“Te weinig prioriteit en een tekort aan middelen zijn hét probleem voor cybersecurity in België, waardoor het aantal aanvallen exponentieel blijft stijgen”

“Te weinig prioriteit en een tekort aan middelen zijn hét probleem voor cybersecurity in België, waardoor het aantal aanvallen exponentieel blijft stijgen”

Netwerkbeveiliger SpotIT, nog een relatief jong bedrijf, groeide de afgelopen vijf jaar in recordtempo uit tot een uit de kluiten gewassen kmo met 91 medewerkers. Dit voorjaar opende in Antwerpen een derde vestiging, na Merelbeke en Herk-de-Stad. De snelle groei werd volledig met eigen middelen gefinancierd: “Onze focus bewaren is het allerbelangrijkste”, zegt founding partner Steven Vynckier.

Vynckier richtte SpotIT op samen met twee andere vennoten, nu zijn ze nog met twee. De drie founders bundelden passie en ervaring en maakten hun ambities waar – zonder extern kapitaal. “We voelden dat er een gat in de markt was voor diepgaande expertise en ervaring op het vlak van security & netwerken”, zegt Steven Vynckier. “De traditionele ICT-bedrijven bieden meestal zowat alle ICT-oplossingen aan, maar door je te focussen op een niche kun je een betere service garanderen en vooral sterke, gemotiveerde medewerkers aantrekken. Bovendien leek het ons logisch dat je met een lean and mean-aanpak veel sneller vooruit komt dan een groot bedrijf met complexe beslissingslijnen.”

Geen producten verkopen maar ontzorgen

Ook snel kunnen schakelen ligt aan de basis van de steile groeicurve van SpotIT. Vynckiers achtergrond is daar niet vreemd aan: als handelswetenschapper verdiende hij zijn sporen in een reeks commerciële functies, waarbij ICT steeds sterker ging doorwegen op zijn cv. Voor Bekaert Textiles zat hij twee en een half jaar als expat in de VS. Met die ervaring op zak specialiseerde hij zich als accountmanager in managed services: de levering en het beheer van netwerk en security gebaseerde diensten, toepassingen en apparaten.

In netwerksecurity is er een sterke evolutie naar totale ontzorging. Het leek ons het ideale moment om ons niet te profileren als de zoveelste productverkoper, maar te focussen op managed services

“Tot 2014 werkte ik voor een grote ICT-dienstverlener, op het laatst als lid van het directiecomité en directeur infrastructuur, remote beheer en hosting”, zegt hij. “Maar mijn ouders zijn zelfstandig meubelmakers: ondernemerschap heb ik met de paplepel binnengekregen. Zoiets cijfer je niet weg. Bovendien wilde ik altijd al graag zelf iets creëren. Dankzij mijn netwerk en dat van mijn vennoot Frederik Rasschaert heb ik in 2014 een snelle start kunnen maken. In netwerksecurity is er een sterke evolutie naar totale ontzorging. Het leek het ons het ideale moment om ons niet te profileren als de zoveelste productverkoper, maar te focussen op managed services.”

Het resultaat: binnen security en netwerk biedt SpotIT vijf jaar later consultancy, managed services, security governance, audits en pen tests (penetration tests) aan. “We doen alles binnen het domein van security & netwerk behalve forensics en IAM (Identity & Access Management)”, zegt Vynckier. “Waar je als start-up wel meteen tegenaan botst, is naambekendheid verwerven. Een naam als Cisco opent meer deuren dan SpotIT. Maar we merken gelukkig dat zowel klanten als sollicitanten intussen wél vlot de weg vinden.”

“Ons startkapitaal was behoorlijk comfortabel: 150.000 euro aan eigen middelen. De eerste maanden hebben we onszelf niets uitbetaald. Je moet je cashflow in evenwicht krijgen. Veel leveranciers willen boter bij de vis, terwijl je klant pas 60 dagen later betaalt. Van zodra je je cashflow op een bepaald niveau krijgt, is dat probleem dan wel van de baan. Onze winst hebben we vervolgens telkens bijna volledig geherinvesteerd in SpotIT.”

Alternatief en zelfsturend

“Onze 90 medewerkers zijn het belangrijkste kapitaal van dit bedrijf, zij delen het DNA van SpotIT”, benadrukt Vynckier. “De groepsgeest is ijzersterk – het raakt me zelfs als ik zie hoe vanzelfsprekend mensen elkaar hier ondersteuning bieden. Heel wat werkgevers claimen wel dat ze een vernieuwende bedrijfscultuur hebben, maar hier hebben we écht geen enkele manager in dienst. Onze teams zijn georganiseerd in clusters, kleine netwerken zonder hiërarchie en 100 procent zelfsturend.”

Heel wat werkgevers claimen wel dat ze een vernieuwende bedrijfscultuur hebben, maar hier hebben we écht geen enkele manager in dienst

Frederic Laloux, een Brusselse expert in alternatieve vormen van management, is voor Steven Vynckier een grote inspiratiebron. In zijn boek ‘Reinventing Organizations’, dat wereldwijd succes kende, pleit Laloux voor meer zingeving en verbondenheid op de werkvloer. “We passen dat toe met voortschrijdend inzicht: naarmate je groeit, moet je je anders gaan organiseren. De klant moet de vruchten plukken van je interne processen, en er zeker geen last van hebben.

“Eerst hebben we seniorprofielen aan boord gehaald: technisch héél sterke netwerk- en security specialisten, systeemengineers en consultants. Een belangrijk deel van onze dienstverlening is security governance: dat gaat pakweg over normen als ISO27000 of GDPR. Daarvoor hebben we vooral ICT’ers met een economische en een legal achtergrond binnengehaald, want daarmee komen we op het terrein van PwC of Deloitte”, aldus Vinckier.

Security is nog steeds een zwart gat

Op hun beurt vinden grote klanten de weg naar SpotIT. Middelgrote en grote bedrijven zijn sinds de start de doelgroep. Tegelijk ziet datamisbruik er alweer anders uit dan in 2014. Bedreigingen voor ICT-netwerken evolueren, net als de ICT-systemen zelf. “Cybersecurity was eerst en vooral een issue voor banken en industriële bedrijven, maar bedreigingen én doelwitten zijn steeds diverser geworden. Een béétje cybercrimineel heeft tijd en geld om zijn actie voor te bereiden, terwijl een IT-afdeling focust op operations.”

Een béétje cybercrimineel heeft tijd en geld om zijn actie voor te bereiden, terwijl een IT-afdeling focust op operations

De budgetten voor security zijn ook veel kleiner, merkt Vinckier op. “Netwerk en security schieten er binnen ICT dus vaak bij in. Te weinig prioriteit en een tekort aan middelen zijn hét probleem voor cybersecurity in België, terwijl het aantal aanvallen wél exponentieel blijft stijgen. Niet alleen rechtstreeks op het eigen officenetwerk, maar ook via allerlei industriële achterpoortjes. In Amerika werd een bedrijf – Target – gehackt via de airco die werd geleverd door een derde partij. Door die te hacken, kon ook dat bedrijf aangevallen worden. Je moet dus ook de achterdeur in de gaten houden. Heel populair is nog altijd R&D-data stelen.”

Nieuwe technologieën als blockchain en IoT veranderen het landschap van cybersecurity. “Over blockchain is veel te doen, maar ik zie nog niet zoveel werkende voorbeelden”, zegt Vynckier. “IoT is een ander paar mouwen. Hoe meer devices online zijn - tot je koelkast of de barbiepop van je dochter toe - hoe meer risico op cyberaanvallen. Met die evolutie zijn we mee: we maken bijvoorbeeld nu een verpakkingenbedrijf IoT-ready. We pentesten elke nieuwe softwareversie van hun softwareleverancier. IoT, machine learning en big data veranderen het landschap en voor security en netwerk zijn er heel wat uitdagingen die nieuwe methodes met zich meebrengen. Tegelijk is veiligheid nog geen prioriteit voor die nieuwe online devices, dus ook daar is nog werk aan de winkel.”

Altijd je eigen niche trouw blijven

Nieuw talent neemt SpotIT aan in functie van nieuwe klanten en die hoeven niet per se in Vlaanderen actief te zijn. “We blijven onze niche trouw: wordt België te klein, dan gaan we niet diversifiëren met servers of storage, maar wel over de grens kijken: in Europa, de VS of elders. Binnenkort bevragen we onze klanten waar zij graag zouden zien waar SpotIT start. Omdat we veel internationale klanten hebben, staan we open voor hun voorstellen om in een vestiging elders ook een SpotIT service te gaan aanbieden.”

Belangrijk is ook dat we de SpotIT academy verder uitbouwen. De krappe arbeidsmarkt voelen wij evengoed als een ander. Via eigen opleidingstrajecten kunnen we dat deels opvangen

“Belangrijk is ook dat we de SpotIT academy verder uitbouwen. De krappe arbeidsmarkt voelen wij evengoed als een ander. Via eigen opleidingstrajecten kunnen we dat deels opvangen. IT’ers of industrieel ingenieurs die we aannemen, leiden we een half jaar lang gratis op: technisch maar ook op het vlak van social skills. Na die zes maanden kunnen ze dan starten als junior network security consultant. Kandidaten met de juiste kennis en potentieel vinden, is iets waarin we héél veel energie en middelen stoppen”, besluit Steven Vynckier.

Connecteer met 28.192 abonnees