Kantyra Kantyra

← Alle artikelen

Algemeen

De wetenschappelijke basis onder Signaleren, Beoordelen, Oplossen en Aantonen

Alain Rees · 09-07-2026 · 16 min leestijd

In ruim twintig jaar werken aan informatiebeveiliging, eerst in de financiële sector en de telecom, later als (interim) Chief Information Security Officer (CISO), de eindverantwoordelijke functionaris voor informatiebeveiliging, in het hoger onderwijs, heb ik één patroon steeds opnieuw zien terugkeren. Organisaties die op papier alles op orde hadden, met beleid, certificaten en dikke rapportages, bleken bij een incident of een kritische audit toch kwetsbaar. Omgekeerd kwam het ook voor dat organisaties die hun zaken feitelijk goed geregeld hadden, dat op het beslissende moment niet konden laten zien. Dat lukte dan niet tegenover de toezichthouder of de accountant, evenmin tegenover de klant die een leveranciersbeoordeling stuurde, en soms zelfs niet tegenover het eigen bestuur.

Uit die ervaring is het werkmodel ontstaan dat de kern vormt van Kantyra. Het bestaat uit vier fasen die samen een doorlopende cyclus vormen, waarin aantoonbaarheid geen sluitstuk is maar een volwaardige fase. Die fasen heten Signaleren, Beoordelen, Oplossen en Aantonen. Toen ik dat model op papier zette, drong zich de vraag op of dit een handig adviseursmodel is, of dat er werkelijk wetenschap achter staat. Als voormalig docent risicomanagement voelde ik mij verplicht die vraag serieus te nemen.

Ik ben daarom de academische literatuur ingedoken. Dit artikel is de uitkomst van die zoektocht. Het laat zien dat de vier fasen van het model geen marketingvondst zijn, maar een samenvatting van wat vier afzonderlijke onderzoekslijnen al jaren laten zien: onderzoek naar het verschil tussen symbolische en werkelijke beveiliging, onderzoek naar de effectiviteit van certificering, onderzoek naar doorlopende controle en bewijsvoering, en onderzoek naar informatiebeveiliging in het midden- en kleinbedrijf (mkb). Alle bronnen staan onderaan, met DOI (Digital Object Identifier), de permanente digitale vindplaats van een wetenschappelijke publicatie, zodat je alles zelf kunt nalezen.

Voor de volledigheid meld ik dat ik de oprichter van Kantyra ben en dus belang heb bij dit verhaal. Juist daarom maak ik de onderbouwing volledig transparant, zodat je de argumenten kunt beoordelen in plaats van de afzender.

Waarom maatregelen op papier niet beschermen

De belangrijkste wetenschappelijke bevinding onder dit artikel komt uit een hoek die veel informatiebeveiligers niet dagelijks lezen, namelijk de organisatiewetenschap. Binnen de institutionele theorie is al decennia bekend dat organisaties normen en standaarden om twee heel verschillende redenen invoeren. Soms doen ze het om er werkelijk beter van te worden. Minstens zo vaak doen ze het echter om legitimiteit te verwerven, bijvoorbeeld omdat de omgeving het verwacht, de klant erom vraagt of de concurrent het ook heeft. In dat tweede geval spreken onderzoekers van symbolische of ceremoniële adoptie. De organisatie hangt het certificaat aan de muur, terwijl de dagelijkse praktijk nauwelijks verandert.

Lange tijd was dit vooral een theoretisch onderscheid. Dat veranderde met het onderzoek van Corey Angst en collega's, gepubliceerd in MIS Quarterly, een van de meest toonaangevende wetenschappelijke tijdschriften in de informatiekunde. Zij onderzochten meerjarige gegevens van Amerikaanse ziekenhuizen en keken naar de relatie tussen investeringen in informatiebeveiliging en het optreden van datalekken. De kern van hun bevinding is dat het uitmaakt hoe een organisatie beveiliging invoert. Ziekenhuizen die maatregelen symbolisch invoerden, zagen geen aantoonbare daling van het aantal datalekken. Ziekenhuizen die beveiliging substantieel invoerden, en dus diep verankerden in hun processen en routines, kregen wel minder datalekken te verwerken. Voor iedere bestuurder die in kwartalen denkt, is daarbij van belang dat dit effect pas na verloop van tijd zichtbaar werd.

Dit onderzoek geeft een naam en een bewijsbasis aan iets wat veel CISO's intuïtief weten. Het verschil tussen een organisatie die veilig lijkt en een organisatie die veilig is, zit niet in de lijst met maatregelen. Het zit in de vraag of die maatregelen in het dagelijkse werk verankerd zijn. Precies dat verschil is van buitenaf, en vaak ook van binnenuit, moeilijk te zien. Dat gat tussen lijken en zijn noem ik de verificatiekloof. Daarmee bedoel ik dat een betrouwbare en actuele manier ontbreekt om vast te stellen dat maatregelen bestaan, werken en beoordeeld zijn.

Wat certificering wel en niet bewijst

Als symbolische invoering niet beschermt, wat zegt een certificaat dan? Die vraag is inmiddels goed onderzocht. Guido Culot en collega's publiceerden in 2021 een systematisch literatuuroverzicht van vijftien jaar wetenschappelijk onderzoek naar ISO/IEC 27001, de norm van de internationale normalisatieorganisaties ISO (International Organization for Standardization) en IEC (International Electrotechnical Commission), wereldwijd de bekendste norm voor informatiebeveiligingsmanagement en een van de meest verspreide ISO-certificeringen. Hun overzicht ordent het onderzoeksveld langs vijf thema's: de relatie met andere standaarden, de motieven voor invoering, de implementatieproblemen, de mogelijke uitkomsten en de contextfactoren.

Twee patronen uit dat overzicht zijn voor dit artikel van belang. Ten eerste blijken de motieven om te certificeren opvallend vaak extern van aard te zijn, zoals klanteisen, aanbestedingsvoorwaarden en marktdruk. Dat is precies het profiel waarbij de institutionele theorie voor symbolische invoering waarschuwt. Ten tweede constateren de auteurs dat het empirische bewijs over wat certificering werkelijk oplevert nog altijd beperkt en versnipperd is. Na vijftien jaar onderzoek is de vraag of een ISO 27001-certificaat tot betere beveiliging leidt eenvoudigweg niet overtuigend beantwoord.

Recenter onderzoek scherpt dat beeld verder aan. Een Zweedse interviewstudie onder professionals in informatiebeveiliging, gepubliceerd in 2023, onderzocht de zogeheten output-legitimiteit van ISO/IEC 27001, oftewel de mate waarin de standaard waarmaakt wat belanghebbenden ervan verwachten. De onderzoekers onderscheidden acht informatiebeveiligingsdoelen en stelden vast dat de standaard die doelen in sterk wisselende mate waarmaakt. Hun conclusie verdient het om ter harte te worden genomen. Wie ISO 27001 behandelt als een louter technisch document, haalt er weinig uit. De waarde ontstaat pas wanneer mensen met de juiste kennis en vaardigheden de standaard gebruiken als ondersteuning van hun werk. Vergelijkend casusonderzoek van Robert van Wessel en Henk de Vries (Rotterdam School of Management) naar de implementatie van beveiligingsstandaarden in Europa en China liet eerder al zien hoe sterk de invulling van dezelfde standaard per organisatie en context verschilt.

De optelsom van deze onderzoekslijn is niet dat certificering zinloos is. De optelsom is dat een certificaat een momentopname is van een stelsel, terwijl de bescherming afhangt van de dagelijkse werking van dat stelsel. Een certificaat beantwoordt de vraag of het stelsel op de auditdatum adequaat was opgezet. De vraag die je bestuur, je toezichthouder en je ketenpartners werkelijk stellen, namelijk of het vandaag werkt en of je dat kunt laten zien, beantwoordt het niet.

Waarom de jaarlijkse audit structureel te laat komt

De tweede onderzoekslijn komt uit de auditwetenschap en is ouder dan veel mensen denken. Al in 1991 beschreven Miklos Vasarhelyi en Fern Halper, destijds werkzaam bij AT&T Bell Laboratories, een systeem voor de doorlopende audit van grote onlinesystemen. Hun uitgangspunt was even eenvoudig als radicaal. In een omgeving die permanent verandert, is een periodieke controle achteraf per definitie verouderde informatie. Wie één keer per jaar controleert, weet elf maanden per jaar niet waar hij staat.

Uit dat idee groeide een compleet onderzoeksveld, dat van continuous auditing, oftewel doorlopende controle en doorlopende zekerheid. Alexander Kogan, Ephraim Sudit en Vasarhelyi formuleerden er in 1999 een onderzoeksprogramma voor. Michael Alles en collega's toetsten de theorie in 2006 aan de praktijk met een proefimplementatie bij Siemens, waarbij de werking van interne beheersmaatregelen in bedrijfsprocessen doorlopend en geautomatiseerd werd bewaakt. Hun bevindingen, en de lessen uit vervolgproeven die zij in 2008 publiceerden, laten twee dingen zien. Doorlopende bewaking van maatregelen is technisch haalbaar. Zij vraagt echter om formalisering, want wie doorlopend wil kunnen vaststellen dat een maatregel werkt, moet vooraf vastleggen wat die maatregel inhoudt, aan welke norm hij moet voldoen en welk signaal als afwijking telt.

Voor informatiebeveiliging is deze onderzoekslijn direct relevant, want het klassieke verantwoordingsritme in ons vak is nog altijd periodiek, met de jaarlijkse interne audit, de driejaarlijkse hercertificering en de zelfevaluatie in de verantwoordingscyclus. Tussen die momenten in ontstaat wat je gerust een blinde vlek mag noemen. Maatregelen verwateren, uitzonderingen stapelen zich op en nieuwe systemen ontsnappen aan het overzicht. De literatuur over doorlopende controle wijst een uitweg. Behandel bewijsvoering niet als een jaarlijks project, maar als een doorlopend bijproduct van het gewone werk. Elke beoordeling, elke wijziging en elke afgeronde actie levert een stukje bewijs op, mits het op het moment zelf wordt vastgelegd.

Eerlijkheidshalve moet ik erbij zeggen dat het meten van beveiliging ook wetenschappelijk een lastig vraagstuk blijft. Al sinds de eerste richtlijnen voor beveiligingsindicatoren, zoals publicatie 800-55 van het Amerikaanse normeringsinstituut NIST (National Institute of Standards and Technology), worstelt het veld met de vraag welke indicatoren werkelijk iets zeggen over de effectiviteit van maatregelen. Dat is geen reden om het meten dan maar te laten. Het is wel een reden om klein te beginnen, bij de basisvraag die verrassend vaak onbeantwoord blijft, namelijk of de maatregel bestaat, of hij werkt en of dat onlangs door iemand is beoordeeld.

De wetgever vraagt aantoonbare beveiliging

De derde onderzoekslijn is juridisch van aard, en hier raakt de wetenschap direct aan de Nederlandse praktijk van dit moment. In het Europese gegevensbeschermingsrecht is met de Algemene verordening gegevensbescherming (AVG) een beginsel verankerd dat verder gaat dan de plicht om het goed te doen. Dat beginsel heet de verantwoordingsplicht. Artikel 5, tweede lid, van de AVG bepaalt dat de verwerkingsverantwoordelijke niet alleen aan de beginselen moet voldoen, maar de naleving ook moet kunnen aantonen. De Artikel 29-werkgroep, de voorloper van het Europese Comité voor gegevensbescherming, werkte dat beginsel al in 2010 uit in haar advies over het verantwoordingsbeginsel, met als kern dat verantwoordelijkheid zonder bewijsbaarheid juridisch niet volstaat.

De juridische literatuur is over dit beginsel overigens niet kritiekloos. Analyses in onder meer de European Journal of Risk Regulation wijzen erop dat de combinatie van verantwoordingsplicht en risicogerichte benadering de bewijslast nadrukkelijk bij de organisatie zelf legt, met alle documentatielasten van dien. Juist die kritiek bevestigt echter de kern van de zaak, namelijk dat de wetgever aantoonbaarheid tot een zelfstandige verplichting heeft gemaakt en dat organisaties hun werkwijze daarop moeten inrichten.

Diezelfde beweging zie je nu in de cyberbeveiligingswetgeving. De Cyberbeveiligingswet (Cbw), de Nederlandse wet waarmee de Europese NIS2-richtlijn (Network and Information Security) wordt omgezet, legt organisaties een zorgplicht op en maakt het bestuur daarvoor uitdrukkelijk verantwoordelijk. Wie onder de wet valt, moet passende maatregelen treffen op basis van een risicobeoordeling en moet tegenover de toezichthouder kunnen laten zien dat dit stelsel bestaat en wordt onderhouden. Ook de verantwoordingsstelsels binnen de Nederlandse publieke sector, zoals de Baseline Informatiebeveiliging Overheid (BIO 2.0) en NEN 7510, de norm van het Nederlandse normalisatie-instituut NEN voor informatiebeveiliging in de zorg, draaien in de kern om hetzelfde principe. Een organisatie moet de maatregelen niet alleen treffen, maar er ook verantwoording over kunnen afleggen.

Wie deze juridische lijn naast de eerdere onderzoekslijnen legt, ziet iets opvallends. De wetgever vraagt precies datgene waarvan de organisatiewetenschap laat zien dat het het verschil maakt. Substantiële invoering, in het onderzoek van Angst en collega's de vorm die werkelijk beschermt, laat sporen na in de vorm van beoordelingen, besluiten, aanpassingen en verankering in processen. Symbolische invoering laat vooral documenten na die losstaan van de praktijk. Een verantwoordingsplicht die vraagt om actueel en herleidbaar bewijs uit de dagelijkse werking is daarmee, of de wetgever het zo bedoeld heeft of niet, een toets op het verschil tussen lijken en zijn.

Waarom dit voor het mkb extra knelt

De vierde onderzoekslijn brengt het vraagstuk naar de organisaties waar het de komende jaren het hardst gaat spelen, namelijk het midden- en kleinbedrijf. Door de Cbw en vooral door de doorwerking ervan in ketens, via leveranciersbeoordelingen, inkoopvoorwaarden en verzekeringseisen, krijgen duizenden organisaties te maken met verantwoordingsvragen, zonder dat zij daarvoor een eigen beveiligingsafdeling hebben.

Nederlandse onderzoekers spelen in deze onderzoekslijn een hoofdrol. De groep rond Marco Spruit (Universiteit Utrecht, inmiddels Universiteit Leiden) publiceerde in 2021 een systematisch literatuuroverzicht van sociaal-technische beveiligingsindicatoren voor het mkb. Hun analyse legt twee onopgeloste problemen bloot die iedere mkb-ondernemer zal herkennen, namelijk het samenvoegen van losse metingen tot één begrijpelijk beeld en het aanpassen van de aanpak aan de eigen situatie. Losse metingen en losse maatregelen zijn er genoeg, maar het mkb heeft behoefte aan de vertaling daarvan naar een handelingsadvies dat op de eigen organisatie is toegesneden. De onderzoekers concluderen dat er dringend behoefte bestaat aan intuïtieve, dreigingsgerichte vormen van risicobeoordeling voor de minst digitaal volwassen mkb-bedrijven. In vervolgonderzoek werkten zij zo'n dreigingsgerichte beoordelingsaanpak voor het mkb ook daadwerkelijk uit.

Eerder al lieten Bilge Yigit Ozkan en Spruit zien dat de bestaande standaarden en volwassenheidsmodellen voor dit segment eenvoudigweg te zwaar zijn, en dat het mkb gebaat is bij lichte, voorgestructureerde zelfbeoordeling die met de organisatie kan meegroeien. Vanuit de criminologische hoek onderstreept de onderzoekslijn van Rutger Leukfeldt, verbonden aan de Universiteit Leiden, het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) en de Haagse Hogeschool, bovendien al jaren dat cybercriminaliteit allang niet meer alleen een probleem van het grootbedrijf is en dat juist kleinere organisaties ondersteuning nodig hebben die bij hun schaal past.

De rode draad in dit onderzoek is dat het mkb geen behoefte heeft aan een uitgeklede versie van het instrumentarium van de multinational, maar aan een wezenlijk andere vorm. Die vorm is voorgestructureerd, begrijpelijk, gesteld in de eigen taal en voorzien van een ingebouwde vertaling van signalen naar concrete acties.

De werkwijze die uit het onderzoek volgt

Wie deze vier onderzoekslijnen naast elkaar legt, ziet een werkwijze ontstaan. Dat is het model dat ik in de praktijk heb ontwikkeld en dat in Kantyra is verwerkt, maar de logica ervan volgt rechtstreeks uit de literatuur.

Signaleren

De cyclus begint niet bij een jaarlijkse inventarisatie, maar bij het doorlopend opvangen van signalen uit de praktijk, zoals incidenten, wijzigingen in systemen en leveranciers, uitkomsten van leveranciersbeoordelingen en veranderingen in normen, wetgeving en keteneisen. De grondslag ligt in de literatuur over doorlopende controle, die laat zien dat een momentopname veroudert vanaf de dag waarop zij is gemaakt. Doorlopend betekent daarbij overigens niet dat alles van seconde tot seconde wordt bewaakt. In de praktijk ontstaat een deel van de signalen op het moment van handelen, bijvoorbeeld bij een incident of een mislukte oefening, en komt een ander deel uit vaste dagelijkse controles op termijnen, testdata en beoordelingen. Ook die combinatie verschilt al wezenlijk van één jaarlijkse meting. Het dreigingsgerichte beoordelingsonderzoek voor het mkb wijst bovendien uit dat starten bij concrete dreigingen beter werkt dan starten bij abstracte normteksten.

Beoordelen

Signalen worden pas bruikbaar na weging. De vraag is dan wat een signaal betekent voor de eigen organisatie, met haar systemen, haar mensen en haar risicobereidheid. Hier ligt het samenvoegingsvraagstuk uit het mkb-onderzoek, want losse bevindingen moeten samenkomen in een beoordeling die tot een besluit leidt. Dit is ook de fase waarin het verschil tussen symbolisch en substantieel begint. Wie beoordeelt om een vinkje te zetten, produceert papier. Wie beoordeelt om te beslissen, geeft richting.

Oplossen

De bevinding van Angst en collega's is hier leidend. Bescherming ontstaat pas wanneer maatregelen substantieel worden ingevoerd, en dus worden verankerd in processen en routines, met duidelijk eigenaarschap en opvolging. Oplossen is in dit model daarom niet het afvinken van een lijstje, maar het toewijzen, uitvoeren en verankeren van acties, in het besef dat het effect tijd nodig heeft en onderhoud vraagt.

Aantonen

Tot slot volgt de fase die in de gangbare kaders ontbreekt. De bekende internationale raamwerken ordenen het werk langs functies als identificeren, beschermen, detecteren, reageren en herstellen, sinds kort aangevuld met besturen. Voor geen van die functies is aantoonbaarheid het organiserende principe, terwijl de verantwoordingsplicht uit de AVG en de zorgplicht uit de Cbw daar wel om vragen, en terwijl de auditliteratuur laat zien dat bewijs dat achteraf gereconstrueerd moet worden altijd te laat komt. In dit model is aantonen daarom een volwaardige vierde fase. Het spoor van signalen, beoordelingen, besluiten en afgeronde acties ontstaat daarin vanzelf op het moment van handelen, en bewijsstukken worden op datzelfde moment aan het juiste oordeel of de juiste maatregel gekoppeld, zodat ze daar vindbaar blijven. Bewijsvoering wordt zo voor het grootste deel een bijproduct van het gewone werk. Een organisatie doet dat niet omdat de auditor komt, maar omdat zij zelf wil weten waar zij staat. Dat het dossier daarmee ook klaarligt voor de toezichthouder, de accountant en de ketenpartner, is mooi meegenomen.

De vier fasen vormen nadrukkelijk een cyclus. Wat je bij het aantonen tegenkomt, bijvoorbeeld een maatregel die niet blijkt te werken of een beoordeling die verouderd is, vormt meteen weer een signaal voor de volgende ronde. Wie de Deming-cyclus kent, herkent de verwantschap. Het wezenlijke verschil zit in de laatste fase. Waar de controlestap in die klassieke cyclus een interne aangelegenheid is, richt aantonen zich naar buiten, op het bestuur, de toezichthouder en de keten, en is het daarmee een toets die je niet kunt uitstellen tot het jaarlijkse auditseizoen.

Wat betekent dit voor jouw organisatie?

Als je na dit artikel één ding onthoudt, laat het dan de conclusie zijn dat de wetenschap geen enkele reden geeft om gerust te zijn op een certificaat of een map met beleid, en alle reden om te investeren in de werkelijke verankering van maatregelen en in het vermogen om die werking doorlopend te laten zien. Stel jezelf drie vragen. Weet je wat er op dit moment speelt in je organisatie en in je keten? Kun je vandaag, zonder voorbereidingstijd, laten zien dat je drie belangrijkste maatregelen bestaan, werken en onlangs beoordeeld zijn? En als het antwoord ontkennend is, hoeveel weken kost het je dan om dat bewijs alsnog bij elkaar te zoeken?

Organisaties die deze vragen niet kunnen beantwoorden, hebben op papier misschien geen beveiligingsprobleem, maar zij hebben wel een verificatiekloof. Die kloof verandert de komende jaren, met de Cbw en de doorwerking van keteneisen, van een intern ongemak in een extern afbreukrisico. De vier fasen uit dit artikel vormen mijn antwoord daarop, niet als theoretisch bouwwerk, maar als werkwijze waarmee je morgen kunt beginnen. Begin met signaleren, beoordeel wat je ziet, los het belangrijkste op en leg vanaf de eerste dag vast wat je doet.

Verantwoording en bronnen

Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. De genoemde studies zijn geselecteerd op relevantie, op publicatie in wetenschappelijke tijdschriften of conferentiebundels, en op verifieerbaarheid. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.

  1. Angst, C.M., Block, E.S., D'Arcy, J. & Kelley, K. (2017). When Do IT Security Investments Matter? Accounting for the Influence of Institutional Factors in the Context of Healthcare Data Breaches. MIS Quarterly, 41(3). https://doi.org/10.25300/MISQ/2017/41.3.10
  2. Culot, G., Nassimbeni, G., Podrecca, M. & Sartor, M. (2021). The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda. The TQM Journal. https://doi.org/10.1108/TQM-09-2020-0202
  3. Kamil, Y., Lund, S. & Islam, M.S. (2023). Information security objectives and the output legitimacy of ISO/IEC 27001: stakeholders' perspective on expectations in private organizations in Sweden. Information Systems and e-Business Management. https://doi.org/10.1007/s10257-023-00646-y
  4. Van Wessel, R., Yang, X. & De Vries, H.J. (2011). Implementing international standards for Information Security Management in China and Europe: a comparative multi-case study. Technology Analysis & Strategic Management. https://doi.org/10.1080/09537325.2011.604155
  5. Vasarhelyi, M.A. & Halper, F.B. (1991). The Continuous Audit of Online Systems. Auditing: A Journal of Practice & Theory, 10(1). Herdrukt in D.Y. Chan, V. Chiu & M.A. Vasarhelyi (red.), Continuous Auditing. Theory and Application (Emerald, 2018). https://doi.org/10.1108/978-1-78743-413-420181004
  6. Kogan, A., Sudit, E.F. & Vasarhelyi, M.A. (1999). Continuous Online Auditing: A Program of Research. Journal of Information Systems, 13(2). https://doi.org/10.2308/jis.1999.13.2.87
  7. Alles, M., Brennan, G., Kogan, A. & Vasarhelyi, M.A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens. International Journal of Accounting Information Systems, 7(2). https://doi.org/10.1016/j.accinf.2005.10.004
  8. Alles, M., Kogan, A. & Vasarhelyi, M.A. (2008). Putting Continuous Auditing Theory into Practice: Lessons from Two Pilot Implementations. Journal of Information Systems, 22(2). https://doi.org/10.2308/jis.2008.22.2.195
  9. National Institute of Standards and Technology (2003 en later). Security Metrics Guide for Information Technology Systems (NIST SP 800-55). https://doi.org/10.6028/nist.sp.800-55
  10. Artikel 29-werkgroep (2010). Advies 3/2010 over het verantwoordingsbeginsel (WP 173). https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp173_nl.pdf
  11. Quelle, C. (2018). Enhancing Compliance under the General Data Protection Regulation: The Risky Upshot of the Accountability- and Risk-based Approach. European Journal of Risk Regulation. https://doi.org/10.1017/err.2018.47
  12. Van Haastrecht, M., Yigit Ozkan, B., Brinkhuis, M. & Spruit, M. (2021). Respite for SMEs: A Systematic Review of Socio-Technical Cybersecurity Metrics. Applied Sciences, 11(15). https://doi.org/10.3390/app11156909
  13. Van Haastrecht, M. en anderen (2021). A Threat-Based Cybersecurity Risk Assessment Approach Addressing SME Needs. Proceedings of ARES 2021. https://doi.org/10.1145/3465481.3469199
  14. Yigit Ozkan, B. & Spruit, M. (2019). Cybersecurity Standardisation for SMEs. International Journal of Standardization Research, 17(2). https://doi.org/10.4018/ijsr.20190701.oa1
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen