Je board vraagt naar cloud-risico en jij hebt geen antwoord

De vraag die je elke keer weer krijgt

De boardroom valt stil. De CFO kijkt je aan en stelt de vraag die je al zag aankomen: “Hoeveel procent van onze cloud-risico’s hebben we nu eigenlijk onder controle?”

Je opent drie dashboards. AWS toont groen voor IAM-compliance. Azure meldt twee medium-priority alerts. GCP rapporteert een kwetsbaarheid in een container die vorige week al was gepatcht.

Je geeft een samenvatting. De CFO knikt. Maar je weet het zelf al: dit is geen antwoord, dit is giswerk.

Het ligt niet aan jou, maar aan je dashboards

Het probleem zit niet in je expertise. Het zit in de manier waarop cloud security is ingericht. Elke tool toont een stukje van de werkelijkheid, maar niemand ziet het volledige plaatje.

Volgens het NetApp Cloud Complexity Report gebruikt de gemiddelde financiële instelling meer dan veertig securityproducten. Elk product heeft zijn eigen definitie van risico, eigen prioritering en eigen manier van rapporteren.

Wat je daardoor ziet:

• AWS dashboard toont compliance voor IAM, maar niet wat er draait in je containers.
• Azure Security Center ziet misconfiguraties, maar mist kwetsbaarheden die al in productie zijn.
• GCP logging geeft alerts, maar zonder context over welke workloads kritiek zijn.
• Elk dashboard heeft zijn eigen risicodefinitie, waardoor je appels met peren vergelijkt.

Uit onderzoek van Microsoft:

• 86% gebruikt multi-cloud.
• 60% heeft geen eenduidig overzicht.

Dat betekent: 6 van de 10 organisaties met multi-cloud zijn aan het gissen. Je bent niet de enige die dit probleem herkent.

De gevaarlijkste blinde vlekken ontstaan tussen je dashboards

Het echte gevaar ligt niet in wat je dashboards wél laten zien, maar in wat ertussen door glipt.

Een ontwikkelaar pusht een update naar Azure. De CI/CD-pipeline draait groen. Maar de IAM-rol die toegang geeft staat in AWS, en die wordt niet gescand door je Azure tooling. De misconfiguratie verschijnt in geen enkel dashboard.

Een container gaat naar productie. Je CSPM checkt de configuratie vooraf: groen. Je runtime tool monitort het gedrag een uur later: groen.

Maar tussen die twee momenten, tijdens de deployment zelf, stond de container vier minuten online met een te ruime netwerkconfiguratie. Geen tool zag het. Geen alert ging af. Het staat nergens gelogd.

Tot een auditor drie maanden later vraagt: “Hoe weet je zeker dat er in die deployment window niks mis is gegaan?”

Je hebt geen antwoord.

Een shadow workload draait drie maanden in GCP. Het staat niet in je asset inventory omdat een team het heeft opgezet via een serviceaccount dat niet centraal wordt gelogd. Geen tool ziet het, niemand weet ervan.

Dit zijn geen theoretische scenario’s. Dit gebeurt elke dag, in elke organisatie die met meerdere clouds werkt.

“Je kunt geen risico beheren dat je niet ziet. En tussen losse dashboards zie je het grootste deel niet.”
Leon Smit, General Manager bij Acora Nederland

En wat je niet ziet, kun je ook niet aantonen aan een auditor.

Waarom “we denken dat we compliant zijn” niet meer genoeg is

Sinds DORA en NIS2 van kracht zijn, veranderde de manier waarop compliance wordt gemeten. Auditors willen geen rapporten van vorige maand. Ze willen live bewijs dat elke workload vandaag voldoet aan de eisen.

Volgens Orca Security moet elke workload in een financiële instelling aantoonbaar compliant zijn met meer dan 150 control frameworks. Die frameworks overlappen deels, maar elk stelt net iets andere eisen aan IAM, encryptie, logging en netwerksegmentatie.

In de praktijk betekent dit dat development tientallen releases per dag pusht, terwijl security nog bezig is om nieuwe assets handmatig te registreren. Elk kwartier dat een workload niet is gemapt, telt als non-compliance. Elke misconfiguratie die niet binnen 24 uur is verholpen, kan leiden tot boetes.

Zonder één compleet beeld verdrinkt het team in administratie. Compliance wordt een race tegen de klok in plaats van een bewuste keuze voor veiligheid.

Wat je board eigenlijk vraagt (en hoe je dat geeft)

Als de CFO vraagt naar cloud risico, vraagt hij niet naar het aantal alerts of het percentage gescande assets. Hij vraagt: “Hoe groot is de kans dat we morgen in de krant staan?”

Dat antwoord krijg je alleen als alle signalen samenkomen in één overzicht. Als je in real time ziet hoe een misconfiguratie in Azure samenhangt met een te ruime IAM-rol in AWS en een kwetsbare container in GCP. Als je kunt laten zien welke workloads kritiek zijn, welke risico’s prioriteit hebben en welke compliance gaten vandaag nog bestaan.

Leon Smit, die meerdere financiële instellingen adviseert bij deze vraagstukken: “De CFO vraagt niet naar alerts. Hij vraagt naar controle. Kun je aantonen dat je weet wat er draait, wie er toegang heeft en waar het risico zit? Zonder dat aantonen heb je geen security, je hebt hoop.”

Een Cloud Native Application Protection Platform (CNAPP) is niet weer een tool die je toevoegt aan de stapel. Het is het samenbrengen van wat je al hebt: CSPM voor configuraties, CWPP voor workloads, CIEM voor identiteiten en DSPM voor data. Alles in één platform, met één risicoscore die je board direct begrijpt.

Wat dat oplevert:

• Single source of truth voor alle clouds (AWS, Azure, GCP).
• Real-time correlatie tussen misconfiguraties, IAM-rechten en kwetsbaarheden.
• Agentless visibility binnen minuten, zonder agents te installeren op elke workload.

Wil je precies begrijpen hoe CNAPP technisch werkt?

Ons CNAPP Whitepaper legt uit hoe posture management, runtime detection en compliance mapping samenwerken in één platform. Inclusief de technische diepgang die deze blog niet geeft.

Van negen dagen audit-prep naar één dashboard met alle antwoorden

Een Europese bank met meer dan 200.000 cloud-assets had achttien security tools draaien. Elk team had zijn eigen dashboard. DevOps keek naar Azure Monitor. SecOps checkte de SIEM alerts. Compliance exporteerde spreadsheets uit drie verschillende CSPM tools.

Elke maand dezelfde vraag van de board: “Hoe staat het met ons cloud risico?”

Elke maand hetzelfde antwoord: “We zijn bezig met…”

Toen kwam de audit. Negen werkdagen om alle evidence te verzamelen. Nog eens drie dagen om het te vertalen naar wat de auditor wilde zien.

Na implementatie van Orca Security als CNAPP-platform veranderde dat fundamenteel:

De grootste winst zat niet in de kosten. Het zat in de controle. Het team wist eindelijk wat er speelde, in welke cloud dan ook, zonder eerst vier dashboards te moeten combineren.

“Het grootste verschil zat niet in de kosten, maar in de controle. Het team wist eindelijk wat er speelde.”
Leon Smit, General Manager bij Acora Nederland

Hoe weet je of dit ook voor jou geldt?

Test 1: De 60-seconden test

Open je laptop. Laat je board zien welke workloads er NU draaien in AWS, Azure en GCP. Hoeveel tijd kost dat?

Als het antwoord langer dan 60 seconden is, heb je geen overzicht. Je hebt puzzelstukjes.

Test 2: De risicoscore test

Heb je één risicoscore die je board direct begrijpt? Of moet je eerst drie dashboards samenvatten, vertalen en in een presentatie gieten voordat je antwoord kunt geven?

Test 3: De audit test

Weet je tijdens een audit direct welke workloads aan welke frameworks voldoen? Of ben je dagen bezig met evidence verzamelen uit achttien losse tools, in de hoop dat je niets vergeet?

Als een of meer van deze tests bij je resoneren, heb je niet per se een probleem met je securitytools. Je hebt een probleem met overzicht.

Meer weten?

Herken je dit? Leon Smit spreekt dagelijks met CISO’s die exact dit probleem tegenkomen. Geen verkooppraatje, gewoon 30 minuten sparren over wat je nu ziet en wat je zou moeten kunnen zien.

Mail naar netherlands@acora.com met “Cloud risico gesprek” in de onderwerpregel, of vul het contactformulier in. Dan plannen we een moment dat past.

Gewoon eerlijk en concreet, zodat je weet waar je staat.