Basismonitoring staat er meestal gewoon. Met NIS2 en ISO 27001 in je nek gaat dat ook niet anders, ook niet bij organisaties waar security niet in het DNA zit. De SIEM loopt, access reviews worden gedaan, audit-logs staan opgeslagen. Die kant is over het algemeen op orde.
Waar het wel ietsje dunner wordt: het herkennen van afwijkend gedrag buiten de kroonjuwelen. Bij kleinere applicaties, bij de long-tail aan tweederangs systemen die samen wel het grootste deel van het landschap uitmaken. Daar zat tot voor kort een economische knoop. Een extra bron in je SIEM aansluiten, UEBA uitrollen op een applicatie waar het budget nooit voor bedoeld was, of een extra detectievraag beleggen bij het SOC, dat kost serieus geld. Voor systemen die je zelf niet tot je kritieke omgeving rekent kom je met dat rekensommetje nooit uit.
Die knoop gaat los. Daar ging mijn weekend over.
Wat je in een weekend bouwt met Claude Code
Met Claude Code zette ik een setje agents op die mijn eigen websites en -applicaties in de gaten houden. Zonder dedicated tooling en zonder team erachter. Gewoon om te zien hoe ver je komt met agents die ik zelf schrijf en aanpas. Een terminal, een zaterdag, een paar goed doordachte prompts.
De agents lezen toegangslogs en halen er de rare dingen uit. Loginpogingen vanuit landen waar ik geen bezoekers vandaan heb. Requests die er precies uitzien als die van bekende scanners. Plotseling tweehonderd pogingen op /wp-admin binnen een minuut. In feite doen ze wat een UEBA of een goed geschreven SIEM-correlatie doet, alleen dan uitgelegd in gewone taal in plaats van in een regelset.
Ze letten ook op configuratiewijzigingen. File permissions die stilletjes schuiven, een plugin die zichzelf bijwerkt, een admin die ineens bestaat zonder dat ik dat heb gedaan. Dat is wat CSPM-tools en change monitoring binnen PAM voor hun rekening nemen, alleen op een andere schaal.
En ‘s ochtends ligt er een briefing klaar. Geen vierhonderd regels log, maar de paar dingen die het bekijken waard waren. Dat is wat een SOC-analist in het eerste halfuur van zijn shift voor zichzelf zou samenstellen.
Het draait zonder licentie, zonder integratietraject en zonder specialistisch team. Niet op de schaal waar mijn klanten mee werken. Maar je ziet wel aan welke kant de bodem aan het verschuiven is.
Booking en Basic-Fit: access governance zonder vangnet
Vorige week schreef ik over de incidenten bij Booking en Basic-Fit. Geen hack in de klassieke zin. Geldige credentials, meer rechten dan nodig, en toegang tot systemen waar dat nooit voor bedoeld was. Access governance die niet sloot.
Aan de voorkant doen we daar in IAM-trajecten alles aan. Least privilege, segregation of duties, joiner-mover-leaver, access reviews. In de meerjarige programma’s waar ik aan werk, rond PAM, IGA en Access Management, blijft er zelfs in een goed uitgevoerde aanpak altijd wat drift tussen beleid en werkelijkheid. Dat is geen falen. Dat hoort erbij als je werkt met duizenden medewerkers en honderden applicaties verspreid over meerdere landen.
Die drift moet je kúnnen zien. Detectie is geen extra, het is het vangnet onder je access governance. Tot voor kort was dat vangnet te duur om overal op te spannen. Alleen de kroonjuwelen kregen het. De rest niet.
Wat nu verandert: de kostprijs voor een afgebakende detectievraag zakt met een orde van grootte. Daarmee komen toepassingen in beeld die eerder nooit het financiële plaatje rond kregen.
Drie observaties voor je IAM-roadmap
De economie van monitoring verschuift. Detectievragen die eerder niet uit konden, komen in beeld. Niet alle. Niet meteen. Maar genoeg om het gesprek over dekking opnieuw te voeren. Welke systemen in de lange, rommelige staart van je landschap zouden baat hebben bij detectie, nu de rekening niet meer in de tonnen loopt?
De menselijke rol verschuift, maar verdwijnt niet. AI-agents zijn sterk in patroonherkenning en het wegwerken van ruis. In het maken van een oordeel zijn ze zwak. Of iets een gebruiker is die raar doet, of juist iemand die stiekem met geldige credentials binnenloopt: dat blijft een mensvraag. De winst zit ergens anders. Die mens krijgt straks drie vragen voorgelegd die echt interessant zijn, in plaats van vierhonderd die het niet zijn.
Dit is er nu, niet over drie jaar. Wie op dit moment een IAM- of monitoringtraject uitlijnt zonder deze verschuiving mee te wegen, bouwt aan een roadmap die binnen een jaar gedateerd oogt. Niet omdat de tooling dan veranderd is, maar omdat het bestuur dan andere vragen gaat stellen.
Programma management blijft bepalend
Als programma manager weet ik dat tools zelden de reden zijn waarom een IAM-traject spaak loopt. Waar het wél aan hapert: afspraken over governance, stakeholders die elkaar niet begrijpen, security en HR die langs elkaar heen werken, adoptie die over meerdere landen en talen heen moet landen. Een AI-agent verandert daar niets aan. Een roadmap die inhoudelijk niet klopt wordt met AI-agents niet beter, alleen sneller uitgevoerd.
Waar ik wel van overtuigd ben: wie de komende periode een IAM- of access governance-traject herijkt zonder AI als mogelijkheid op tafel te leggen, laat iets liggen. Niet omdat het technisch spannend is. Omdat de rekensommen eronder veranderen.
------
Dat gesprek voer ik graag met CTO’s en CIO’s die nu bezig zijn met een IAM-roadmap, audit-herstel of een monitoring-traject. Waar sta je in de cyclus, en wat betekent deze verschuiving voor de volgende fase? Neem contact op als dit onderwerp rinkelt.
