Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Asset

Concepten

Informatie of digitale systemen die van waarde zijn voor een organisatie. Voorbeelden zijn: intellectueel eigendom, een klantendatabase, personeelsinformatie, etc.

Een asset in cybersecurity is elk bedrijfsmiddel dat waarde heeft voor een organisatie en daarom bescherming verdient. Dit omvat zowel tastbare zaken zoals servers, laptops en netwerkcomponenten als ontastbare zaken zoals software, data, intellectueel eigendom en reputatie. Het begrip asset is fundamenteel in cybersecurity omdat je niet kunt beschermen wat je niet kent. Assetmanagement, het systematisch inventariseren en beheren van al je bedrijfsmiddelen, is daarom de eerste stap in vrijwel elk cybersecurityframework, van CIS Controls (Control 1) tot ISO 27001 (Annex A.8) en NIST CSF. Zonder een compleet en actueel overzicht van je assets is elk beveiligingsprogramma gebouwd op een onzeker fundament.

Waarom is assetmanagement belangrijk?

Zonder een compleet overzicht van je assets kun je geen effectief beveiligingsbeleid voeren. Shadow IT, systemen en applicaties die buiten het zicht van de IT-afdeling worden gebruikt, vormt een van de grootste risico's voor organisaties. Uit onderzoek blijkt dat organisaties gemiddeld 30 tot 40% meer IT-assets hebben dan ze denken. Elke onbekende asset is een potentieel onbeschermde ingang voor aanvallers. Een vergeten testserver of een onbeheerde cloudinstantie kan het startpunt zijn van een ernstig beveiligingsincident.

Asset-inventarisatie is niet alleen een best practice maar ook een wettelijke vereiste. Onder de Cyberbeveiligingswet (NIS2) moeten organisaties een actueel overzicht hebben van hun kritieke systemen en data. De AVG vereist dat je weet waar persoonsgegevens worden opgeslagen en verwerkt. Zonder assetinventaris kun je niet aantonen dat je aan deze eisen voldoet. Toezichthouders vragen hier steeds vaker om bij inspecties en audits.

In OT-omgevingen (operationele technologie) is assetmanagement extra complex. Industriële systemen hebben vaak langere levenscycli dan IT-systemen, draaien op verouderde software en zijn lastig te scannen zonder productieprocessen te verstoren. CISA publiceerde specifieke richtlijnen voor OT-assetinventarisatie die de unieke uitdagingen van deze omgevingen adresseren. De convergentie van IT en OT maakt een geïntegreerde assetinventaris essentieel voor effectieve risicomanagement. Zonder inzicht in zowel je IT- als OT-assets mis je het totaalplaatje van je aanvalsoppervlak.

Hoe pas je assetmanagement toe?

Begin met het definiëren van de scope: welke typen assets wil je inventariseren? Een bruikbare taxonomie onderscheidt hardware-assets (servers, werkstations, mobiele apparaten, netwerkapparatuur, IoT-devices), software-assets (besturingssystemen, applicaties, licenties, SaaS-diensten), data-assets (databases, bestandsshares, cloudopslag, back-ups), netwerk-assets (IP-ranges, domeinen, certificaten, DNS-records) en mensen (accounts, rollen, toegangsrechten, externe partijen).

Gebruik geautomatiseerde discovery-tools om je netwerk te scannen op bekende en onbekende apparaten. Tools voor network discovery, vulnerability scanning en endpoint management helpen bij het opbouwen van een initiële inventaris. Combineer automatische scanning met handmatige input voor assets die niet via het netwerk zichtbaar zijn, zoals offline systemen, testomgevingen en cloudresources die buiten de standaard IT-processen zijn aangeschaft. Cloud Security Posture Management (CSPM)-tools zijn onmisbaar voor het ontdekken van cloudresources die buiten het zicht van IT zijn gecreëerd.

Classificeer elke asset op basis van kriticiteit en gevoeligheid. Niet elk asset verdient hetzelfde beschermingsniveau. Een productieserver met klantdata vereist strengere beveiliging dan een testwerkstation. Deze classificatie vormt de basis voor risicogebaseerde beslissingen over beveiligingsinvesteringen. Koppel assets aan eigenaren die verantwoordelijk zijn voor het beheer en de beveiliging ervan. Zonder duidelijk eigenaarschap vallen assets tussen wal en schip bij patch management en configuratiebeheer. Gebruik een CMDB (Configuration Management Database) als centrale registratie voor alle assets en hun onderlinge relaties.

Assetmanagement in de praktijk

Een veelvoorkomend scenario: een organisatie met 500 medewerkers voert een assetinventarisatie uit en ontdekt dat er naast de 600 bekende werkstations en servers nog 150 onbekende apparaten op het netwerk zitten. Dit zijn persoonlijke apparaten van medewerkers (BYOD), IoT-devices zoals printers en beveiligingscamera's, en vergeten testservers. Elk van deze apparaten vormt een potentieel toegangspunt voor aanvallers en moet worden opgenomen in het beveiligingsbeheer.

Een ander praktijkvoorbeeld betreft cloudresources. Teams die snel willen werken, spinnen cloudinstanties op met een creditcard zonder de IT-afdeling erbij te betrekken. Deze shadow-IT instances missen vaak basisbeveiliging zoals encryptie, logging en toegangscontrole. Een cloud security posture management-tool kan deze resources ontdekken en beoordelen, maar alleen als je weet dat je ernaar moet zoeken. Het implementeren van cloud governance policies die het aanmaken van resources beperken tot goedgekeurde kanalen, is een effectieve preventieve maatregel.

Lifecycle management is een essentieel onderdeel van assetbeheer. Assets doorlopen fases van aanschaf, implementatie, gebruik, onderhoud en uitfasering. Elke fase heeft beveiligingsimplicaties. Bij aanschaf evalueer je de beveiliging van het product en de leverancier. Bij uitfasering zorg je dat data veilig wordt gewist en dat het asset geen actieve credentials of configuraties meer bevat. Veel datalekken ontstaan door apparaten die worden afgedankt zonder de data te wissen. Een gedocumenteerd uitfaseringsproces met verificatiestappen voorkomt dit risico en is een vereiste bij veel compliance-frameworks.

Assetmanagement en compliance

Assetmanagement is een fundamentele voorwaarde voor vrijwel elke compliance-eis in cybersecurity. De NIS2-richtlijn vereist dat organisaties hun kritieke systemen en afhankelijkheden kennen. ISO 27001 vereist een inventaris van informatie-assets met eigenaren en classificatie. CIS Controls begint met asset inventarisatie als Control 1 en 2. Zonder een actuele en complete assetinventaris is het onmogelijk om aan deze eisen te voldoen.

De koppeling tussen assetmanagement en andere beveiligingsprocessen versterkt de effectiviteit van beide. Vulnerability management is afhankelijk van een complete asset inventaris: kwetsbaarheden kun je alleen detecteren op assets die je kent en scant. Patch management vereist dat je weet welke software op welke systemen draait. Incident response verloopt sneller als je direct kunt zien welke assets getroffen zijn en wat hun kriticiteit is. Access management is effectiever als je weet welke assets welke data bevatten en wie er toegang toe heeft. Organisaties die hun assetmanagement op orde hebben, presteren beter op alle andere beveiligingsdomeinen. Investeer daarom eerst in een volwassen assetmanagementproces voordat je complexere beveiligingsmaatregelen implementeert. Het is het fundament waarop alle andere cybersecuritymaatregelen rusten.

Veelgestelde vragen over asset

Wat is het verschil tussen een asset en een resource?

In cybersecurity worden de termen vaak door elkaar gebruikt. Een asset benadrukt de waarde voor de organisatie en de noodzaak tot bescherming. Een resource benadrukt de functionaliteit en het gebruik. In de praktijk is elk resource dat waarde heeft een asset dat bescherming verdient.

Hoe vaak moet je een assetinventaris bijwerken?

Idealiter is je assetinventaris real-time actueel via geautomatiseerde discovery-tools die continu scannen. Minimaal moet je de inventaris kwartaallijks handmatig reviewen en na elke significante organisatorische of technologische verandering actualiseren.

Wat is shadow IT en waarom is het een risico?

Shadow IT zijn systemen, applicaties en cloudservices die door medewerkers worden gebruikt zonder goedkeuring of medeweten van de IT-afdeling. Het risico is dat deze assets niet worden beheerd, niet worden gepatcht en niet worden gemonitord, waardoor ze een onzichtbaar aanvalsoppervlak vormen.

Welke tools gebruik je voor assetmanagement?

Veelgebruikte tools zijn CMDB-systemen (Configuration Management Database), network discovery tools, endpoint management platforms en cloud security posture management (CSPM) tools. De keuze hangt af van de omvang en complexiteit van je omgeving en of je IT, OT of beide beheert.

Is assetmanagement verplicht onder NIS2?

Ja, de Cyberbeveiligingswet vereist dat organisaties een actueel overzicht hebben van hun kritieke systemen en data. Assetmanagement is een fundamentele voorwaarde om aan de zorgplichtmaatregelen te kunnen voldoen en wordt door toezichthouders als eerste gecontroleerd.

Meer weten over assetbescherming? Bekijk Patch & Vulnerability Management op IBgidsNL.