Tijdens een recente, besloten Round Table met ManageEngine en diverse IT-leiders – waaronder cybersecurity-expert Brenno de Winter met ruim dertig jaar ervaring in pentesting viel een scherpe vergelijking. De IT-sector werd afgezet tegen de luchtvaart. Waar in de luchtvaart veiligheidsprocedures en checklists heilig zijn omdat fouten dodelijk kunnen zijn, wordt in de IT-wereld een checklist vaak slechts gezien als een middel om aan compliance (zoals ISO of NIS2) te voldoen. Het zit zelden echt verankerd in het DNA van de organisatie.
Er werd aan tafel hardop kritiek geuit op bestuurders die pronken met hun titel – "leuk voor op een verjaardagsfeestje" – maar wegduiken zodra ze daadwerkelijk verantwoordelijkheid moeten nemen voor cyberrisico's. Documenten worden vaak blind ondertekend. Een sprekend voorbeeld uit het verleden kwam ter sprake: RedSocks, een securitybedrijf dat tien jaar geleden beloofde dat als een klant een datalek had en dit niet binnen 72 uur bij de Autoriteit Persoonsgegevens (AP) meldde, zij het voor hen zouden doen. Deze harde ‘customer intimacy’ dwong klanten om in actie te komen.
Een gebrek aan controle en overzicht leidt onherroepelijk tot kwetsbaarheden en torenhoge kosten. Een tastbaar praktijkvoorbeeld dat werd besproken, is de transformatie bij IT-dienstverlener Centric. Na jaren van bestuurlijke onrust en een dringende noodzaak om te bezuinigen, kampte het bedrijf met een enorme tool sprawl: een onoverzichtelijke wildgroei aan verschillende, niet-geïntegreerde systemen.
Door met ManageEngine om tafel te gaan en over te stappen op een geünificeerd platform, wist Centric de licentie- en operationele kosten met maar liefst 40% te verlagen. Om dit soort trajecten efficiënt in te steken, hanteert ManageEngine in de Benelux een strakke marktsegmentatie (Small business, Mid-market en Enterprise). Opvallend detail: de publieke sector wordt standaard als 'Enterprise' behandeld en direct bediend, vanwege de torenhoge eisen aan complexiteit en veiligheid.
