Spring naar content

Masero: “Veel bedrijven zien cybersecurity als een verplichting in plaats van een kans om je te onderscheiden van je concurrentie”

In 2020 richtten Wolter Buijs en zijn compagnon Nico het cybersecuritybedrijf Masero op. Met een achtergrond als consultant focuste Wolter zich op het optimaliseren van bedrijfsprocessen, met security als rode draad. Nico werkte op dat moment als ethical hacker bij een bank. Wat hen verbond, was een gedeelde ambitie: hun expertise inzetten om lokaal verschil te maken.

Zo ontstond Masero, met als missie om de kennis en kwaliteit die zij bij grote corporates opdeden, toegankelijk te maken voor het mkb. Inmiddels bedient het bedrijf klanten door het hele land. Cybersecyurityredacteur Jan Meijroos spreekt Wolter over ketenzorgplicht, het voorkomen van hacks en NIS2 compliance als ‘license to operate’.

Wolter, waarvoor bellen klanten jullie?

Wolter: “Onze kernactiviteit is 24/7 monitoring met een Nederlands Security Operations Center (SOC). We zorgen ervoor dat de data van klanten bij de klant blijft. We zijn een Microsoft-huis, en de meeste bedrijven werken met Microsoft. Binnen dat platform zitten veel goede security-oplossingen die wij met eigen regels nog verder perfectioneren.”

“Onze belangrijkste activiteit is 24/7 monitoring via ons Nederlandse Security Operations Center (SOC). We zorgen ervoor dat klantgegevens veilig blijven en niet in verkeerde handen vallen. De klantgegevens blijven bij de klant; we halen geen data naar ons toe voor analyse. Als gespecialiseerd Microsoft-partner benutten we de krachtige beveiligingsoplossingen binnen het Microsoft-platform en met onze eigen geavanceerde regels en instellingen tillen we die beveiliging naar een nog hoger niveau.”

Hoe gaan jullie concreet te werk?

Wolter: “Onze drie ankers zijn ‘people, process, technology’. Die moeten een geheel vormen. We geven ook doorlopende online awareness-trainingen én trainingen op locatie, zodat medewerkers altijd alert blijven op beveiligingsrisico’s. Naast training bieden we consultancy, waarbij we vaak starten met een nulmeting, die we Security Health Check noemen, om inzichtelijk te maken waar een bedrijf staat op het gebied van security. Op basis daarvan helpen we bij het implementeren van controlemaatregelen en werken we samen aan een structurele verhoging van het beveiligingsniveau.”

Jullie diensten zijn dus voornamelijk preventief gericht?

Wolter: “Ja, we monitoren niet alleen of een klant gehackt wordt, maar met name op gebeurtenissen die mogelijke voortekenen zijn van een aanval. We willen ingrijpen voordat het fout gaat. We hebben vanuit deze werkwijze meerdere hacks kunnen voorkomen.”

Bij onze bestaande klanten hebben we nog geen situatie gehad waarin echt serieuze schade is ontstaan. Natuurlijk kunnen we nooit 100% voorkomen dat iets misgaat. Daarom is awareness zo belangrijk. Als iemand op een phishingmail klikt en zijn inloggegevens achterlaat, dan kunnen wij daar weinig aan doen. Wat we wél kunnen doen, is phishingmails tijdig detecteren en blokkeren voordat ze de gebruiker bereiken. Daarnaast kunnen we snel ingrijpen en de schade beperken zodra we verdachte activiteiten in de klantomgeving signaleren.”

Beginnen klanten meestal met consultancy en stromen ze daarna door naar jullie SOC-dienst?

Wolter: “Vaak wel, maar niet altijd. Soms doen we een nulmeting, in de vorm van een Security Health Check van het netwerk. In het begin was dat vooral technisch gericht. Mede door de komst van de NIS2 regelgeving is de scope breder en kijken we naar het hele informatiebeveiligingsstuk. Onze dienstverlening is groter geworden. We hanteren de ISO 27001-norm als basis, en met NIS2 zijn daar extra eisen bijgekomen. Er moeten nu meer zaken op orde worden gebracht om aan de regelgeving te voldoen.”

Jullie zijn in 2020 gestart. Zien jullie nu, vijf jaar later, een verhoogde urgentie voor cybersecurity?

Wolter: “Het is zeker beter geworden, maar het moet nóg beter. Ik verbaas me soms nog steeds over hoe sommige bedrijven ermee omgaan, met name eindklanten. We werken ook veel samen met MSP’s (Managed Service Providers). Met MSP’s die security serieus nemen en erkennen dat managed security een vak apart is, werken we het prettigst samen. ”

“Veel bedrijven worden pas wakker als ze horen over de nieuwe regelgeving, zoals NIS2, en de mogelijke boetes en hoofdelijke aansprakelijkheid die daarbij komen kijken. Dat zet hen aan het denken. Toch blijft de opkomst bij regionale cybersecurity-bijeenkomsten lager dan ik zou willen zien. Veel bedrijven zien het nog steeds als een verplichting in plaats van een kans om zich te onderscheiden van de concurrentie.”

Zie jij het voldoen aan NIS2 eisen als een minimale vereiste om te kunnen blijven opereren?

Wolter: “Absoluut. NIS2 compliance wordt straks simpelweg een ‘license to operate’. Grote bedrijven en kritieke entiteiten moeten aan deze eisen voldoen, maar daaronder vallen ook duizenden toeleveranciers die eveneens compliant moeten zijn Veel mkb-bedrijven realiseren zich niet dat ze een essentiële schakel in deze keten vormen.”

Verwacht je dat bedrijven die NIS2 negeren, op termijn buiten de boot vallen?

Wolter: “Zeker. Bestaande klanten zullen misschien nog coulant zijn richting hun leveranciers, maar bij de keuze voor nieuwe leveranciers wordt NIS2-compliance een harde eis. Bedrijven die hun security niet op orde hebben, zullen daardoor steeds vaker buiten de boot vallen.”

Wat zijn hardnekkige misvattingen rondom cybersecurity?

Wolter: “Wat me blijft verbazen, is dat organisaties nog steeds denken: “Ik ben niet interessant genoeg om gehackt te worden.” Die gedachte hoor ik veel te vaak. Alsof hackers alleen maar achter grote multinationals aangaan. De realiteit is dat het mkb juist een geliefd doelwit is omdat ze vaak minder goed beveiligd zijn.”

Welke fouten zie je terugkomen?

Wolter: “Zwakke wachtwoorden. Maar ook tweefactorauthenticatie (MFA) wordt nog niet overal consequent gebruikt. We zien het ook terug in onze securityscans: als we simuleren dat een hacker al binnen is, is het vaak verrassend makkelijk om toegang tot andere systemen te krijgen. Soms zijn we binnen 15 minuten eigenaar van een server. Dat zou in 2025 niet meer moeten kunnen.”

Je noemde eerder de ISO 27001-norm als basis voor grote bedrijven. Hoe weerhoudt NIS2 zich hierin ten opzichte van kleinere bedrijven?

Wolter: “ISO 27001 is een stevige norm en voor kleinere bedrijven soms te zwaar. Daarom is de NIS2 Quality Mark ontwikkeld, in samenwerking met brancheverenigingen. Dat helpt mkb’ers om op een realistische manier hun beveiliging te verbeteren zonder de volledige ISO-certificering te hoeven doorlopen. NIS2 zelf is natuurlijk geen norm, maar een wet die eist dat je cybersecurity op orde hebt. Hoe je dat aantoont, kan via ISO 27001 of via het NIS2 Quality Mark. Het gaat erom wat passend is.”

Wat doen jullie om bedrijven hierin te begeleiden?

Wolter: “Wij helpen bedrijven met een gap-analyse. We brengen in kaart waar ze nu staan en welke stappen ze nog moeten zetten. Niet alles hoeft tegelijk, maar het belangrijkste is dat er bewust keuzes worden gemaakt. Je moet weten waar je risico’s liggen en beslissingen nemen over hoe je die wilt beperken.”

NIS2 legt veel nadruk op ketenzorgplicht. Wat vind je daarvan?

Wolter: “Heel belangrijk. Bedrijven kunnen hun eigen beveiliging nog zo goed op orde hebben, maar als een leverancier gehackt wordt en via een factuur een phishinglink stuurt, ben je alsnog kwetsbaar. Dit geldt zeker voor kritische leveranciers die onderdelen leveren die essentieel zijn voor een bedrijfsproces. Cybersecurity wordt vaak als een last gezien, maar het is eigenlijk een voorwaarde om veilig te kunnen ondernemen. Het is net als remmen in een auto: je durft pas echt gas te geven als je weet dat je remmen goed werken. Bedrijven die hun beveiliging op orde hebben, zullen op termijn een concurrentievoordeel hebben omdat klanten steeds vaker eisen dat hun leveranciers goed beveiligd zijn.”

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht