Interview met Marjolein – Security Specialist bij Goveryx
“Cybersecurity gaat niet over het vinden van kwetsbaarheden, maar over weten wat je ermee moet doen.”
In gesprek met Marjolein, security specialist binnen het SOC en de kwetsbaarheidsdienst van Goveryx. Dagelijks houdt zij zich bezig met het monitoren, analyseren en vertalen van kwetsbaarheden naar concrete acties voor klanten.
Wat zie jij in de praktijk bij organisaties?
“Wat ik het meest zie, is dat organisaties vaak wel scans uitvoeren, maar vervolgens blijven zitten met een lange lijst aan kwetsbaarheden. Dan komt de vraag: waar beginnen we?
Zonder context en prioritering gebeurt er vaak te weinig. Of er wordt juist tijd gestoken in minder belangrijke issues, terwijl de echte risico’s blijven liggen.”
Wat maakt jullie aanpak anders?
“Wij leveren geen lijst, maar een actieplan. Binnen onze Continuous Vulnerability & Risk Management (CVRM) dienst combineren we technologie met menselijke analyse. Dat betekent dat we niet alleen kijken wat er gevonden wordt, maar vooral wat het betekent voor de organisatie.
We beoordelen kwetsbaarheden vanuit een aanvallersperspectief en koppelen dat aan de impact op de business. Daardoor kunnen we heel gericht prioriteren.”
Hoe werkt dat in de praktijk?
“Wij draaien dagelijks scans en analyses, verdeeld over systemen en locaties. Alles wat binnenkomt, wordt door ons team bekeken en dat noemen we ‘eyes on screen’.
We hebben continu mensen beschikbaar die meekijken, analyseren en beoordelen. Er is altijd een SOC engineer standby, ook buiten kantooruren.
Maar belangrijk is: klanten krijgen geen ruwe data. Wij filteren ruis, valideren bevindingen en vertalen alles naar duidelijke acties.”
Wat gebeurt er als er iets kritisch wordt gevonden?
“Dan treedt onze DAB-escalatie in werking.
Dat betekent dat we kritieke kwetsbaarheden direct onder de aandacht brengen, zodat er snel gehandeld kan worden. Je wilt geen maand wachten op een rapport als er nu iets speelt.”
En hoe houd je overzicht als organisatie?
“Daarvoor hebben we ons dashboard ontwikkeld.
Veel klanten kiezen voor onze Medium dienst in combinatie met het dashboard. Dat geeft inzicht op drie niveaus:
- Bestuur: wat zijn de grootste risico’s en trends
- Management: waar moeten we op sturen
- Operationeel: wat moet er concreet gebeuren
Daarnaast werken we met een live assetlijst inclusief CIA-classificatie. Daardoor zie je niet alleen een kwetsbaarheid, maar ook wat de impact is op jouw organisatie.”
Hoe belangrijk is die menselijke factor?
“Cruciaal. Tools kunnen veel vinden, maar niet alles beoordelen.
Wij kijken ook naar de context van de organisatie. Hoe werkt een bedrijf? Wat is kritisch? Wat kan wachten?
We zien onszelf echt als verlengstuk van het team van de klant. We denken mee, volgen op en zorgen dat dingen ook daadwerkelijk opgelost worden.”
Hoe past dit binnen NIS2 en compliance?
“Organisaties moeten steeds meer aantonen dat ze ‘in control’ zijn. Dat betekent niet alleen weten waar je kwetsbaar bent, maar ook laten zien dat je er iets mee doet.
Met onze aanpak bouw je dat structureel op. Niet één keer per jaar, maar continu. Dat maakt het veel makkelijker om aan eisen zoals NIS2, ISO 27001 of NEN7510 te voldoen.”
Wat zou je organisaties willen meegeven?
“Begin niet met tools, maar met structuur.
Cybersecurity wordt vaak complex gemaakt, terwijl het eigenlijk draait om drie dingen:
- inzicht
- prioriteit
- actie
Als je dat goed organiseert, maak je al een enorme stap.”
Tot slot: waarom Goveryx?
“Omdat wij echt geven om de organisatie én de cybersecurity.
We willen niet alleen laten zien wat er mis is, maar vooral helpen om het beter te maken. Continu.”
Continuous Vulnerability & Risk Management
Van kwetsbaarheden naar duidelijke, geprioriteerde acties.
Wil je weten hoe dit er voor jouw organisatie uitziet? Neem contact met ons op!