worden automatisch gesignaleerd en in veel gevallen automatisch hersteld via Ansible. Zo blijft uw omgeving continu in een geharde staat, ook na updates en configuratiewijzigingen.

Patchbeheer: kwetsbaarheden snel dichten

De meeste succesvolle cyberaanvallen maken misbruik van bekende kwetsbaarheden waarvoor allang patches beschikbaar waren. Het niet tijdig installeren van beveiligingsupdates is een van de meest voorkomende oorzaken van succesvolle aanvallen. Bij 5iX is patchbeheer een geautomatiseerd, structureel proces:

  • Beveiligingsupdates worden getest en uitgerold via Ansible-playbooks
  • Kritieke patches worden prioritair behandeld
  • Wij monitoren actief op bekende kwetsbaarheden (CVE's) in uw omgeving
  • Servers worden na het installeren van kernelpatches gecontroleerd op reboot-noodzaak

MFA en toegangsbeheer

Zwakke of hergebruikte wachtwoorden zijn verantwoordelijk voor een groot deel van alle inbraken. Multi-factor authenticatie (MFA) is daarom een absolute minimumvereiste in elke omgeving die wij beheren. Wij implementeren MFA voor:

  • Remote desktop- en VPN-toegang
  • Microsoft 365 en Azure-accounts
  • Beheerderstoegang tot servers en infrastructuur
  • Webapplicaties en portals

Naast MFA hanteren wij het principe van minimale toegangsrechten (least privilege): elke gebruiker en elk systeem krijgt alleen de rechten die strikt noodzakelijk zijn voor zijn taak. Beheerdersaccounts worden uitsluitend gebruikt voor beheertaken en nooit voor dagelijkse werkzaamheden.

Monitoring en detectie

Security first betekent ook dat wij uitgaan van de aanname dat aanvallen onvermijdelijk zijn. De vraag is niet óf er een incident plaatsvindt, maar wanneer — en hoe snel wij het detecteren en reageren. Wij gebruiken hiervoor:

  • Wazuh SIEM: Open source security monitoring die systeemlogboeken, bestandswijzigingen en netwerktrafiek analyseert op verdachte patronen. Wazuh detecteert afwijkingen en alarmeert ons direct.
  • Graylog: Gecentraliseerd logbeheer voor alle servers en applicaties. Wij bewaren logs conform NIS2-vereisten en hebben altijd een volledig audittrail beschikbaar.
  • Nagios: Continue monitoring van de beschikbaarheid en gezondheid van alle systemen, inclusief CIS compliance-checks.

NIS2 en datasoevereiniteit

Ons security first-beleid sluit naadloos aan op de eisen van de NIS2-richtlijn, de Europese cybersecuritywet die steeds meer organisaties verplicht tot aantoonbare beveiligingsmaatregelen. Wij helpen klanten NIS2-compliant te worden zonder onnodig complexe procedures — pragmatisch, concreet en werkend.

Naast technische maatregelen is datasoevereiniteit een kernprincipe. 5iX werkt volgens het beleid: Nederland eerst, Europa, daarna de rest van de wereld. Uw bedrijfsdata worden bij voorkeur opgeslagen in onze eigen AMS01-datacenter in Haarlem (AAA+ gecertificeerd) of bij Europese cloudproviders. Wij vermijden cloudoplossingen waarbij uw data buiten de EU terechtkomen, tenzij u daar uitdrukkelijk voor kiest en de risico's begrijpt.

Security als cultuur, niet als product

Technologie alleen is nooit voldoende. De zwakste schakel in elke beveiligingsketen is de mens. Wij helpen onze klanten niet alleen de technische kant op orde te brengen, maar ook bewustzijn te creëren bij medewerkers. Een medewerker die weet hoe hij phishing herkent, is meer waard dan de duurste endpoint security-oplossing.

Security first is bij 5iX geen productfeature — het is een cultuur die doorklinkt in alles wat wij doen. Van de manier waarop wij nieuwe servers inrichten tot de procedures die wij volgen bij een incident: beveiliging is altijd de eerste overweging, nooit de laatste.