📊 KPIs, KRIs & KFS: Meetbare Onzin voor een 100% Veilig Gevoel
"Als het in een grafiek staat, zal het wel kloppen." – Iedereen met een dashboard
Welkom in de wondere wereld van Key Performance Indicators, Key Risk Indicators, en ons persoonlijke paradepaardje: Key Fake Statistics. Want waarom investeren in echte security als je ook kunt winnen met cijfers die nergens op slaan?
🔒 100% Secure, mits je 47% van de assets vergeet
De kunst van een perfecte beveiligingsscore begint met een ijzersterk afbakeningstraject. Je wil natuurlijk wel binnen scope blijven. Letterlijk.
- 13 van de 26 servers zijn buiten scope, want "die staan op een ander VLAN".
- Alle laptops zijn buiten scope, want "die nemen medewerkers toch mee naar huis, daar hebben we geen invloed op."
- De API's zijn niet getest, want de stagiair die ze schreef heeft inmiddels een andere stage.
Maar goed nieuws: van de in scope zijnde systemen scoorde 100% een vinkje. En dus is de organisatie veilig verklaard, mits niemand ooit iets probeert buiten scope.
📈 De kracht van KFS: Key Fake Statistics
Voor wie denkt dat KPIs en KRIs al voldoende zijn om het bestuur in slaap te sussen, introduceren wij de nieuwste hype: KFS – Key Fake Statistics™. Een aantal voorbeelden uit onze praktijk:
| KPI/KRI/KFS | Waarde | Betekenis |
|---|---|---|
| MFA adoptiegraad | 92% | Alleen backendadmins, testaccounts en HR niet |
| "Beveiligingsbewustzijn" score | 88% | Gemeten met een quiz over wat phishing is |
| Patch compliance rate | 100% | Gemeten op de twee servers die in scope waren |
| Aantal gedetecteerde aanvallen | 0 | IDS stond uit, dus: geen aanvallen = veilig |
| AVG boetes | 0 euro | Omdat niemand kijkt naar dat lek sinds 2021 |
🧙♂️ Excel-magic: Van Excel naar ISO 27001 in 3 kolommen
In securityland is geen probleem te groot dat je het niet kunt oplossen met:
- Een Excel-sheet met een kleurverloop,
- Drie tabbladen met regels die niemand leest, en
- Een dashboard in PowerBI dat zegt: “Alles onder controle.”
Dankzij conditional formatting lijkt je patchstatus groen, zolang je de kolommen met datums maar klein genoeg maakt.
🧘♀️ Compliancemeditatie: Als het vinkje klopt, is het risico weg
Bij Pentestvinkje geloven we in de transformatieve kracht van vinkjes. Daarom hebben we ook de volgende zenwijsheden op kantoor hangen:
- “Het risico bestaat pas als je het accepteert.”
- “Als een vulnerability valt in een tool die niemand checkt, maakt die dan geluid?”
- “Waarom oplossen, als je kunt compenseren?”
🧪 Tot slot: een Proof of Concept... van Gebakken Lucht
Bij de laatste audit werd er gevraagd naar de penetratietesten van het afgelopen jaar. We toonden met trots onze test van een testomgeving van een proof-of-concept van een staging-versie van een applicatie die ooit live had kunnen gaan. De consultant knikte, noteerde "ja" en vinkt tevreden het hokje af.
🎯 Conclusie:
Je hoeft geen reële beveiliging te hebben, zolang je maar goed bent in de illusie van controle. En dat, lieve lezers, is waar security vandaag de dag écht over gaat: metrics, dashboards, en een vleugje PowerPoint-prestatiekunst.
"Bij Pentestvinkje geloven wij niet in 'security by design', maar in 'metrics by spreadsheet'."