OpenSight: mensen, processen en technologie, in die volgorde

Marcel Krommenhoek werkt al vele jaren als consultant in de IT. Over sommige dingen die hij ziet, verbaast hij zich, bijvoorbeeld als het om security gaat. “Op veel plekken wordt cybersecurity nog gezien als een lastige kostenpost, terwijl het een strategisch onderdeel van je bedrijf hoort te zijn, met als belangrijkste doel om de kroonjuwelen goed te beschermen. De meeste organisaties zijn goed verzekerd voor brand, terwijl de kans dat je gehackt wordt vele malen groter is.”

Vijf jaar geleden begon hij securitydienstverlener OpenSight. Hij had een duidelijk doel. “Ik vind dat cybersecurity niet kan worden opgelost met alleen technologie. Het is net zo goed een menselijke activiteit. Bij OpenSight richten we ons daarom op de combinatie van people, processes en technology. In die volgorde.”

“Eerst moet je ervoor zorgen dat iedereen zich bewust is van cyberveiligheidsrisico’s”, vervolgt hij. “Daarna moet je de processen goed inrichten. Zo krijg je als management de controle weer terug, voor de lange termijn. Ondersteunend daaraan leveren we passende technologie waarmee je snel kunt reageren of na een aanval sneller kunt herstellen. Daaromheen bieden we nog een technologie-laag die dat hele raamwerk administreert, op een geautomatiseerde manier.”

Strategisch goed in elkaar

Er is veel behoefte aan zo’n aanpak, zegt Ian Koch, die verantwoordelijk is voor marketing en business development. “We zien dat bedrijven vaak heel veel technologie aanschaffen en aan elkaar koppelen. Ze denken dat ze dan veilig zijn, wat vaak niet zo is. Als je begint met mensen en processen en daarna pas naar de technologie-as kijkt, dan creëer je een beveiliging die strategisch goed in elkaar zit en die ook echt samenhangt. Daarmee ben je uiteindelijk veel beter beschermd.”

En dan is security volgens hem geen kostenpost meer, maar wordt het juist een business enabler. “Zeker als je naar de toekomst kijkt, is security iets dat nieuwe business mogelijk maakt. Denk bijvoorbeeld aan AI. Daarmee kun je je bedrijf versnellen, maar dat moet wel veilig gebeuren.” Krommenhoek vult hem aan. “Door de volgorde people, processes, technology aan te houden, kun je uiteindelijk efficiëntieslagen maken in je hele organisatie, waardoor je de uitgaves aan cybersecurity terugverdient.”

OpenSight werkt samen met een selectieve groep vendoren: CrowdStrike, Zscaler, Commvault, KnowBe4 en Cyberday. Koch: “We hebben heel bewust voor deze leveranciers gekozen, omdat we ervan overtuigd zijn dat we met hen het verschil kunnen maken. Technologie moet er mede voor zorgen dat klanten geen omkijken hebben naar cybersecurity. Wij kunnen met OpenSight vervolgens verschillende rollen aannemen: adviserend, implementerend, beherend of trainend.”

Geen standaardoplossing

OpenSight richt zich voornamelijk op alles tussen middelgrote MKB-organisaties en het small enterprise. Koch: “We hebben veel commerciële bedrijven en een aantal overheden als klant.” Zij zijn allemaal uniek in hun soort en worden dus ook op een verschillende manier begeleid. Krommenhoek: “Er is geen standaardoplossing. Elke klant heeft een bepaalde manier van werken. Onze producten kunnen samen grote delen van de beveiliging verzorgen en daarmee veel aanvalsvectoren wegnemen, maar zoals gezegd: we beginnen altijd bij de mensen en de processen. We gooien er niet zomaar een berg technologie tegenaan.”

“We starten altijd met een audit”, vervolgt Krommenhoek. “Daarin zien we waar de grootste risico’s zitten. Daarna stellen we een roadmap op en werken we samen met de klant toe naar de doelstellingen van het bedrijf. Dat doen we in een tempo waar de klant zich prettig bij voelt. Het is altijd een proces dat we samen bepalen.”

Koch legt uit wat er volgens OpenSight cruciaal is bij het neerzetten van een goede totaaloplossing. “We zoeken naar de combinatie met de bedrijfscultuur en de bedrijfsstrategie. Als je dat goed doet, dan ontstaat er samenhang, maar ook draagvlak. Doe je dat niet goed, dan kunnen oplossingen nooit succesvol worden.” Relaties met klanten zijn voor OpenSight daarom ook altijd gericht op de lange termijn, zo geeft hij aan. “Het gaat ons zeker niet alleen om het ‘nu’. We zoeken naar continue verbetering. Telkens weer een stapje veiliger worden dan de dag ervoor.”

Nederland veiliger maken

Krommenhoek ziet bedrijven regelmatig worstelen. Onder andere vanwege het personeelstekort. “Zeker voor MKB’ers is het heel moeilijk om goede mensen te vinden, zoals een CISO die zwaktes in de techniek kan vertalen naar businessdoelen die binnen de board begrepen worden. Wij kunnen die rol overnemen.”

Hij gaat verder: “Natuurlijk is er veel in het nieuws over aanvallen en we hebben de NIS2-wetgeving. Toch is het voor bedrijven heel lastig om de juiste keuzes te maken. Ze snappen vaak niet helemaal waarom ze dit goed moeten regelen. Dat evangelie moeten we nog vaak verkondigen. Security is geen IT-feestje, maar cruciaal voor het voortbestaan van je organisatie. Waarom besteed je veel geld aan een softwarepakket, maar niet aan het beveiligen van je kroonjuwelen? Door dat gesprek aan te gaan, willen we Nederland steeds een klein beetje veiliger maken.”

Krommenhoek benadrukt dat OpenSight altijd voor de weg van de geleidelijkheid kiest. In de samenwerking met klanten, maar ook als het om de eigen bedrijfstoekomst gaat. “We leveren gefocust en kwalitatief werk. Dat zorgt ervoor dat we duurzaam kunnen groeien.”