SAMENGESTELD VOORBEELD

Voorbeeldrapport Cybersecurity Bewijs- en Weerbaarheidscheck

Een volledig fictief maar realistisch rapport voor een Nederlandse B2B-softwareleverancier met 34 medewerkers. Bekijk wat een managementsamenvatting, bewijsmatrix, bevinding en 30/60/90-dagenroadmap concreet kunnen bevatten.

Dit is nadrukkelijk geen echte klantcase of testimonial

De organisatie, aantallen, systemen, documenten, citaten, bevindingen en deadlines zijn verzonnen en samengesteld uit veelvoorkomende MKB-situaties. Het voorbeeld bewijst niet dat een specifieke organisatie is beoordeeld of dit resultaat heeft behaald.

De opdracht

De vraag die morgen binnen zou kunnen komen

“Wij zijn een softwareleverancier met 34 medewerkers. Onze MSP zegt dat Microsoft 365 en de laptops goed zijn ingericht. Over zes weken start procurement bij een grotere klant. We willen nu weten wat echt geregeld is, wat we kunnen aantonen en wat we eerst moeten oplossen.”

De organisatie heeft geen intern securityteam. De COO is bestuurlijk aanspreekpunt, een interne IT-coördinator werkt met de MSP en bewijs staat verspreid over SharePoint, e-mail en beheerportalen.

Managementsamenvatting

Er zijn maatregelen, maar cruciale claims zijn nog niet consequent verdedigbaar

Het probleem is niet dat er niets gebeurt. Het probleem is dat uitvoering, eigenaarschap, technische bevestiging en bewijs nog niet als één beheerst geheel functioneren.

3

Aanwezig en redelijk onderbouwd

5

Gedeeltelijk of technisch onbevestigd

2

Niet aantoonbaar geregeld

Niet “onveilig verklaard”, wel onvoldoende verdedigbaar

De organisatie kan nu niet zonder voorbehoud stellen dat MFA voor alle relevante accounts wordt afgedwongen, herstel aantoonbaar is getest, incidenten volgens een vastgesteld proces worden afgehandeld en alle toegang bij uitdiensttreding tijdig wordt ingetrokken.

Baseline- en bewijsmatrix

Status per domein, zonder misleidende totaalscore

DomeinStatusKernwaarnemingTechnische verdieping?
Context en kritieke processenAanwezigKritieke klantdienst en kernsystemen zijn benoemd; impacttoleranties moeten nog worden geconcretiseerd.Nee, eerst intern uitwerken
Governance en eigenaarschapGedeeltelijkDe COO neemt besluiten, maar formeel security-eigenaarschap en een vaste reviewcadans ontbreken.Nee
Identiteit en toegangGedeeltelijkMFA en beheer zijn deels onderbouwd; afdwinging, uitzonderingen en externe accounts moeten worden bevestigd.Ja, gerichte M365-review
In- en uitdiensttredingNiet aangetoondGeen uniforme checklist of aantoonbare sluiting van alle SaaS-toegang.Beperkt
Werkplekken en updatesAanwezig, niet volledig gevalideerd29 van 31 apparaten zijn zichtbaar als compliant; uitzonderingen en scope moeten worden bevestigd.Ja, endpointreview
Back-ups en herstelGedeeltelijkBack-upjobs bestaan, maar een recent restore-testverslag en aantoonbare hersteltijd ontbreken.Ja, restore-test
Logging en opvolgingGedeeltelijkAlerts gaan naar de MSP; triage, escalatie en periodieke review zijn niet aantoonbaar.Ja, loggingreview
IncidentmanagementNiet aangetoondGeen vastgestelde incidentprocedure, ernstindeling of klantmeldmatrix.Nee, daarna oefening
Leveranciers en cloudGedeeltelijkLeverancierslijst bestaat zonder kritikaliteit, eigenaar en bewijs per leverancier.Selectief
Beleid, awareness en bewijsGedeeltelijkBeleid is verouderd; awareness en evidence-index worden niet aantoonbaar bijgehouden.Nee
Uitgewerkte bevindingen

Van waarneming naar actie, eigenaar en vervolgbewijs

Een bruikbare bevinding benoemt niet alleen wat ontbreekt. Hij laat ook zien waarop de waarneming is gebaseerd, waarom dit relevant is, wie moet handelen en welk bewijs daarna nodig is.

F-01

MFA is niet aantoonbaar voor alle relevante accounts afgedwongen

Prioriteit hoog
Waarneming
Een geredigeerde registratie-export laat zien dat 27 van 31 interne gebruikers een sterke authenticatiemethode hebben geregistreerd. Registratie bewijst niet dat MFA bij iedere relevante aanmelding wordt afgedwongen. Voor vier interne accounts en twee externe accounts ontbreekt voldoende onderbouwing.
Onderbouwing bekeken
Entra-registratie-export, twee Conditional Access-screenshots, MSP-interview en lijst van actieve interne en externe accounts.
Waarom dit ertoe doet
De organisatie kan richting klant te stellig antwoorden dat MFA voor iedereen verplicht is, terwijl uitzonderingen en externe accounts nog niet zijn bevestigd.
Aanbevolen actie
Voer een gerichte read-only Microsoft 365-review uit. Bevestig toepassingsbereik, uitzonderingen, break-glass accounts en legacy authenticatie. Leg daarna een geredigeerde klantversie vast.
Voorgestelde eigenaar
IT-coördinator met MSP of InstantIT
Streefdatum
Binnen 15 werkdagen
Gewenst vervolgbewijs
Policy-export met datum en scope, uitzonderingenregister, break-glass-overzicht en herstelbewijs.

F-02

Uitdiensttreding is niet uniform en één extern account bleef te lang actief

Prioriteit hoog
Waarneming
Er bestaat geen centrale joiner/mover/leaver-checklist voor Microsoft 365, GitHub, Jira, CRM en overige SaaS. In de aangeleverde lijst stond een extern GitHub-account elf dagen na de einddatum nog als actief geregistreerd.
Onderbouwing bekeken
HR-offboardingmail, overzicht actieve externe accounts, GitHub-organisatielijst en interviews.
Waarom dit ertoe doet
Verlate intrekking kan leiden tot ongewenste toegang en maakt klantantwoorden over tijdige offboarding moeilijk verdedigbaar.
Aanbevolen actie
Blokkeer het account na validatie. Maak één checklist met trigger, systemenlijst, uitvoerder, controleur, sluitingsbevestiging en bewijs. Review alle externe en voormalige accounts.
Voorgestelde eigenaar
HR-manager en IT-coördinator
Streefdatum
Account direct; proces binnen 20 werkdagen
Gewenst vervolgbewijs
Afgesloten accountlijst, ondertekende checklist, export met sluitingsdatum en kwartaalreview.

F-03

Back-ups bestaan, maar herstel is niet aantoonbaar getest

Prioriteit hoog
Waarneming
De MSP levert dagelijkse jobrapportages voor Microsoft 365 en de kernapplicatie. Er is geen restore-testverslag van de afgelopen achttien maanden en geen aantoonbare hersteltijd.
Onderbouwing bekeken
Back-updashboard, maandrapport MSP, contractpassage over bewaartermijnen en interview.
Waarom dit ertoe doet
Een geslaagde back-upjob bewijst niet dat gegevens volledig, bruikbaar en binnen de benodigde tijd teruggezet kunnen worden.
Aanbevolen actie
Plan een beperkte restore-test met vooraf gekozen dataset, succescriteria, hersteltijd, verantwoordelijke en terugvalscenario. Leg beperkingen en vervolgacties vast.
Voorgestelde eigenaar
IT-coördinator en MSP
Streefdatum
Binnen 30 dagen
Gewenst vervolgbewijs
Restore-testplan, testverslag, screenshots of logs, gemeten hersteltijd en datum volgende test.

F-04

Incidentrespons is persoonsafhankelijk en niet klantklaar

Prioriteit midden
Waarneming
Bij een phishingincident in 2025 verliep afstemming via telefoon en WhatsApp. Er is geen vastgestelde procedure met ernstniveaus, eerste acties, beslissers, bewijsbewaring of klantmeldcriteria.
Onderbouwing bekeken
Korte incidentnotitie uit 2025 en interviews met management en MSP.
Waarom dit ertoe doet
Tijdens een incident gaat tijd verloren aan rollen en communicatie. De organisatie kan niet aantonen dat klant- en contractmeldingen vooraf zijn voorbereid.
Aanbevolen actie
Maak een compacte incidentprocedure plus een éénpagina-contactkaart. Voeg ernstindeling, eerste 60 minuten, communicatie, bewijsbewaring en klant-/contractcheck toe. Oefen daarna een scenario.
Voorgestelde eigenaar
COO, IT-coördinator en privacy/juridisch contact
Streefdatum
Procedure binnen 30 dagen; oefening binnen 75 dagen
Gewenst vervolgbewijs
Vastgestelde procedure, contactlijst, oefenverslag, aanwezigen en verbeteracties.

F-05

Logging en alertopvolging zijn niet als proces aantoonbaar

Prioriteit midden
Waarneming
De MSP ontvangt beveiligingsalerts in een gedeelde mailbox. Een overeengekomen classificatie, reactietijd, escalatiepad en maandelijkse rapportage ontbreken.
Onderbouwing bekeken
MSP-dienstbeschrijving, screenshot van alertmailbox en interviews.
Waarom dit ertoe doet
Het bestaan van logs of alerts kan ten onrechte als actieve monitoring worden gepresenteerd. Zonder opvolgproces kunnen relevante signalen blijven liggen.
Aanbevolen actie
Definieer welke alerts worden opgevolgd, binnen welke termijn, door wie en wanneer management wordt geïnformeerd. Bevestig daarna bronnen en retentie technisch.
Voorgestelde eigenaar
MSP service owner en IT-coördinator
Streefdatum
Binnen 45 dagen
Gewenst vervolgbewijs
Alertmatrix, SLA, escalatiepad, voorbeeldticket en maandrapport.

F-06

Kritieke leveranciers zijn niet geclassificeerd

Prioriteit midden
Waarneming
Er is een spreadsheet met twaalf leveranciers, maar zonder kritikaliteit, proceseigenaar, gegevenscategorie, toegangsvorm, exit-afhankelijkheid of datum van laatste beoordeling.
Onderbouwing bekeken
Leverancierslijst, contractmap en managementinterview.
Waarom dit ertoe doet
De organisatie kan niet snel uitleggen welke leveranciers kritiek zijn, welke toegang zij hebben en welke contractuele of continuïteitsmaatregelen bestaan.
Aanbevolen actie
Classificeer leveranciers op bedrijfsimpact, gegevens, toegang en vervangbaarheid. Controleer eerst de vijf kritieke leveranciers en leg ontbrekende contractstukken of risicoacceptaties vast.
Voorgestelde eigenaar
COO en contracteigenaren
Streefdatum
Top vijf binnen 60 dagen; volledige lijst binnen 90 dagen
Gewenst vervolgbewijs
Geclassificeerd register, contractverwijzingen, reviewdatum, open punt, eigenaar en exitnotitie.

F-07

Bewijs is verspreid en mist datum, scope of eigenaar

Prioriteit midden
Waarneming
Beleid, exports, screenshots en klantantwoorden staan verspreid over SharePoint, e-mail en het MSP-portaal. Twee eerdere klantantwoorden stellen dat MFA voor alle gebruikers verplicht is zonder gekoppelde onderbouwing.
Onderbouwing bekeken
Documentinventaris, twee eerdere klantvragenlijsten en interviews.
Waarom dit ertoe doet
Ook bestaande maatregelen zijn daardoor traag en inconsistent aantoonbaar. Verouderde of te stellige antwoorden vergroten commercieel en contractueel risico.
Aanbevolen actie
Maak een evidence-index met bewijs-ID, onderwerp, eigenaar, datum, scope, deelbaarheidsniveau en volgende review. Koppel standaardantwoorden alleen aan actuele onderbouwing.
Voorgestelde eigenaar
IT-coördinator als evidence-coördinator
Streefdatum
Eerste index binnen 30 dagen; klantklare set binnen 75 dagen
Gewenst vervolgbewijs
Evidence-index, versienummers, reviewdata, klantveilige exports en goedgekeurde antwoordbibliotheek.
Roadmap

Voorbeeld van een 30/60/90-dagenaanpak

TermijnActieEigenaarGewenst resultaat of bewijs
0-5 dagenControleer en sluit het resterende externe GitHub-account; start review van alle externe accounts.IT-coördinator + MSPSluitingsbewijs, uitzonderingenlijst en bevestigde eigenaar.
0-15 dagenGerichte M365-review op MFA-afdwinging, uitzonderingen, break-glass en legacy routes.MSP / InstantITGeredigeerde policy-export, bevindingen en herstelacties.
0-30 dagenVoer een beperkte restore-test uit met succescriteria en gemeten hersteltijd.IT-coördinator + MSPOndertekend testverslag en actiepunten.
0-30 dagenStel incidentprocedure, contactkaart en klantmeldcheck vast.COOGoedgekeurde versie, eigenaar en distributielijst.
0-30 dagenMaak eerste evidence-index en stop ongefundeerde standaardantwoorden.IT-coördinator + InstantSecureEvidence-index en herziene antwoordbibliotheek.
31-60 dagenFormaliseer joiner/mover/leaver, alertopvolging en classificatie van de vijf kritieke leveranciers.HR, IT, COO en MSPChecklist, alertmatrix en geclassificeerd leveranciersregister.
61-90 dagenOefen een incident, bouw de klantklare bewijsset en stel een vaste managementreview in.COO + IT + InstantSecureOefenverslag, Bewijsmap, reviewagenda en goedgekeurde klanttekst.
Evidence-index

Bewijs zonder context is nog geen sterk klantbewijs

In de evidence-index krijgt ieder bewijsstuk een ID, eigenaar, datum, scope, deelbaarheidsniveau en volgende review. Daarmee wordt zichtbaar wat een document wel en niet aantoont.

IDBewijsstukStatusScope of beperking
E-001MFA-registratie-exportAanwezigRegistratie; geen volledige afdwingingsbevestiging
E-002Conditional Access-samenvattingGedeeltelijkTwee policies; uitzonderingen niet volledig
E-003Actieve externe accountsAanwezigM365 en GitHub; overige SaaS nog aanvullen
E-004Back-up jobrapportAanwezigToont jobs; geen herstelbaarheid
E-005Restore-testverslagOntbreektNog uit te voeren
E-006IncidentprocedureOntbreektConcept nog niet vastgesteld
E-007Endpoint compliance-exportGedeeltelijk29/31 zichtbaar; uitzonderingen bevestigen
E-008LeveranciersregisterGedeeltelijkTwaalf leveranciers; geen kritikaliteit
Eindconclusie

Een realistisch rapport maakt onzekerheid expliciet

De voorbeeldorganisatie wordt niet afgekeurd en ook niet veilig verklaard. De kern is dat meerdere maatregelen waarschijnlijk bestaan, maar cruciale claims over toegang, herstel, offboarding, logging en incidentrespons nog niet volledig bevestigd of aantoonbaar zijn.

Voorbeeld van een verdedigbare MFA-formulering

“MFA wordt afgedwongen voor beheerders en voor reguliere gebruikers die binnen de vastgestelde toegangspolicies vallen. Een gerichte review van uitzonderingen en externe accounts is gestart. Tot afronding beschrijven wij de maatregel als gedeeltelijk bevestigd.”

Verdiep de drie belangrijkste onderwerpen

Van rapportbevinding naar bruikbaar bewijs

Back-up en hersteltest

Een back-upjob is niet hetzelfde als aantoonbaar herstel. Bekijk welk testbewijs bruikbaar is.

Lees de praktische uitleg

Wil je dit voor je eigen organisatie laten uitwerken?

We bepalen eerst de scope, gewenste zekerheid, beschikbare documenten en technische grenzen. Stuur via het openbare formulier nog geen gevoelige exports of inloggegevens.