Kernbegrippen

Hoe Tidal werkt

Tidal is gebouwd rondom een vijflaags outside-in model: je begint met externe vereisten (wetten, frameworks) en vertaalt deze naar binnen toe naar de operationele beveiligings- en compliance-maatregelen die jouw organisatie daadwerkelijk implementeert. Deze pagina legt elke laag uit en toont hoe de entiteiten samenhangen.

De outside-in benadering

Hoe Tidal werkt — vijf lagen van externe frameworks tot operationele plannen

De architectuur volgt een top-down stroom: compliance-vereisten van buiten drijven de controls die jouw organisatie selecteert, die vervolgens worden toegepast op jouw specifieke assets en risico's, gemonitord via taken en tests, en actueel gehouden door plannen op een terugkerende planning.

Entiteitsrelaties

Het onderstaande diagram toont hoe de kern-entiteiten in Tidal Control zich tot elkaar verhouden.

Entiteitsrelatiediagram — hoe Framework, Control, Asset, Risico, Taak, Test en Plan samenhangen

Hoe het diagram lezen:

  • Doorgetrokken pijlen tonen directe relaties (bijv. een Plan genereert Taken; een Control is van toepassing op Assets).
  • Gestippelde pijlen tonen optionele of orchestratie-relaties (bijv. een Taak vervult een Control; een Risico wordt gemitigeerd door Controls).

De vijf lagen uitgelegd

Laag 1 — Frameworks & Vereisten

Frameworks zijn de externe compliance-vereisten waaraan jouw organisatie moet voldoen: ISO 27001, GDPR, NIS2, SOC 2, en meer dan 30 andere. Elk framework is hiërarchisch opgebouwd:

  1. Framework (bijv. ISO 27001)
  2. Hoofdstuk / Domein (bijv. A.5 Organisatorische controls)
  3. Vereiste (bijv. A.5.1 Beleid voor informatiebeveiliging)

Tidal mapt alle vereisten van alle ondersteunde frameworks naar een gedeelde control-bibliotheek, zodat het activeren van een nieuw framework grotendeels neerkomt op zien welke van jouw bestaande controls dit al afdekken.

Laag 2 — Controls

Controls zijn de concrete operationele beveiligings- en compliance-maatregelen die jouw organisatie implementeert om te voldoen aan framework-vereisten. Tidal biedt voorgebouwde control-bibliotheken voor meerdere domeinen — beveiliging & compliance, kwaliteit, AI governance, milieu en meer — elk gemapt aan de relevante frameworks.

Twee soorten:

  • Beleidsecontrols — documentatie en beleid (bijv. Informatiebeveiligingsbeleid, Acceptabel gebruiksbeleid)
  • Operationele / technische controls — processen en technische maatregelen (bijv. beheer van toegangsrechten, MFA, patchbeheer)

Omdat één control tegelijkertijd vereisten van meerdere frameworks kan afdekken, implementeer je eenmalig en voldoe je aan meerdere standaarden.

Laag 3 — Assets & Risico's

Assets zijn de systemen, diensten en organisatorische eenheden die je wilt beschermen: cloudplatforms, SaaS-applicaties, databases, fysieke locaties, personeelsgroepen, projecten, afdelingen, business units of bedrijfsprocessen. Elke control is gekoppeld aan de assets waarop hij van toepassing is, waardoor compliance een concrete, organisatiespecifieke context krijgt.

Risico's zijn geïdentificeerde dreigingen gekoppeld aan assets. Tidal biedt een standaard risicohouding op basis van IRAM V2. Controls zijn gemapt aan de risico's die ze mitigeren, zodat je vanuit elk risico kunt traceren welke controls de kans of impact ervan verminderen.

Laag 4 — Taken & Tests

Deze laag levert bewijs dat controls daadwerkelijk geïmplementeerd zijn en werken.

  • Taken zijn handmatige werkzaamheden: een beleid schrijven, een training geven, een interne audit uitvoeren. Ze hebben een eigenaar, een deadline en kunnen geüploade evidence bevatten.
  • Tests zijn geautomatiseerde controles: Tidal (of een integratie) verifieert een configuratie en registreert een geslaagd/gefaald resultaat. Voorbeelden zijn controleren of MFA ingeschakeld is voor alle gebruikers in Microsoft 365, of alle S3-buckets in AWS privé zijn.

Samen geven taken en tests auditors een doorlopend, traceerbaar overzicht van compliance-activiteiten gedurende het jaar — niet alleen tijdens audits.

Laag 5 — Plannen (PDCA)

Plannen zijn terugkerende schema's die orchestreren wanneer taken worden gegenereerd en tests draaien, en implementeren de Plan-Do-Check-Act-cyclus:

  • Plan per control — er wordt één taak aangemaakt die alle assets dekt die aan die control zijn gekoppeld.
  • Plan per asset — er wordt per asset een aparte taak aangemaakt (nuttig voor asset-specifieke reviews zoals kwartaallijkse toegangsrechtcontroles).

Plannen genereren automatisch taken op de geconfigureerde frequentie — jaarlijks, kwartaallijks, maandelijks — om bewijs te verzamelen voor specifieke control- en asset-combinaties. Dit zorgt ervoor dat bewijs het hele jaar door wordt verzameld, niet alleen vlak voor een audit.

End-to-end voorbeeld

Een risico-gebaseerde doorsnede van de architectuur voor "ongeautoriseerde toegang tot klantdata":

LaagEntiteitVoorbeeld
FrameworksISO 27001 A.9.2Beheer van gebruikerstoegang
ControlsB03Beheer van toegangsrechten
AssetsAWS RDSKlantendatabase
Risico'sRisico-047Ongeautoriseerde toegang tot gevoelige data
TakenTaakKwartaallijkse toegangsrechtcontrole
TestsAWS-testZijn alle IAM-gebruikers nog actief?
PlannenKwartaalplanGenereert reviewtaak elke 3 maanden

Wanneer de test rood wordt (een verlopen IAM-gebruiker wordt gedetecteerd), verschijnt dit direct in de control-, framework- en dashboardweergaven — waardoor jouw team een duidelijk actiepunt heeft om op te lossen.

Volgende stappen

Volgende
Aan de slag met Frameworks