De uitdaging: cybersecurity geschikt voor de volgende groeifase
Wij zijn (nog) een scale-up en om verder te groeien, moet je de organisatie steeds opnieuw uitvinden en klaarmaken voor de volgende stap. Volgens Verne Harnish, bedenker van de Scaling Up-methodologie, is groei geen toeval, maar het resultaat van bewuste keuzes. Onze nieuwe CEO, afkomstig uit een enterprise-omgeving, gaf direct aan dat onze security naar een hoger niveau moest. Ik kreeg de opdracht dit op te pakken.
We begonnen met een security assessment door een externe partner, die ons inzicht gaf in de benodigde stappen. Toch bleef de voortgang achter, vooral door te weinig beschikbare resources. Op dat moment gaf de CEO een duidelijk signaal: er werd extra budget en capaciteit vrijgemaakt, zodat we een concrete roadmap konden uitzetten. We waren ons wel bewust van de verbeterpunten en hadden veel ideeën, maar we wisten niet waar te beginnen. Dat konden we niet zelf.
De gewenste oplossing: een framework en roadmap
Via ons netwerk kwamen we bij Legian terecht. In het pre-sales traject spraken we met meerdere partijen, maar we hebben Legian geselecteerd omdat zij het beste antwoord gaven op de vragen die wij op dat moment hadden. We zochten geen corporate die met tien consultants binnenkwam, maar een hands-on partner die daadwerkelijk leidraad biedt op de werkvloer. Ook wilden we geen uitgebreide rapporten, maar gewoon doen. Daarin hadden zij de beste aanpak, en bovendien was de klik goed. Iets wat wij ook erg belangrijk vinden.
Concreet legden we het volgende neer: help ons bij het opzetten van een framework en een concreet stappenplan voor drie prioriteiten:
- MXDR-oplossing – welke richting moeten we op?
- Active Directory / Entra ID – welke stappen zijn nodig voor opschoning en optimalisatie?
- Ontwikkeling van ons team – welke kennis en vaardigheden moeten zij ontwikkelen om te groeien in hun rol?
Het resultaat: concrete stappen en meetbare vooruitgang
Fast forward: Legian begon aan het begin van het jaar en binnen zes maanden hadden we een helder stappenplan met praktische handvatten. En dat niet alleen, we zijn ook daadwerkelijk begonnen met uitvoeren. We hebben inmiddels onze systemen opgeschoond, de eerste stappen in de MXDR-selectie gezet en wisten welke opleidingen ik mijn teamleden en ik moesten volgen.
Het was fijn om iemand op locatie te hebben die ons echt bij de hand nam. We startten met een technische security assessment, in plaats van het op interview gebaseerde assessment dat voor de komst van Legian was uitgevoerd. Dat leverde ook waardevolle inzichten op, maar was niet meetbaar. Daarom stelde ze voor een nulmeting te doen, zodat we precies wisten waar we stonden.
Een paar maanden na de opdracht liep ik met de CFO onze security KPI’s door. Toen bleek dat we onze Microsoft Security-score met ruim 50% hadden verbeterd. We zijn nog bezig met het uitvoeren van adviezen, dus die score zal nog verder stijgen. Dat vind ik nogal wat!
De aanpak sloot perfect aan bij wat wij verwachtten, nodig hadden en wilden. De consultant maakte zich de bedrijfscultuur snel eigen, wist waar winst te behalen viel, en leverde meer begeleiding dan alleen de drie initiële prioriteiten. Dat heeft een meetbaar én duurzaam resultaat opgeleverd.
''Na de opdracht is onze security-score met ruim 50% verbeterd, en omdat we nog bezig zijn met het uitvoeren van adviezen, zal die score verder stijgen. Dat vind ik nogal wat!''
Robert Pennings, verantwoordelijk voor cybersecurity bij Sana
Tip(s) voor anderen: inzicht, structuur en verbinding maken het verschil
Leg de focus op doen, niet op eindeloos plannen en uitdenken. Begin gewoon, werk agile en maak de benodigde resources beschikbaar. Zo heb je de tijd, het budget en kun je snel schakelen. Want als je alleen maar blijft plannen, komt die hacker uiteindelijk toch binnen.
