Leer hoe u cyberbeveiligingsrisico's kwantificeert met beveiligingsstatistieken, wat datagestuurde besluitvorming en effectief risicobeheer in diverse wereldwijde contexten mogelijk maakt. Inclusief praktische inzichten en internationale voorbeelden.
Beveiligingsstatistieken: Risicokwantificering – Een Wereldwijd Perspectief
In het snel evoluerende digitale landschap gaat effectieve cyberbeveiliging niet langer alleen over het implementeren van beveiligingsmaatregelen; het gaat om het begrijpen en kwantificeren van risico's. Dit vereist een datagestuurde aanpak die gebruikmaakt van beveiligingsstatistieken om bruikbare inzichten te bieden. Dit blogbericht onderzoekt de cruciale rol van beveiligingsstatistieken bij risicokwantificering en biedt een wereldwijd perspectief op hun toepassing en voordelen.
Het Belang van Risicokwantificering
Risicokwantificering is het proces van het toekennen van een numerieke waarde aan cyberbeveiligingsrisico's. Dit stelt organisaties in staat om:
- Risico's Prioriteren: De meest kritieke dreigingen identificeren en hierop focussen.
- Geïnformeerde Beslissingen Nemen: Beveiligingsinvesteringen en toewijzing van middelen baseren op data.
- Effectief Communiceren: Risiconiveaus duidelijk communiceren naar belanghebbenden.
- Voortgang Meten: De effectiviteit van beveiligingsmaatregelen in de loop van de tijd volgen.
- Voldoen aan Compliance-eisen: Voldoen aan regelgeving zoals de AVG, CCPA en ISO 27001, die vaak risicobeoordeling en -rapportage verplichten.
Zonder risicokwantificering kunnen beveiligingsinspanningen reactief en inefficiënt worden, waardoor organisaties kwetsbaar kunnen zijn voor aanzienlijke financiële verliezen, reputatieschade en juridische aansprakelijkheid.
Belangrijke Beveiligingsstatistieken voor Risicokwantificering
Een uitgebreid programma voor beveiligingsstatistieken omvat het verzamelen, analyseren en rapporteren van diverse statistieken. Hier zijn enkele belangrijke gebieden om te overwegen:
1. Kwetsbaarhedenbeheer
Kwetsbaarhedenbeheer richt zich op het identificeren en verhelpen van zwakheden in systemen en applicaties. Belangrijke statistieken zijn onder andere:
- Gemiddelde Tijd tot Herstel (MTTR): De gemiddelde tijd die nodig is om een kwetsbaarheid te verhelpen. Een lagere MTTR duidt op een efficiënter herstelproces. Dit is wereldwijd cruciaal, omdat tijdzones en verspreide teams in verschillende landen de responstijden kunnen beïnvloeden.
- Scores voor Kwetsbaarheidsernst (bijv. CVSS): De ernst van kwetsbaarheden gebaseerd op gestandaardiseerde scoresystemen. Organisaties gebruiken deze scores om de potentiële impact van elke kwetsbaarheid te begrijpen.
- Aantal kwetsbaarheden per bedrijfsmiddel: Helpt om het algehele kwetsbaarhedenlandschap van de infrastructuur van uw organisatie te begrijpen. Vergelijk dit tussen verschillende soorten bedrijfsmiddelen om gebieden te identificeren die meer aandacht vereisen.
- Percentage van verholpen kritieke kwetsbaarheden: Het percentage van zeer ernstige kwetsbaarheden dat succesvol is aangepakt. Dit is cruciaal voor het meten van risicoreductie.
- Patchsnelheid voor kwetsbaarheden: Het percentage systemen en applicaties dat binnen een bepaald tijdsbestek (bijv. wekelijks, maandelijks) is gepatcht tegen bekende kwetsbaarheden.
Voorbeeld: Een multinational met kantoren in de VS, India en het VK kan de MTTR voor elke regio afzonderlijk bijhouden om geografische uitdagingen te identificeren die de herstelinspanningen beïnvloeden (bijv. tijdsverschillen, beschikbaarheid van middelen). Ze kunnen ook prioriteit geven aan patchen op basis van CVSS-scores, waarbij ze zich eerst richten op kwetsbaarheden die kritieke bedrijfssystemen treffen, ongeacht de locatie. Houd rekening met de wettelijke vereisten van elke regio bij het ontwikkelen van deze statistiek; de AVG en CCPA hebben bijvoorbeeld verschillende vereisten voor datalekken op basis van de locatie van de getroffen data.
2. Dreigingsinformatie
Dreigingsinformatie biedt inzicht in het dreigingslandschap, wat proactieve verdediging mogelijk maakt. Belangrijke statistieken zijn onder andere:
- Aantal dreigingsactoren dat de organisatie aanvalt: Het volgen van specifieke actoren of groepen die uw organisatie actief aanvallen, stelt u in staat om te focussen op de meest waarschijnlijke dreigingen.
- Aantal gedetecteerde dreigingsindicatoren: Het aantal kwaadaardige indicatoren (bijv. malwaresignaturen, verdachte IP-adressen) dat in uw beveiligingssystemen wordt geïdentificeerd.
- Percentage van geblokkeerde dreigingen: De effectiviteit van beveiligingsmaatregelen bij het voorkomen dat dreigingen de organisatie binnendringen.
- Tijd om dreigingen te detecteren: De tijd die nodig is om een beveiligingsincident te identificeren. Het minimaliseren van deze tijd is cruciaal om schade te beperken.
- Aantal fout-positieven: Een indicatie van de nauwkeurigheid van uw dreigingsdetectiesystemen. Te veel fout-positieven kunnen leiden tot alarmmoeheid en de respons belemmeren.
Voorbeeld: Een wereldwijde financiële instelling kan dreigingsinformatie gebruiken om de activiteiten van financieel gemotiveerde cybercriminelen te volgen, en zo phishingcampagnes en malware-aanvallen identificeren die gericht zijn op haar klanten in verschillende landen. Ze kunnen het aantal geblokkeerde phishing-e-mails in verschillende regio's (bijv. Europa, Azië-Pacific, Noord-Amerika) meten en de tijd die nodig is om een succesvolle phishingpoging te detecteren en erop te reageren. Dit helpt om beveiligingsbewustzijnsprogramma's af te stemmen op specifieke regionale dreigingen en de detectiepercentages van phishing te verbeteren.
3. Incidentrespons
Incidentrespons richt zich op het afhandelen en mitigeren van beveiligingsincidenten. Belangrijke statistieken zijn onder andere:
- Gemiddelde Tijd tot Detectie (MTTD): De gemiddelde tijd om een beveiligingsincident te identificeren. Dit is een cruciale statistiek voor het meten van de effectiviteit van beveiligingsmonitoring.
- Gemiddelde Tijd tot Inperking (MTTC): De gemiddelde tijd om een beveiligingsincident in te perken en verdere schade te voorkomen.
- Gemiddelde Tijd tot Herstel (MTTR): De gemiddelde tijd om diensten en gegevens te herstellen na een beveiligingsincident.
- Aantal afgehandelde incidenten: Het volume van beveiligingsincidenten waarop het incidentresponsteam moet reageren.
- Kosten van incidenten: De financiële impact van beveiligingsincidenten, inclusief herstelkosten, verloren productiviteit en juridische kosten.
- Percentage van succesvol ingeperkte incidenten: De effectiviteit van de incidentresponsprocedures.
Voorbeeld: Een internationaal e-commercebedrijf kan de MTTD voor datalekken volgen en de resultaten tussen verschillende regio's vergelijken. Als er een datalek optreedt, wordt het incidentresponsteam in een regio met een hogere MTTD geanalyseerd om knelpunten of verbeterpunten in de incidentresponsprocedures te identificeren. Ze zullen waarschijnlijk prioriteit geven aan een beveiligingsincident op basis van de wettelijke vereisten in de regio waar het datalek plaatsvond, wat op zijn beurt de inperkings- en herstelstatistieken beïnvloedt.
4. Beveiligingsbewustzijn en Training
Beveiligingsbewustzijn en training hebben tot doel medewerkers te informeren over beveiligingsdreigingen en best practices. Belangrijke statistieken zijn onder andere:
- Doorklikratio bij phishing: Het percentage medewerkers dat op phishing-e-mails klikt tijdens gesimuleerde phishingcampagnes. Lagere percentages duiden op effectievere training.
- Voltooiingspercentage van beveiligingsbewustzijnstraining: Het percentage medewerkers dat de verplichte beveiligingstraining voltooit.
- Scores voor kennisbehoud: Meet de effectiviteit van de training door het begrip van beveiligingsconcepten bij medewerkers te beoordelen.
- Gemelde phishing-e-mails: Het aantal door medewerkers gemelde phishing-e-mails.
Voorbeeld: Een wereldwijd productiebedrijf met fabrieken en kantoren in meerdere landen kan zijn trainingsprogramma's voor beveiligingsbewustzijn afstemmen op de culturele en taalkundige nuances van elke regio. Vervolgens zouden ze de doorklikratio's bij phishing, voltooiingspercentages en scores voor kennisbehoud in elk land bijhouden om de effectiviteit van deze gelokaliseerde programma's te beoordelen en dienovereenkomstig aan te passen. Statistieken kunnen tussen regio's worden vergeleken om best practices te identificeren.
5. Effectiviteit van Beveiligingsmaatregelen
Beoordeelt de effectiviteit van geïmplementeerde beveiligingsmaatregelen. Belangrijke statistieken zijn onder andere:
- Naleving van beveiligingsbeleid en -procedures: Gemeten door auditresultaten.
- Aantal storingen van beveiligingsmaatregelen: Het aantal keren dat een beveiligingsmaatregel niet functioneert zoals verwacht.
- Systeembeschikbaarheid: Het percentage van de tijd dat kritieke systemen operationeel zijn.
- Netwerkprestaties: Metingen van netwerklatentie, bandbreedtegebruik en pakketverlies.
Voorbeeld: Een wereldwijd logistiek bedrijf kan een belangrijke prestatie-indicator (KPI) gebruiken van "percentage conforme verzenddocumenten" om de effectiviteit van zijn versleutelings- en toegangscontroles te evalueren. Compliance-audits zouden dan worden gebruikt om te bepalen of deze controles naar behoren functioneren op internationale locaties.
Implementatie van Beveiligingsstatistieken: Een Stapsgewijze Gids
Het succesvol implementeren van beveiligingsstatistieken vereist een gestructureerde aanpak. Hier is een stapsgewijze gids:
1. Definieer Doelstellingen en Doelen
Identificeer uw risicobereidheid: Voordat u statistieken selecteert, definieert u duidelijk de risicobereidheid van uw organisatie. Bent u bereid een hoger risiconiveau te accepteren om de bedrijfsflexibiliteit te vergroten, of geeft u prioriteit aan beveiliging boven alles? Dit zal de keuze van statistieken en acceptabele drempels bepalen. Stel beveiligingsdoelstellingen vast: Wat probeert u te bereiken met uw beveiligingsprogramma? Wilt u het aanvalsoppervlak verkleinen, de incidentresponstijden verbeteren of de gegevensbescherming versterken? Uw doelstellingen moeten aansluiten bij uw algehele bedrijfsdoelen. Voorbeeld: Een financiële dienstverlener streeft ernaar het risico op datalekken binnen het komende jaar met 20% te verminderen. Ze hebben doelstellingen die gericht zijn op het verbeteren van kwetsbaarhedenbeheer, incidentrespons en beveiligingsbewustzijn.
2. Identificeer Relevante Statistieken
Stem statistieken af op doelstellingen: Selecteer statistieken die direct de voortgang meten naar uw beveiligingsdoelstellingen. Als u de incidentrespons wilt verbeteren, kunt u zich richten op MTTD, MTTC en MTTR. Overweeg industriestandaarden: Maak gebruik van raamwerken zoals het NIST Cybersecurity Framework, ISO 27001 en CIS Controls om relevante statistieken en benchmarks te identificeren. Stem statistieken af op uw omgeving: Pas uw selectie van statistieken aan op uw specifieke branche, bedrijfsgrootte en dreigingslandschap. Een kleinere organisatie kan andere prioriteiten stellen voor statistieken dan een grote multinational. Voorbeeld: Een zorgorganisatie kan prioriteit geven aan statistieken met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens, vanwege HIPAA-regelgeving in de Verenigde Staten en vergelijkbare wetten inzake gegevensprivacy in andere landen.
3. Verzamel Gegevens
Automatiseer gegevensverzameling: Gebruik beveiligingstools zoals security information and event management (SIEM)-systemen, kwetsbaarheidsscanners en endpoint detection and response (EDR)-oplossingen om de gegevensverzameling te automatiseren. Automatisering vermindert handmatige inspanning en zorgt voor consistentie van de gegevens. Definieer gegevensbronnen: Identificeer de bronnen van uw gegevens, zoals logboeken, databases en systeemconfiguraties. Zorg voor nauwkeurigheid en integriteit van gegevens: Implementeer maatregelen voor gegevensvalidatie en kwaliteitscontrole om de nauwkeurigheid en betrouwbaarheid van uw statistieken te waarborgen. Overweeg het gebruik van gegevensversleuteling in overeenstemming met de toepasselijke wetgeving om de gegevens tijdens verzending en opslag te beschermen, vooral als u deze uit meerdere rechtsgebieden verzamelt. Voorbeeld: Een wereldwijde winkelketen kan haar SIEM-systeem gebruiken om gegevens te verzamelen van haar point-of-sale (POS)-systemen, netwerkapparaten en beveiligingsapparatuur in al haar winkels, en zo een consistente gegevensverzameling over verschillende locaties en tijdzones garanderen.
4. Analyseer Gegevens
Stel een basislijn vast: Voordat u de gegevens analyseert, stelt u een basislijn vast die u kunt gebruiken om toekomstige veranderingen te meten. Dit stelt u in staat om de trends in uw gegevens te zien en te bepalen of uw acties effectief zijn. Analyseer trends en patronen: Zoek naar trends, patronen en afwijkingen in uw gegevens. Dit helpt u bij het identificeren van sterke en zwakke punten. Vergelijk gegevens over verschillende tijdsperioden: Vergelijk uw gegevens over verschillende tijdsperioden om de voortgang te volgen en gebieden te identificeren die meer aandacht vereisen. Overweeg het maken van een tijdreeksgrafiek om trends te visualiseren. Correleer statistieken: Zoek naar correlaties tussen verschillende statistieken. Een hoge doorklikratio bij phishing kan bijvoorbeeld correleren met een laag voltooiingspercentage van de beveiligingsbewustzijnstraining. Voorbeeld: Een technologiebedrijf dat de kwetsbaarheidsgegevens analyseert die zijn verzameld met een kwetsbaarheidsscanner, kan een correlatie vinden tussen het aantal kritieke kwetsbaarheden en het aantal open poorten op zijn servers. Dit kan vervolgens als input dienen voor patch- en netwerkbeveiligingsstrategieën.
5. Rapporteer en Communiceer
Ontwikkel betekenisvolle rapporten: Creëer duidelijke, beknopte en visueel aantrekkelijke rapporten die uw bevindingen samenvatten. Stem rapporten af op de specifieke behoeften van uw publiek. Gebruik datavisualisatie: Maak gebruik van grafieken, diagrammen en dashboards om complexe informatie effectief te communiceren. Visualisaties kunnen het voor belanghebbenden gemakkelijker maken om de gegevens te begrijpen en te interpreteren. Communiceer met belanghebbenden: Deel uw bevindingen met relevante belanghebbenden, waaronder het management, IT-personeel en beveiligingsteams. Bied bruikbare inzichten en aanbevelingen voor verbetering. Presenteer bevindingen aan besluitvormers: Leg uw bevindingen uit aan besluitvormers op een manier die ze gemakkelijk kunnen begrijpen, waarbij u de bedrijfsimpact, kosten en tijdlijn voor het implementeren van aanbevelingen uitlegt. Voorbeeld: Een telecommunicatiebedrijf dat incidentresponsgegevens analyseert, stelt maandelijkse rapporten op die het aantal incidenten, de tijd tot detectie en respons, en de kosten van die incidenten voor het directieteam beschrijven. Deze informatie helpt het bedrijf bij het opstellen van een effectiever incidentresponsplan.
6. Onderneem Actie
Ontwikkel een actieplan: Ontwikkel op basis van uw analyse een actieplan om geïdentificeerde zwakheden aan te pakken en uw beveiligingshouding te verbeteren. Prioriteer acties op basis van risico en impact. Implementeer herstelmaatregelen: Neem concrete stappen om de geïdentificeerde problemen aan te pakken. Dit kan het patchen van kwetsbaarheden, het bijwerken van beveiligingsmaatregelen of het verbeteren van trainingsprogramma's inhouden. Werk beleid en procedures bij: Herzien en update het beveiligingsbeleid en de procedures om veranderingen in het dreigingslandschap te weerspiegelen en uw beveiligingshouding te verbeteren. Monitor de voortgang: Monitor continu uw beveiligingsstatistieken om de effectiviteit van uw acties te volgen en waar nodig aanpassingen te doen. Voorbeeld: Als een bedrijf ontdekt dat de MTTR te hoog is, kan het een gestroomlijnder patchproces implementeren, extra beveiligingsmiddelen toevoegen om kwetsbaarheden aan te pakken, en beveiligingsautomatisering implementeren om het incidentresponsproces te versnellen.
Wereldwijde Overwegingen en Best Practices
Het implementeren van beveiligingsstatistieken in een wereldwijde organisatie vereist het overwegen van een breed scala aan factoren:
1. Juridische en Regelgevende Naleving
Regelgeving inzake gegevensprivacy: Houd u aan regelgeving inzake gegevensprivacy zoals de AVG in Europa, de CCPA in Californië en vergelijkbare wetten in andere regio's. Dit kan van invloed zijn op hoe u beveiligingsgegevens verzamelt, opslaat en verwerkt. Regionale wetten: Wees u bewust van regionale wetten met betrekking tot dataresidentie, datalokalisatie en cyberbeveiligingsvereisten. Compliance-audits: Wees voorbereid op audits en nalevingscontroles door regelgevende instanties. Een goed gedocumenteerd programma voor beveiligingsstatistieken kan de nalevingsinspanningen stroomlijnen. Voorbeeld: Een organisatie met activiteiten in zowel de EU als de VS moet voldoen aan zowel de AVG- als de CCPA-vereisten, inclusief verzoeken om rechten van betrokkenen, melding van datalekken en gegevensbeveiligingsmaatregelen. Het implementeren van een robuust programma voor beveiligingsstatistieken stelt de organisatie in staat om naleving van deze complexe regelgeving aan te tonen en zich voor te bereiden op audits door toezichthouders.
2. Culturele en Taalverschillen
Communicatie: Communiceer beveiligingsbevindingen en -aanbevelingen op een manier die begrijpelijk en cultureel gepast is voor alle belanghebbenden. Gebruik duidelijke en beknopte taal en vermijd jargon. Training en bewustwording: Pas trainingsprogramma's voor beveiligingsbewustzijn aan de lokale talen, gewoonten en culturele normen aan. Overweeg trainingsmateriaal te lokaliseren om aan te sluiten bij medewerkers in verschillende regio's. Beveiligingsbeleid: Zorg ervoor dat het beveiligingsbeleid toegankelijk en begrijpelijk is voor medewerkers in alle regio's. Vertaal het beleid naar lokale talen en bied culturele context. Voorbeeld: Een multinational kan haar trainingsmateriaal voor beveiligingsbewustzijn vertalen in meerdere talen en de inhoud afstemmen op culturele normen. Ze kunnen praktijkvoorbeelden gebruiken die relevant zijn voor elke regio om medewerkers beter te betrekken en hun begrip van beveiligingsdreigingen te verbeteren.
3. Tijdzone en Geografie
Coördinatie van incidentrespons: Stel duidelijke communicatiekanalen en escalatieprocedures vast voor incidentrespons over verschillende tijdzones. Dit kan worden ondersteund door het gebruik van een wereldwijd beschikbaar platform voor incidentrespons. Beschikbaarheid van middelen: Houd rekening met de beschikbaarheid van beveiligingsmiddelen, zoals incidentresponders, in verschillende regio's. Zorg ervoor dat u voldoende dekking heeft om op elk moment van de dag of nacht, waar ook ter wereld, op incidenten te reageren. Gegevensverzameling: Houd bij het verzamelen en analyseren van gegevens rekening met de tijdzones waar uw gegevens vandaan komen om nauwkeurige en vergelijkbare statistieken te garanderen. Tijdzone-instellingen moeten consistent zijn in al uw systemen. Voorbeeld: Een wereldwijd bedrijf dat verspreid is over meerdere tijdzones kan een "follow-the-sun"-model voor incidentrespons opzetten, waarbij het incidentbeheer wordt overgedragen aan een team in een andere tijdzone om 24/7 ondersteuning te bieden. Een SIEM moet logboeken in een standaard tijdzone, zoals UTC, aggregeren om nauwkeurige rapporten te leveren voor alle beveiligingsincidenten, ongeacht waar ze zijn ontstaan.
4. Risicobeheer van Derden
Beveiligingsbeoordelingen van leveranciers: Beoordeel de beveiligingshouding van uw externe leveranciers, met name degenen met toegang tot gevoelige gegevens. Dit omvat het evalueren van hun beveiligingspraktijken en -maatregelen. Zorg ervoor dat u eventuele lokale wettelijke vereisten opneemt in deze leveranciersbeoordelingen. Contractuele overeenkomsten: Neem beveiligingseisen op in uw contracten met externe leveranciers, inclusief de eis om relevante beveiligingsstatistieken te delen. Monitoring: Monitor de beveiligingsprestaties van uw externe leveranciers en volg eventuele beveiligingsincidenten waarbij zij betrokken zijn. Maak gebruik van statistieken zoals het aantal kwetsbaarheden, MTTR en naleving van beveiligingsstandaarden. Voorbeeld: Een financiële instelling kan van haar cloudserviceprovider eisen dat deze zijn gegevens over beveiligingsincidenten en kwetsbaarheidsstatistieken deelt, zodat de financiële instelling de beveiligingshouding van haar leverancier en de potentiële impact daarvan op het totale risicoprofiel van het bedrijf kan beoordelen. Deze gegevens kunnen worden geaggregeerd met de eigen beveiligingsstatistieken van het bedrijf om het risico van het bedrijf effectiever te beoordelen en te beheren.
Tools en Technologieën voor het Implementeren van Beveiligingsstatistieken
Verschillende tools en technologieën kunnen helpen bij het implementeren van een robuust programma voor beveiligingsstatistieken:
- Security Information and Event Management (SIEM): SIEM-systemen aggregeren beveiligingslogboeken uit verschillende bronnen en bieden gecentraliseerde monitoring, dreigingsdetectie en incidentresponscapaciteiten.
- Kwetsbaarheidsscanners: Tools zoals Nessus, OpenVAS en Rapid7 InsightVM identificeren kwetsbaarheden in systemen en applicaties.
- Endpoint Detection and Response (EDR): EDR-oplossingen bieden inzicht in endpoint-activiteit, detecteren en reageren op dreigingen, en verzamelen waardevolle beveiligingsgegevens.
- Security Orchestration, Automation, and Response (SOAR): SOAR-platforms automatiseren beveiligingstaken, zoals incidentrespons en het jagen op dreigingen.
- Datavisualisatietools: Tools zoals Tableau, Power BI en Grafana helpen bij het visualiseren van beveiligingsstatistieken, waardoor ze gemakkelijker te begrijpen en te communiceren zijn.
- Risicobeheerplatforms: Platforms zoals ServiceNow GRC en LogicGate bieden gecentraliseerde risicobeheermogelijkheden, inclusief de mogelijkheid om beveiligingsstatistieken te definiëren, te volgen en erover te rapporteren.
- Compliance Management Software: Compliance-tools helpen bij het volgen van en rapporteren over nalevingsvereisten en zorgen ervoor dat u de juiste beveiligingshouding handhaaft.
Conclusie
Het implementeren en gebruiken van beveiligingsstatistieken is een essentieel onderdeel van een effectief cyberbeveiligingsprogramma. Door risico's te kwantificeren, kunnen organisaties beveiligingsinvesteringen prioriteren, geïnformeerde beslissingen nemen en hun beveiligingshouding effectief beheren. Het wereldwijde perspectief dat in deze blog wordt uiteengezet, benadrukt de noodzaak van op maat gemaakte strategieën die rekening houden met juridische, culturele en geografische verschillen. Door een datagestuurde aanpak te hanteren, de juiste tools te gebruiken en hun praktijken voortdurend te verfijnen, kunnen organisaties wereldwijd hun cyberbeveiligingsverdediging versterken en de complexiteit van het moderne dreigingslandschap het hoofd bieden. Continue evaluatie en aanpassing zijn cruciaal voor succes op dit steeds veranderende gebied. Dit stelt organisaties in staat om hun programma voor beveiligingsstatistieken te ontwikkelen en hun beveiligingshouding voortdurend te verbeteren.