De uitdaging: behoefte aan rust en ondersteuning
”Toen ik tweeënhalf jaar geleden begon, was er al een intensieve samenwerking met Legian. Binnen Huisman liepen destijds veel initiatieven naast elkaar, maar ze werden niet allemaal afgerond. De eerste uitdaging was daarom om rust en prioriteit aan te brengen, omdat de vraag- en aanbodbalans binnen IT niet in evenwicht was.
Onze mensen werken keihard, maar als prioriteiten per dag verschuiven, loop je over. Daar moest focus in komen. Dat betekent ook dat je met de business in gesprek gaat en hen mede-eigenaar maakt van die keuzes. Je moet kunnen onderbouwen waarom je soms minder gas geeft op een project, omdat er al vijf initiatieven lopen naast de reguliere werkzaamheden zoals incidenten en changes. Nieuwe projecten kunnen pas starten wanneer andere zijn afgerond.
Daarnaast moest IT transformeren van losse entiteiten naar één wereldwijde IT-organisatie, terwijl er tegelijkertijd sprake was van aanzienlijke technical debt. We zaten bovendien midden in een grote ERP-implementatie en hadden nog een inhouse datacenter waar ik zo snel mogelijk vanaf wilde. De behoefte aan externe hulp werd na mijn komst niet per se groter, maar anders. We hadden interne securityspecialisten, maar niet alle kennis die nodig was. Mensen zelf opleiden zou te lang duren, terwijl we die expertise op dat moment nodig hadden.”
De gewenste oplossing: IT en OT op hetzelfde niveau
”We overwogen om bepaalde securityrollen zelf in te vullen door interne mensen op te leiden, maar dat is een behoorlijk traject. Daarom heb ik aan Legian gevraagd: ‘We willen eigenlijk dat jullie dit als dienst leveren: CISO as a Service. Kan dat?’
Dat biedt ons continuïteit en brengt deskundige mensen binnen die ook in andere organisaties hebben gekeken en daardoor weten wat werkt en wat niet. Legian stelde voor om dit breder in te richten: één CISO, ondersteund door twee collega’s. Zo beschikken we zowel strategisch als operationeel over de juiste capaciteit.
Security wordt nog te vaak als sluitstuk gezien: het kost geld, maar het moet nu eenmaal. Als je er zo naar kijkt, blijf je achter de feiten aanlopen. Je hebt de korte termijn, waar het draait om bedrijfscontinuïteit, én de lange termijn, waarin je je intellectueel eigendom wilt beschermen. Beide zijn cruciaal en vragen daarom om het opzetten van een programma.
De samenwerking met Legian begon vanuit security, met een assessment en roadmap. Dit project is de basis geweest om IT en OT binnen Huisman samen te laten werken. De vraag is: hoe krijgen we die domeinen op hetzelfde volwassenheidsniveau.”
Het resultaat: van brandjes blussen naar waarde creëren
”We zijn met IT en OT serieus aan het opschalen. Het was niet zo dat we niets deden, maar door Legian extra in te schakelen hebben we meer slagkracht gecreëerd en tempo kunnen maken waar dat nodig was.
De persoonlijkheden van de Legian Legends zijn divers, en dat is juist hun kracht. Het zijn allemaal professionals die op hun eigen manier gaan voor resultaat. We zaten als organisatie in een bepaalde modus en wilden echt een shift maken; daar heb je verschillende typen mensen voor nodig.
Een CISO‑team – met Mike Samson (CISO), Marco Bouman (IT ISO) en Hakim Chaabani (OT Security Consultant) en voorheen Michael van Stokrom (CISO) – vraagt om andere profielen dan Wilco Wouda (Programmamanager), die dichter tegen de business aan zit, structuur aanbrengt en deliverables borgt binnen een organisatiebrede ERP‑implementatie.
De match tussen rollen en persoonlijkheden klopt. De mensen die Legian hier inzet, hebben wij zelf niet in huis. Sommige programma’s kennen een grote exposure en dynamiek, waarvoor specifieke eigenschappen nodig zijn. Tegelijkertijd is het soms juist een voordeel dat zij extern zijn. Dat maakt het mogelijk om objectiever te opereren, zeker bij impopulaire maatregelen of besluiten die nodig zijn om doelstellingen te behalen. Wanneer je te veel onderdeel bent van de organisatie, wordt dat lastiger. Wat ik belangrijk vind, is dat Legends zich goed aanpassen aan onze bedrijfscultuur.
Een ander concreet resultaat is dat onze initiatieven veel meer structuur hebben gekregen. We kijken nu continu: wat is belangrijk voor het bedrijf? Met welke wet- en regelgeving hebben we te maken? Wat is ons grootste risico? En waarop moeten we, naast de basis, focussen? Dat vertaalt zich direct in een hoger volwassenheidsniveau.
We zijn van een ‘firefighter’-modus naar ‘structuur aanbrengen’ gegaan en richten ons op de volgende fase: die van ‘enabler’, waarin IT actief bijdraagt aan bedrijfsdoelstellingen.”
''We zijn van een ‘firefighter’-modus naar ‘structuur aanbrengen’ gegaan en richten ons nu op de volgende fase: die van ‘enabler’, waarin IT actief bijdraagt aan bedrijfsdoelstellingen''
Carlo van der Stoep, Global IT Director bij Huisman
Tip(s) voor anderen: stop met starten, start met afronden
”Stop nou gewoon eens met starten, en start eens met afmaken. Als IT‑team moet je daarnaast scherp bepalen welke disciplines je als kerncapaciteit zelf in huis wilt hebben en welke niet. Soms kun je mensen intern opleiden of aannemen, maar dan moet je wel de tijd en ruimte hebben om daarin te investeren. Bovendien moet je je afvragen of het in deze markt überhaupt haalbaar is om bepaalde specialisten aan je organisatie te binden. En als je er één hebt, ben je direct kwetsbaar bij ziekte of afwezigheid.
Wanneer een discipline kritiek is voor de organisatie, is uitbesteden in veel gevallen de logische keuze. Zo hebben wij dat ingericht voor de CISO-rol. Andere domeinen, zoals het cloudteam, willen we juist wél zelf beheersen. Daar investeren we bewust in vaste medewerkers, aangevuld met tijdelijke capaciteit. Rick van den Berg (cloud Engineer) is bijvoorbeeld onderdeel van het team, maar ook via Legian ingehuurd.
Uiteindelijk draait het om de vraag: welke mensen en competenties wil je als organisatie behouden en ontwikkelen? Dáár investeer je in. Daaromheen bouw je een flexibele schil van tijdelijke experts”, aldus Carlo.
