Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De kloof tussen toegang en vertrouwen overbruggen in moderne beveiliging
De kloof tussen toegang en vertrouwen overbruggen in moderne beveiliging

De kloof tussen toegang en vertrouwen overbruggen in moderne beveiliging

by Tim Freestone updated november 5, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

De moderne werkplek opereert met een snelheid waarvoor traditionele beveiligingsinfrastructuren nooit zijn ontworpen. Werknemers schakelen tussen tientallen cloudapplicaties, voeren bedrijfsdata in AI-tools in en benaderen bedrijfssystemen vanaf persoonlijke apparaten—vaak voordat beveiligingsteams überhaupt weten dat deze tools bestaan. Deze kloof heeft geleid tot wat onderzoekers nu de “access-trust gap” noemen: de groeiende afstand tussen wat organisaties denken te controleren en hoe het werk daadwerkelijk wordt uitgevoerd.

Twee recente onderzoeken schetsen een ontnuchterend beeld van deze uitdaging. Onderzoek van 1Password laat zien dat traditionele beveiligingstools zoals single sign-on, mobile device management en identity access management niet langer aansluiten bij de manier waarop werknemers en AI-agenten data benaderen. Tegelijkertijd toont een Anaconda-enquête onder meer dan 300 AI-professionals aan dat zelfs organisaties met formele AI-gegevensbeheerframeworks worstelen met beveiligingszorgen, inconsistente monitoring en gefragmenteerde toolchains. Samen onthullen deze bevindingen een dubbele crisis: bedrijven worden geconfronteerd met zowel snelle AI-adoptie die toezicht overstijgt als fundamentele toegangscontroleproblemen die van elke nieuwe tool een potentiële kwetsbaarheid maken.

Belangrijkste inzichten

  1. Shadow AI is wijdverspreid en grotendeels ongemonitord. 73% van de werknemers gebruikt nu AI-tools op het werk, maar 27% heeft ongeautoriseerde applicaties gebruikt waarvan hun bedrijven niet op de hoogte zijn. Deze browsergebaseerde, gratis tools creëren zichtbaarheidsgaten wanneer medewerkers gevoelige data invoeren in niet-gecontroleerde systemen.
  2. Traditionele toegangscontroles kunnen SaaS-adoptie niet bijbenen. Slechts twee derde van de bedrijfsapplicaties bevindt zich achter single sign-on, waardoor een groot deel van het softwarelandschap onbeheerd blijft. Meer dan de helft van de werknemers geeft toe werktools te downloaden zonder goedkeuring van IT omdat goedgekeurde opties te traag zijn of niet de benodigde functies bieden.
  3. Aanvallen door diefstal van inloggegevens blijven een belangrijke oorzaak van datalekken. Twee derde van de werknemers vertoont risicovol wachtwoordgedrag, zoals het hergebruiken van inloggegevens of het delen ervan via e-mail, en gestolen inloggegevens zijn de op één na meest voorkomende oorzaak van materiële datalekken. 89% van de beveiligingsleiders stimuleert nu het gebruik van passkeys om de afhankelijkheid van traditionele wachtwoorden te verminderen.
  4. AI Model Governance lijdt onder gefragmenteerde toolchains. Slechts 26% van de organisaties beschikt over sterk geïntegreerde AI-ontwikkelomgevingen, terwijl 30% geen formele monitoring heeft om modeldrift in productie te detecteren. Beveiligingszorgen vertragen AI-inzet bij bijna twee derde van de organisaties, waarbij teams veel tijd besteden aan het oplossen van afhankelijkheids- en kwetsbaarheidsproblemen.
  5. Voormalige werknemers hebben nog steeds toegang tot bedrijfssystemen. 38% van de werknemers meldt na vertrek nog toegang te hebben tot accounts of data van een voormalig werkgever, wat serieuze offboarding-gaten blootlegt. Inconsistente processen voor toegangsintrekking en gefragmenteerde identity management-systemen zorgen ervoor dat deze beveiligingslekken blijven bestaan bij honderden cloudapplicaties.

De access-trust gap begrijpen

De access-trust gap beschrijft een fundamentele misafstemming in moderne bedrijfsbeveiliging. Organisaties hebben hun verdediging opgebouwd rond tools die zijn ontworpen voor een ander tijdperk—een tijd waarin werknemers werkten op bedrijfseigen apparaten, toegang hadden tot een beperkt aantal goedgekeurde applicaties en verbonden waren via beheerde netwerken. Die wereld bestaat niet meer.

De huidige werkomgeving is flexibel en verspreid. Werknemers schakelen tussen zakelijke laptops en persoonlijke telefoons. Ze adopteren clouddiensten die nooit het door IT beheerde netwerk raken. Ze werken samen via platforms waarvan beveiligingsteams soms niet eens weten dat ze bestaan. Traditionele controles zoals SSO gaan ervan uit dat alle belangrijke applicaties worden gecatalogiseerd en geïntegreerd, maar deze aanname vervalt wanneer werknemers nieuwe tools kunnen aanschaffen met een creditcard en een e-mailadres.

Het 1Password-onderzoek identificeert vier kritieke gebieden waar deze kloof groter wordt: AI governance, SaaS en shadow IT, inloggegevens en endpointbeveiliging. Elk gebied toont hetzelfde patroon—snelle adoptie van nieuwe tools en werkwijzen, gevolgd door beperkte of achterblijvende controle. De gevolgen variëren van kleine inefficiënties tot materiële beveiligingsincidenten, en het probleem versnelt doordat AI een extra laag complexiteit toevoegt aan een al overbelast beveiligingsmodel.

AI Governance-uitdaging: twee kanten van dezelfde medaille

AI is sneller dan bijna elke andere technologie in het dagelijkse werk geïntegreerd. Volgens het 1Password-onderzoek gebruikt 73 procent van de werknemers nu AI voor ten minste een deel van hun werk. Toch geeft meer dan een derde toe zich niet altijd aan de bedrijfsregels rond AI-gebruik te houden—en sommigen weten niet eens wat die regels zijn. Deze kloof tussen adoptie en governance creëert direct risico.

Het probleem gaat verder dan simpelweg regels overtreden. Ongeveer 27 procent van de werknemers heeft AI-tools gebruikt die nooit door hun bedrijf zijn goedgekeurd. Deze shadow AI-tools zijn doorgaans browsergebaseerd en gratis, waardoor ze eenvoudig te adopteren zijn maar vrijwel onmogelijk voor IT-teams om te detecteren. Wanneer medewerkers gevoelige data invoeren in niet-gecontroleerde systemen—of dat nu is om content te genereren, informatie te analyseren of taken te automatiseren—creëren ze potentiële blootstellingspunten die alle beveiligingsmaatregelen van de organisatie omzeilen.

Het probleem wordt versterkt door gebrekkige communicatie. Terwijl weinig beveiligingsteams denken dat hun bedrijf geen AI-beleid heeft, meldt een veel groter deel van de werknemers dat ze er nooit een hebben gezien. Dit suggereert dat het beleid wel op papier bestaat, maar niet terechtkomt bij de mensen die het moeten naleven, waardoor er een gevaarlijke kloof ontstaat tussen intentie en praktijk.

De technische kant van AI governance kent even serieuze uitdagingen. Uit de Anaconda-enquête blijkt dat beveiliging het meest voorkomende AI-ontwikkelrisico blijft, genoemd door 39 procent van de respondenten. Bijna twee derde van de organisaties heeft vertragingen in AI-inzet ervaren door beveiligingszorgen. Veel teams melden dat de tijd die ze kwijt zijn aan het oplossen van afhankelijkheidsproblemen—vooral in open-source Python-pakketten—direct ten koste gaat van de productiviteit.

Ondanks processen om pakketten te valideren op beveiliging en compliance, kunnen huidige methoden het tempo en de complexiteit van AI-projecten niet bijhouden. Organisaties gebruiken een mix van geautomatiseerde kwetsbaarheidsscans, interne pakketregisters en handmatige controles, maar de frequentie van beveiligingsincidenten suggereert dat deze methoden niet toereikend zijn. Het probleem is geen gebrek aan bewustzijn of inzet; het is dat het aanvalsoppervlak sneller is gegroeid dan de tools die het moeten beschermen.

Ook het monitoringsbeeld is ongelijkmatig. Terwijl 83 procent van de organisaties de oorsprong van foundation models documenteert en 81 procent de afhankelijkheden van modellen bijhoudt, is niet alle documentatie volledig. Bijna één op de vijf respondenten heeft helemaal geen formele documentatie. Prestatiemonitoring vertoont een vergelijkbare kloof—70 procent heeft mechanismen om modeldrift of onverwacht gedrag te detecteren, maar 30 procent heeft geen formele monitoring in productieomgevingen.

Deze blinde vlekken zijn van belang. Zonder consistente monitoring kunnen organisaties niet detecteren wanneer modellen verslechteren, zich onverwacht gedragen of gevoelige informatie blootstellen. Naarmate AI dieper in productiesystemen wordt geïntegreerd—waar het beslissingen neemt over klantenservice, financiële transacties of operationele processen—wordt het onvermogen om modelgedrag te volgen een kritiek governance-falen.

Het fragmentatieprobleem strekt zich ook uit tot toolchains. Slechts 26 procent van de organisaties meldt een sterk geïntegreerde AI-ontwikkeltoolchain te hebben. De meerderheid werkt met deels geïntegreerde of gefragmenteerde omgevingen, waarbij sommigen hun omgeving als zeer gefragmenteerd omschrijven. Deze fragmentatie creëert zichtbaarheidsgaten, dubbel werk en inconsistente beveiligingscontroles tussen verschillende teams en projecten.

Culturele factoren maken het nog lastiger. Een kwart van de respondenten noemt weerstand van datascienceteams tegen beveiligingsmaatregelen als een belangrijke uitdaging. Wanneer governanceprocessen over diverse systemen worden gelegd, worden ze traag en omslachtig, wat teams aanzet om ze te omzeilen. Het resultaat is meer shadow IT, meer ongeautoriseerde tools en een grotere kloof tussen beleid en praktijk.

SaaS-verspreiding en de realiteit van Shadow IT

De explosie van cloudapplicaties heeft de manier waarop bedrijven werken fundamenteel veranderd. Organisaties zijn nu afhankelijk van honderden cloudapps, maar de meeste vallen buiten het zicht en de controle van IT. Uit het 1Password-onderzoek blijkt dat meer dan de helft van de werknemers toegeeft werktools te hebben gedownload zonder toestemming, meestal omdat goedgekeurde opties trager zijn of niet de benodigde functies bieden.

Dit gedrag leidt tot wat beveiligingsprofessionals SaaS-verspreiding noemen—de ongecontroleerde proliferatie van software-as-a-service-applicaties binnen een organisatie. De cijfers zijn zorgwekkend. Zeventig procent van de beveiligingsprofessionals zegt dat SSO-tools geen volledige oplossing zijn voor het beveiligen van identiteiten. Gemiddeld bevindt slechts ongeveer twee derde van de bedrijfsapps zich achter SSO, waardoor een aanzienlijk deel van het applicatielandschap onbeheerd en vaak onbekend blijft.

De redenen voor dit omzeilingsgedrag zijn duidelijk. Werknemers ervaren echte workflowproblemen en hebben tools nodig om deze op te lossen. Wanneer het goedkeuringsproces weken duurt en het ongeautoriseerde alternatief minuten, kiezen velen voor gemak boven compliance. Als de door het bedrijf goedgekeurde tool trager, minder intuïtief of niet compleet is, zoeken medewerkers alternatieven. Dit is geen kwaadwillig gedrag—het zijn mensen die hun werk efficiënt willen doen.

De offboarding-kloof laat zien hoe diep dit probleem zit. Achtendertig procent van de werknemers zegt na vertrek nog toegang te hebben tot een account of data van een voormalig werkgever. Dit cijfer zou elke beveiligingsleider moeten alarmeren. Het wijst op inconsistente processen voor toegangsintrekking, dat veel accounts en tools buiten de offboarding-workflow vallen, en dat de organisatie geen volledig overzicht heeft van waar ex-werknemers mogelijk nog toegang hebben.

Gefragmenteerde toegangssystemen maken deze fouten eerder regel dan uitzondering. Wanneer bedrijven tientallen of honderden cloudservices gebruiken, elk met hun eigen toegangsbeheer, wordt volledige offboarding extreem lastig. Eén gemiste applicatie kan een deur maanden of jaren open laten staan na het vertrek van een werknemer.

Inloggegevens: de hardnekkige zwakke schakel

Ondanks jaren van bewustwordingstrainingen en steeds geavanceerdere authenticatietechnologieën blijft wachtwoordbeveiliging een fundamenteel probleem. Uit het 1Password-onderzoek blijkt dat twee derde van de werknemers onveilige praktijken hanteert, zoals het hergebruiken van wachtwoorden op meerdere sites, het delen van inloggegevens met collega’s, het vertrouwen op standaardwachtwoorden of het versturen van inloggegevens via e-mail of chatapps.

Dit gedrag is niet beperkt tot minder technische medewerkers. Ook beveiligingsprofessionals vertonen deze risicovolle gewoonten, wat suggereert dat het probleem minder over bewustzijn gaat en meer over de frictie die inherent is aan veilig credential management. Wanneer mensen tientallen of honderden accounts hebben, elk met een uniek, complex wachtwoord, nemen velen hun toevlucht tot shortcuts die de beveiliging ondermijnen.

De gevolgen zijn meetbaar en ernstig. Bijna de helft van de ondervraagden noemt het gebruik van zwakke of gecompromitteerde wachtwoorden door medewerkers als hun grootste beveiligingsuitdaging. Bij organisaties die de afgelopen drie jaar een materieel datalek hebben meegemaakt, waren gestolen inloggegevens de op één na meest voorkomende oorzaak, direct na softwarekwetsbaarheden.

Het patroon is duidelijk: inloggegevens blijven een aantrekkelijk en effectief aanvalspunt omdat ze zowel waardevol als relatief eenvoudig te compromitteren zijn. Phishing-aanvallen, credential stuffing en social engineering richten zich allemaal op de zwakste schakel in de meeste beveiligingsketens—de gebruikersnaam en het wachtwoord.

Organisaties reageren door over te stappen op passkeys en andere wachtwoordloze authenticatiemethoden. Negenentachtig procent van de beveiligingsleiders zegt dat hun bedrijven het gebruik van passkeys stimuleren of van plan zijn dat te doen. Passkeys vervangen traditionele wachtwoorden door biometrische of apparaatgebaseerde authenticatie die phishing weerstaat, gebruikersfrictie vermindert en voldoet aan compliance-standaarden.

“Ik ben niet verbaasd over het enthousiasme voor passkeys, omdat de bedrijven die passkeys promoten het zo makkelijk maken om over te stappen—één klik en het is geregeld,” zegt Brian Morris, CISO bij Gray Media, waarmee hij de praktische aantrekkingskracht van nieuwe authenticatiebenaderingen onderstreept.

Toch zal de overgang niet van de ene op de andere dag plaatsvinden. Wachtwoorden zullen nog jaren naast nieuwe authenticatiesystemen blijven bestaan terwijl organisaties legacy-systemen, integraties van derden en geleidelijke gebruikersmigratie beheren. Het realistische doel is niet om wachtwoorden op korte termijn volledig uit te bannen, maar om te verminderen hoe vaak gebruikers ruwe inloggegevens moeten hanteren en om extra beveiliging toe te voegen rond de gegevens die blijven bestaan.

Device management in het hybride werk-tijdperk

De verschuiving naar hybride en remote werken heeft device management aanzienlijk complexer gemaakt. Bijna driekwart van de werknemers gebruikt persoonlijke apparaten minstens af en toe voor het werk, en meer dan de helft doet dit wekelijks. Dit betekent een fundamentele verandering in hoe mensen verbinding maken met bedrijfsresources, maar de beveiligingstools die dat beheerden, zijn niet meegegroeid.

Mobile device management blijft het standaardcontrolemechanisme voor bedrijfshardware, maar beveiligingsleiders erkennen steeds vaker de beperkingen ervan. MDM-tools zijn ontwikkeld voor een omgeving waarin bedrijven de apparaten bezitten, het besturingssysteem beheren en uitgebreide beleidsregels kunnen afdwingen. Ze zijn niet ontworpen voor situaties waarin werknemers soepel schakelen tussen persoonlijke en zakelijke apparaten en clouddiensten gebruiken die buiten het traditionele netwerk vallen.

De beperkingen blijken in de praktijk. Beveiligingsleiders melden dat MDM onvoldoende bescherming biedt voor beheerde apparaten of compliance waarborgt, vooral in hybride omgevingen. Persoonlijke apparaten missen de bescherming van zakelijke machines—geen enterprise endpoint protection, geen centraal beheerde encryptie, geen gegarandeerd patchbeheer. Toch gebruiken werknemers deze apparaten om e-mail te openen, documenten te bewerken, videocalls te houden en zakelijke applicaties te gebruiken.

Zelfs wanneer bedrijven bring-your-own-device-praktijken verbieden, is de handhaving op zijn best wisselend. Werknemers benaderen nog steeds bedrijfsdata vanaf hun telefoon tijdens het reizen of vanaf persoonlijke laptops thuis. De keuze is vaak: toegang volledig blokkeren—wat productiviteitsverlies en frustratie oplevert—of toegang toestaan en het risico accepteren.

Praktische oplossingen en aanbevelingen

De access-trust gap en AI governance-uitdagingen vereisen dat organisaties hun beveiligingsaanpak heroverwegen. Algemene verboden en rigide controles werken niet meer wanneer werknemers direct nieuwe tools kunnen adopteren en vanaf elk apparaat of locatie kunnen werken. De weg vooruit vraagt om zichtbaarheid, begeleiding en geïntegreerde controles in plaats van barrières en restricties.

  • AI Governance

    • Ga van blokkeren van AI naar het monitoren en begeleiden van het gebruik ervan.
    • Implementeer continue ontdekkingsmechanismen om zowel goedgekeurde als ongeautoriseerde tools te identificeren.
    • Communiceer AI-beleid duidelijk naar alle medewerkers.
    • Integreer governance direct in ontwikkelworkflows om weerstand te verminderen en innovatie te koppelen aan toezicht.
    • Investeer in betere zichtbaarheid van modelcomponenten, uitgebreide training en geautomatiseerde monitoring op drift en afwijkingen.

  • SaaS-verspreiding en Shadow IT

    • Automatiseer governance om toegang over tijd bij te houden voor alle tools, niet alleen die via SSO zijn verbonden.
    • Gebruik netwerksegmentatie, endpoint visibility tools en regelmatige discovery-processen om shadow IT zichtbaar te maken.
    • Focus op volledige offboarding: maak checklists, automatiseer toegangsintrekking en voer periodieke toegangsreviews uit.

  • Credential Security

    • Implementeer passkeys en wachtwoordloze authenticatie eerst voor risicovolle applicaties en breid daarna geleidelijk uit.
    • Maak wachtwoordmanagers verplicht en vergroot het SSO-bereik.
    • Verminder hoe vaak gebruikers ruwe inloggegevens moeten hanteren.

  • Device- en endpointbeveiliging

    • Accepteer de hybride realiteit en ontwerp controles die daarbij passen.
    • Implementeer zero trust-architectuur die elk toegangsverzoek verifieert.
    • Voorzie medewerkers die gevoelige data benaderen van bedrijfseigen apparaten, of gebruik voorwaardelijke toegangsregels op basis van apparaatstatus en gebruikersgedrag.

Bij al deze inspanningen is balans belangrijk. Beveiligingsmaatregelen die het werknemers aanzienlijk moeilijker maken hun werk te doen, zullen worden omzeild. De meest effectieve beveiligingsmaatregelen sluiten aan bij hoe mensen werken en bieden bescherming zonder onnodige frictie te veroorzaken.

Beveiliging moet het werktempo bijhouden

De access-trust gap en AI governance-uitdagingen zijn geen tijdelijke problemen die zichzelf oplossen naarmate technologieën volwassen worden. Ze weerspiegelen een fundamentele verschuiving in hoe werk plaatsvindt—een verschuiving naar verspreide, flexibele, door AI ondersteunde workflows die traditionele beveiligingstools nooit konden beheren.

Organisaties die deze gaten dichten, behalen een competitief voordeel door zowel betere beveiliging als snellere innovatie. Wie ze negeert, loopt steeds meer risico naarmate de afstand tussen beleid en praktijk verder toeneemt. De oplossing vraagt om adaptieve, op zichtbaarheid gerichte benaderingen die toezicht bieden zonder vooruitgang te blokkeren.

Beveiligingsteams moeten evolueren van poortwachters naar mogelijkmakers, van controlegericht naar zichtbaarheidgericht, en van reactief naar proactief. De werkplek is blijvend veranderd, en beveiligingspraktijken moeten daarin mee veranderen.

Veelgestelde vragen

De access-trust gap beschrijft de groeiende afstand tussen wat organisaties denken te controleren en hoe medewerkers bedrijfsdata benaderen. Traditionele beveiligingstools zoals SSO, MDM en IAM zijn ontworpen voor omgevingen waarin werknemers bedrijfseigen apparaten en goedgekeurde applicaties gebruikten, maar hedendaagse medewerkers adopteren clouddiensten, AI-tools en persoonlijke apparaten sneller dan beveiligingsteams ze kunnen volgen of beheren.

27% van de werknemers heeft AI-tools gebruikt die niet door hun bedrijf zijn goedgekeurd, volgens recent onderzoek van 1Password. Terwijl 73% van de medewerkers AI gebruikt voor ten minste een deel van hun werk, geeft meer dan een derde toe zich niet altijd aan de bedrijfsregels te houden, en velen weten niet eens wat die regels zijn. Deze ongeautoriseerde tools zijn doorgaans browsergebaseerd en gratis, waardoor ze eenvoudig te adopteren zijn maar vrijwel onzichtbaar blijven voor IT-afdelingen.

Meer dan de helft van de werknemers downloadt werktools zonder toestemming van IT omdat goedgekeurde opties trager zijn, weken duren om te verkrijgen of niet de functies bieden die ze nodig hebben om efficiënt te werken. Dit gedrag leidt tot SaaS-verspreiding, waarbij organisaties nu honderden cloudapplicaties beheren—de meeste buiten het zicht van IT. Gemiddeld bevindt slechts twee derde van de bedrijfsapps zich achter SSO, waardoor een aanzienlijk deel van het applicatielandschap onbeheerd blijft.

Beveiligingszorgen staan bovenaan, met 39% van de AI-professionals die dit als hun grootste risico noemen en bijna twee derde van de organisaties die vertragingen in de inzet ervaren door beveiligingsproblemen. Andere uitdagingen zijn gefragmenteerde toolchains (slechts 26% heeft sterk geïntegreerde omgevingen), inconsistente modelmonitoring (30% mist formele monitoring in productie) en culturele weerstand van datascienceteams die beveiligingsmaatregelen als obstakels zien in plaats van als ondersteuning.

MDM-tools tonen aanzienlijke beperkingen in hybride werksettings, volgens ondervraagde beveiligingsleiders. Bijna 75% van de werknemers gebruikt persoonlijke apparaten minstens af en toe voor het werk, maar MDM is ontworpen voor bedrijfseigen hardware, niet voor omgevingen waarin mensen schakelen tussen persoonlijke en zakelijke apparaten. Persoonlijke apparaten missen enterprise endpoint protection, centraal beheerde encryptie en gegarandeerd patchbeheer, maar worden wel gebruikt voor toegang tot e-mail, documenten en zakelijke applicaties.

38% van de werknemers meldt na vertrek nog toegang te hebben tot accounts of data van een voormalig werkgever, wat wijst op wijdverspreide offboarding-fouten. Dit gebeurt omdat processen voor toegangsintrekking inconsistent zijn, veel cloudapplicaties buiten standaard offboarding-workflows vallen en organisaties geen volledig overzicht hebben van waar ex-werknemers mogelijk nog toegang hebben. Wanneer bedrijven honderden cloudservices gebruiken met aparte toegangsbeheersystemen, wordt volledige offboarding extreem lastig.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks