Wordt het kanaal de dupe als projecten zowel technologie als consulting- en compliance-expertise vereisen? Adviesbureaus positioneren zich met hun eigen beveiligingsunits. Maar ook de systeemhuis-omgeving heeft oplossingen in petto.
De middelgrote industriële onderneming ergens in de Allgäu is een modelbedrijf – zeker als het om veiligheid gaat. “Er is een SIEM-tool in gebruik, de netwerken zijn netjes gesegmenteerd, de medewerkers zijn getraind en er heerst een bedrijfscultuur waarin eenvoudige accountants direct contact mogen opnemen met de CFO over een mogelijke fraudemail”, zegt John-Erik Horn, Managing Director van BDO Cyber Security. Maar niet alle bedrijven zijn zo voorbeeldig als dit bedrijf, en de weg erheen is vaak hobbelig. Omdat de complexiteit van het IT-landschap toeneemt, maar het IT-team zelden. Als er nieuwe technologieën bijkomen, zoals edge-oplossingen of digitalisering van de productie, besluiten veel bedrijven uiterlijk op dat moment externe hulp in te schakelen. En wie is de redder in de nood? Tot nu toe was het antwoord relatief eenvoudig: het systeemhuis dat al heeft gezorgd voor de firewall, server en software-installatie. Aan de andere kant kunt u in technologie investeren zoveel u wilt, maar als u compliancekwesties negeert, wordt de klant half aangekleed achtergelaten.
John-Erik Horn, Managing Director BDO Cyber Security
De tijden zijn echter veranderd en dat geldt ook voor de eisen. In de toekomst zouden systeemhuizen steeds vaker achterop kunnen raken als het gaat om complexe IT-projecten – vooral als het gaat om beveiliging. En als we het hebben over IoT, edge en netwerken, gaat het bijna altijd over beveiliging. Het probleem: van oudsher hebben systeemhuizen hun contacten in de IT-afdeling of bij de CISO. Zij zijn gewend oplossingsgericht te werken, strategische consulting overstijgt vaak gewoon de mogelijkheden die systeemhuizen met hun personeel kunnen bieden. Adviesbureaus hebben dit “hiaat” onderkend en positioneren zich steeds meer als leveranciers van beveiligingsdiensten, soms met hun eigen grote beveiligingseenheden of zelfs hun eigen SOC.
Extra toegevoegde waarde?
“Ik heb met veel wederverkopers in dit land gesproken: zij hebben geen toegang tot de specialisten op het gebied van productbeveiliging, het CPSO of het management. Daarom is de toegevoegde waarde die zo’n reseller met zich meebrengt voor ons hier beheersbaar,” verklaarde Harry Zorn, Vice President EMEA bij Vdoo, onlangs in een gesprek met IT-BUSINESS. De aanbieder, die gespecialiseerd is in de beveiliging van ingebedde apparatuur, heeft daarom nu contracten gesloten met adviesbureaus en een auditbedrijf. “Deze bedrijven hebben de afgelopen jaren nieuwe teams en specialisaties op het gebied van veiligheid opgebouwd. Zij geven strategisch advies aan ondernemingen, bijvoorbeeld in de automobielsector. Er zijn tal van wettelijke voorschriften waarmee deze ondernemingen reeds vertrouwd zijn en die de nodige know-how inhouden. Daarom is het voor ons veel logischer om met hen samen te werken,” legt Zorn uit.
BDO’s expertise op het gebied van beveiliging en advies
Het accountantskantoor waar Vdoo mee samenwerkt is BDO. Naast de auditeenheid is de afgelopen jaren een digitale bedrijfseenheid met meer dan 100 werknemers opgericht, waaronder de eenheid cyberbeveiliging met ongeveer 35 werknemers. Deze bieden beveiliging van advies tot implementatie, van compliance tot API-beheer, identiteitsbeheer tot SOC-diensten. De eenheid staat onder leiding van John-Erik Horn. BDO heeft zich gericht op het hogere middensegment van de markt.
Matthias Jablonski, CEO van Kiwiko
“Onze klanten zijn bedrijven waarvan de IT-afdelingen een zekere omvang hebben en het daarom moeilijk hebben om het scala aan competenties in kaart te brengen dat nodig zou zijn”, legt de manager uit, die vele jaren ervaring heeft in de beveiligingsindustrie. Veel gebruikersbedrijven worden gewoon tot digitalisering aangezet – door de strategie-adviseur, de markt of de pandemie, legt hij de situatie van de doelgroep uit. “Ons unieke verkoopargument is onze deskundigheid in zowel nalevingskwesties als in het ontwerp en de werking van technologie. Veel concurrenten zijn bedreven in compliance, maar kunnen het technologisch niet implementeren. Aan de andere kant kun je in technologie investeren zoveel je wilt, maar als je compliance-kwesties negeert, wordt de klant half aangekleed achtergelaten. Wij zijn ervan overtuigd dat we beide heel goed kunnen en dat authentiek kunnen vertegenwoordigen.”
Vorklift en online bank zijn twee werelden
Horn spreekt uit ervaring als hij verder uitweidt: “De grootste angst van middelgrote ondernemingen is dat de consultant met een kader van een corporatie komt en dat blindelings aan hen oplegt. Daarom is het voor ons heel belangrijk om eerst het bedrijfsmodel van de klant te begrijpen. Welke bedrijfsprocessen zijn kritisch? Wat maakt het bedrijf anders, ook cultureel? Een vorkheftruckfabrikant versus een online bank – dat zijn twee heel verschillende werelden als je veilige processen wilt ontwerpen.” En Horn rekent rigoureus af met een vooroordeel dat vaak in verband wordt gebracht met adviesbureaus. In zijn business unit hebben ze zich geëngageerd tot de agile methodologie. “Het klassieke idee om eerst te beginnen met ISO 27001 of basis IT-bescherming, richtsnoeren op te stellen en op een bepaald moment maatregelen te implementeren, is niet meer van deze tijd. Het duurt gemakkelijk één tot drie jaar voordat het effect op het technische landschap merkbaar wordt. Terwijl jij beleid schrijft, staat de schuurdeur open en vindt er een aanslag plaats.”
Daarom heeft BDO een methode ontwikkeld om de aanpak te parallelliseren. Natuurlijk moeten er processen worden vastgesteld en moet er een veiligheidsorganisatie worden gepland, maar de technologie moet vanaf het begin worden aangepast. “De klant hoeft geen twee jaar te wachten om eenvoudige basics te realiseren: Netwerken moeten gesegmenteerd zijn en autorisatiebeheer moet werken.” “SOC, secure API, pentests, CASB, DevSecOps – dat zijn allemaal aanbiedingen van ons die klanten parallel kunnen aanpakken met compliance-vraagstukken en het structureren van processen. Dat is onze pragmatische aanpak. En KMO’s zijn erg pragmatisch.”
De Kiwiko-oplossing
En net zo pragmatisch als Horn met BDO de markt benadert, lijken anderen dat ook te doen. Want net zoals Horn beschrijft, is het voor kleinere systeemhuizen vaak moeilijk om naast technologische competentie ook adviesdiensten aan te bieden. De systeemhuiscoöperatie Kiwiko heeft dit onderkend en biedt haar aangesloten partners daarom sinds kort adviesdiensten van “White Label Advisory” aan. De alliantie kan zo de diensten van een full-service IT-aanbieder aanbieden – van de planning en implementatie van IT-infrastructuurprojecten tot serverbeheer, netwerkondersteuning, IT-beveiligingsaudits en de integratie van software voor kleine en middelgrote ondernemingen, aldus de alliantie.
Matthias Jablonski, lid van de raad van bestuur bij Kiwiko: “Wij zijn van mening dat iedereen die als IT-systeemhuis met een enorme buik vol naar de klant stapt en beweert in alles gespecialiseerd te zijn, gewoon niet geloofwaardig is.” U moet zich concentreren op kerngebieden en een beroep doen op een partner zodra speciale deskundigheid vereist is. Want een dienstverlener is slechts zo goed als zijn netwerk,” vervolgt Jablonski.
Oprichter en Managing Director van White Label Advisory, Philipp Maier: “Met het gratis aanbod voor Kiwiko-leden om deel uit te maken van het White Label Advisory-netwerk, creëren we toegevoegde waarde. De leden van Kiwiko krijgen toegang tot nieuwe klanten, de klanten van White Label Advisory – vaak middelgrote bedrijven – met een grotere verscheidenheid aan aanbiedingen voor IT-projecten.
Zoveel digitalisering er op dit moment in het mkb wordt gestimuleerd, zoveel projecten als er op dit moment zijn vanwege edge, IoT, 5G, beveiliging, compliance en nog veel meer – er zou ruimte genoeg kunnen zijn voor alle soorten expertise op het gebied van consulting en technologie.