Management

Security
Dondorp

Snelgroeier Northwave: security moet interdisciplinair

Ooit vreemde eend in de bijt, maar uiteindelijk zijn gelijk gehaald.

Steven Dondorp, oprichter en CEO Northwave © Northwave
1 november 2019

Ooit vreemde eend in de bijt, maar uiteindelijk zijn gelijk gehaald.

Kun je dertien jaar na oprichting nog opgroeien? Jazeker, en ook best snel dan. Zeker als het originele idee voor interdisciplinaire aanpak, de daaruit voortvloeiende organisatieopzet en de bijbehorende cultuur nu algemeen erkend worden. “Wij wilden nooit groot worden.”

Daar stipt oprichter en CEO Steven Dondorp de crux aan van de lang lijkende ‘aanloop’ van zijn bedrijf Northwave. Hij spreekt van een verschil in DNA vergeleken met start-ups, die zo snel mogelijk groot willen worden. “Wij wilden nooit groot worden. Wij wilden een nieuw concept neerleggen.”

Kritiek: identiteitscrisis

Zo vluchtig en sec beschouwd lijkt dit een uitspraak die elke CEO wel kan doen; over concept, visie, strategie en meer van zulke managementtaal. Maar bij securityleverancier Northwave zijn het niet slechts loze woorden. De snelle groei nu bewijst dat wel. Terwijl dat dus niet het doel was en aanvankelijk volgens de rest van de wereld er waarschijnlijk niet van zou komen.

Dondorp vertelt dat het bedrijf en de aanpak aanvankelijk nogal bekritiseerd werden: “Dat we een identiteitscrisis hadden”. En dat het onduidelijk was wat de leverancier nou eigenlijk deed en dus leverde.

“Anno 2006 was één ding goed doen de norm”, vertelt Dondorp aan AG Connect. “Je was óf forensisch, óf technisch, óf pentesting”, geeft hij aan over de toenmalige scheiding van disciplines binnen ICT-security. Het was dan ook normaal om als leverancier één zo’n gebied te ‘kiezen’ en van daaruit de markt te bedienen.

Hokjesdenken overstijgen

Maar Northwave, zo legt de topman uit, was toen al doordrongen van het feit dat al die disciplines en nog wel enkele meer nodig zijn om security naar een hoger plan te tillen. “Als je met een breach te maken hebt, moet je interdisciplinair zijn.” Let op: deze hokjesdenkenoverstijgende aanpak betreft niet alleen aparte gebieden binnen ICT-security, maar omvat ook ICT en technologie in bredere zin.

Of eigenlijk: het behoort die andere gebieden ook te omvatten. Dondorp reflecteert op zichzelf: “”Ik heb altijd in het digitale, de bètawereld, gewerkt. Maar ik kom uit een familie van alfa’s: professoren en dominees. Ik was niet het zwarte schaap van de familie, maar ik ‘begreep de wereld niet’ dachten zij.” Deze debatten hebben hem doen inzien dat de combinatie van bèta en alfa, van tech en andere vakgebieden, zeer waardevol is.

Bèta’s omringen met alfa’s en gamma’s

Voor beter begrip en dus betere aanpak adviseert Dondorp dan ook dat techexperts omringd moeten worden met alfa- en gamma-mensen. Voor ICT-security in het geval van Northwave, maar ook voor bredere zaken: “om maatschappelijke problemen op te lossen”. Diversiteit is in de ogen van de CEO dan ook een groot goed.

Het sleutelwoord daarbij is interdisciplinair: “Je moet niet zozeer een generalist zijn. Je kunt wel heel goed zijn in één ding, maar hebt kennis van iets anders nodig.” Voor mensen is er dan respect voor elkaar nodig. Dit geldt niet alleen voor beveiligingsexperts onderling, maar ook naar gebruikers toe.

PEBKAC is verkeerde mentaliteit

De eindgebruiker hekelen voor een verkeerde handeling en daardoor een securitybreach, is dus fout. PEBKAC (Problem Exists Between Keyboad And Chair) is de verkeerde mentaliteit, waarschuwt Dondorp. “Dat is een techbenadering, maar je kunt toetsenbord en hyperlink en mens los van elkaar zien. Het probleem [van security - red.] zit niet ergens, maar overal.”

“Techmensen geloven in een detectieve aanpak", waarbij je aan systemen moet werken. “Non-techmensen geloven in een preventieve aanpak”, waarbij je aan mens en proces moet werken. Het verschil tussen deze twee verschillende werelden is volgens Dondorp een non-discussie. “Je moet beide doen én dat afgewogen doen.” Dat stelt hij niet nu pas, maar doet Northwave al jaren.

Betere beveiliging krijg je niet door meer technologie toe te passen, maar ook niet door eindgebruikers meer bewust te maken met een awarenesstraining. Beide middelen zijn nodig, en meer nog. Het gaat om de symbiose en “dat moet je ‘chronisch’ doen”, zo zegt Dondorp. “En als je dan toch een mail van ‘de CEO van Unilever’ opent, dan is er technologie om de impact [van zo’n phishingoperatie - red.] te beperken.”

Stug volhouden

“Door dat integrale denken zijn wij ook een vreemde eend in de bijt.” Tenminste, in de begintijd. Het nu dertien jaar oude Northwave heeft bij de oprichting gelijk een interdisciplinaire methodiek neergezet. Het aanvankelijke probleem daarbij was wel dat de securityleverancier zijn belofte moest waarmaken, geeft Dondorp aan.

Het bedrijf moest én mensen van diverse disciplines vinden en samen laten werken én het moest daar voorfinanciering voor zien te vinden én het moest stug volhouden, ook naar de markt toe. Dit versus de vraag die vaak kwam: ‘Kun je even alleen een pentest doen?’ Het ging daarbij niet om upsell vanuit Northwave of wantrouwen daarvoor vanuit potentiële klanten.

Het ging om de toen algemeen geaccepteerde wijsheid dat ‘Zwitserse zakmessen’ niet de norm zijn. Een interdisciplinaire aanpak had uitleg nodig, telkens weer. “Dus hebben we de eerste zes tot acht jaar dat volgehouden. Dat is een concessie van zo’n ideologisch model”, erkent Dondorp. Zo rond 2010 is er wel een omslag in de markt gekomen, geeft hij aan, die tussen 2012 en 2015 breder is aangeslagen. “Organisaties begonnen het door te krijgen.”

Mens-techproces

De wijsheid is inmiddels wel doorgedrongen bij leveranciers en klanten dat security staat of valt met goede, afgewogen aandacht voor de drie-eenheid van mens, technologie en proces. In theorie betekent dit veel concurrentie voor Northwave, die uiteindelijk wel zijn gelijk heeft gehaald. In de praktijk valt het volgens Dondorp wel mee qua concurrentie. “De ideologie wordt wel omarmd, maar is nog niet ingevuld.”

Het grootste compliment dat hij ooit heeft gekregen, zo vertelt hij, is een opmerking van een bekende securityexpert. Die zei dat zijn tech-georiënteerde bedrijf vaak geprobeerd heeft om interdisciplinair te worden, maar dat dat tot op heden niet gelukt is. Northwave beleeft dankzij de fundamenteel andere opzet momenteel flinke groei. “Nu eindelijk, maar niet ‘ontploft’: het is gecontroleerd geëxplodeerd”, benadrukt de oprichter en CEO. Van 4,7 miljoen euro omzet in 2017, wat dat jaar al een groei van 198 procent was, naar een verwachte ruim 12 miljoen euro dit jaar.

Impulsen onderdrukken

Controle bij de groei is cruciaal. Want het is verleidelijk om toch maar gewoon bijvoorbeeld een techoplossing neer te zetten, weet Dondorp uit zijn verleden als firewallverkoper. “Wat het probleem van de klant niet oplost, maar het verkoopt wel lekker. Ik was toen medewerker nummer 12 bij een start-up en je eerste prikkel is dan toch ‘overleven’.” Voor veel start-ups komt daar nog de focus op snelle groei bij. Northwave heeft beide impulsen goed weten te onderdrukken en kan nu prat gaan op snelle groei, vele jaren na de oprichting.

Bedrijf: Northwave

Gevestigd in: Nieuwegein, nu naar nieuw kantoor in Utrecht (Papendorp)

Doet: interdisciplinaire security

Medewerkers: 100+ medewerkers

Financiën: verwachte omzet in 2019 meer dan 12 miljoen euro omzet

In 2019 voor 2e keer op rij snelgroeier in de Financial Times’ FT1000

Bestaat sinds: 2006

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (oktobernummer 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.