De Gentse start-up TechWolf bouwt HR-oplossingen voor grote, internationale bedrijven en die reuzen leggen strenge cyberveiligheidseisen op. Toch vinden TechWolf-oprichters Andreas De Neve (CEO) en Jeroen Van Hautte (CTO & CPO) dat start-ups en scale-ups op het gebied van cybersecurity veel troeven in handen hebben. “Cyberveiligheid stond vanaf dag één bovenaan onze agenda. Het is gemakkelijker om goede gewoontes aan te nemen dan slechte gewoontes af te leren. Bovendien is technologie mensenwerk: het risico op een zwakke schakel in de ketting is veel groter wanneer je 20.000 schakels hebt.”

TechWolf helpt grote bedrijven door transformaties, legt Van Hautte uit. “We gebruiken hun eigen data om de skills die ze in huis hebben in beeld te brengen. Onze klanten zitten in uiteenlopende sectoren: energie, automotive, telco,… Wat ze met elkaar gemeen hebben, is dat hun sector op tien jaar tijd volledig overhoop gegooid is. Het oude model werkt niet meer, ze moeten hun mensen op een totaal andere manier inzetten. Onze technologie brengt in beeld welke skills waar aanwezig zijn in het bedrijf en welke skills ze moeten toevoegen. Met die data kunnen ze mensen upskillen en reskillen.”

Cyberveiligheid is volgens De Neve cruciaal voor een start-up als TechWolf. “We zijn een jong bedrijf dat werkt voor grote bedrijven. Onze klanten zijn grote, vaak internationale ondernemingen die hun data ontzettend sterk beveiligen. Maar als ze samenwerken met een start-up waar die data gewoon op straat belanden, dan maakt het niet uit hoe sterk hun eigen fort is. Daarom hanteren ze heel strenge veiligheidsprocedures. Wij moeten ervoor zorgen dat onze muren even sterk en even ondoordringbaar zijn als de muren van die grote bedrijven”

Bedrijven beschouwen cyberveiligheid nog te vaak als het afwenden van een ramp. Als damage control.

“Bedrijven beschouwen cyberveiligheid nog te vaak als het afwenden van een ramp. Als damage control. Voor ons draait cyberveiligheid in de eerste plaats om het vertrouwen van onze klanten verdienen. Eén lek en we kunnen de boel hier sluiten. De financiële schade kan gigantisch oplopen. Maar nog veel erger: dan is onze reputatie om zeep. Financiële schade kan je nog herstellen, reputatieschade valt veel moeilijker te herstellen. Klanten moeten blind op ons kunnen vertrouwen dat hun data hier veilig zijn.”

Cybersecurity als eerste stap in elk proces

TechWolf werkt voor grote bedrijven, bijvoorbeeld banken, waar 20.000 mensen werken en waar miljarden euro’s rondgaan. Hoe hou je als start-up met 25 medewerkers gelijke tred met zo’n machine als het op cyberveiligheid aankomt? “De ketting is maar zo sterk als de zwakste schakel”, zegt Van Hautte. “Dan zijn 20.000 schakels natuurlijk een veel groter risico dan 25. In zo’n enorme organisatie is het veel moeilijker om een cultuur van cyberveiligheid te installeren.”

Wij hebben vanaf dag één de juiste keuzes gemaakt en we hebben meteen goede gewoontes aangenomen. Dat is veel gemakkelijker dan slechte gewoontes afbouwen

Het is voor ons als jong bedrijf gemakkelijker om cyberveilig te werken dan voor een groot bedrijf dat al lang bestaat. Wij hebben vanaf dag één de juiste keuzes gemaakt en we hebben meteen goede gewoontes aangenomen. Dat is veel gemakkelijker dan slechte gewoontes afbouwen. Het is eenvoudiger om nooit te beginnen roken dan om er later mee te stoppen. Op technologisch vlak bouwen we onze producten van in het begin met veilige principes. Ook dat is gemakkelijker dan ze nadien nog te moeten aanpassen.”

Photo by Stijn Vanderdeelen // STYN.be
Photo by Stijn Vanderdeelen // STYN.be

Cybersecurity zit bij TechWolf helemaal vooraan in elk proces. Als het een afterthought wordt, dan kom je er niet aan toe. Zeker in een start-up heb je altijd 1001 dingen te doen en moet je elke dag nieuwe problemen oplossen. Dan denk je al snel: ‘Cyberveiligheid? Dat is iets voor het volgend kwartaal.’ Wij doen het andersom. Bij elke stap in het ontwikkelingsproces denken we na hoe we onze technologie gebruiksvriendelijk, maar tegelijkertijd 100 procent cyberveilig kunnen maken.

Een cultuur van cyberveiligheid

“De technische veiligheid van onze technologie is heel belangrijk. Maar dat is eerder een startpunt dan een eindpunt”, benadrukt De Neve. “Je hele organisatie moet een cultuur van informatieveiligheid hebben. Technologie wordt nog altijd gemaakt door mensen. Als er phishing mails binnenkomen, moet iederéén alert zijn. Wanneer iemand gaat lunchen en zijn computer vergeet af te sluiten en te beveiligen, dan zal daar op ons Slack-kanaal gegarandeerd een opmerking over komen van een collega. Onze voordeur werkt met een vingerafdruk. Niemand zal die zomaar laten openstaan.”

“Als je een cultuur van cyberveiligheid wil installeren, dan moet je ervoor zorgen dat veilig gedrag de norm wordt. In mijn ervaring begint cybersecurity bij je mensen en bij je cultuur, om dan door te sijpelen naar je producten. Omgekeerd gaat niet lukken. Als cyberveiligheid niet in je DNA zit en geen automatische reflex is binnen je onderneming, kan je heel moeilijk veilige technologie ontwikkelen.”

Als je een cultuur van cyberveiligheid wil installeren, dan moet je ervoor zorgen dat veilig gedrag de norm wordt

“Als er een grote cyberaanval de krant haalt, dan bespreken we die hier vaak samen. Hoe is dat kunnen gebeuren? Zou het ons ook kunnen overkomen? Wat kan je doen om een dergelijke aanval te vermijden? Dat soort discussies houdt ons allemaal scherp en alert. Een lakse cultuur is het allergrootste gevaar voor je cyberveiligheid.”

Het werk is nooit af, vult Van Hautte aan. “We zijn als jong bedrijf ISO-gecertificeerd, we voldoen dus aan strenge universele internationale normen op het gebied van cyberveiligheid. Het is een behoorlijk zwaar proces om dat certificaat te krijgen. Het is ook geen momentopname. Je moet een roadmap opmaken en zwart op wit aantonen hoe je je informatieveiligheid op lange termijn op hetzelfde hoge niveau houdt. Welke acties en investeringen plan je de komende kwartalen? Welke resources stel je daar tegenover? We laten onze systemen ook regelmatig testen door externe experts. En we werken samen met de KU Leuven aan research rond cyberveiligheid. Zo blijven we voortdurend op de hoogte van nieuwe technologische trends en evoluties, die ons nog beter kunnen wapenen tegen mensen met slechte bedoelingen.”

Photo by Stijn Vanderdeelen // STYN.be
Photo by Stijn Vanderdeelen // STYN.be

Haalbare en verteerbare veiligheidsregels

Van Hautte en een paar collega’s namen deel aan de masterclass ‘Cyberveilig in 30 stappen’ die Agoria in het kader van het industriepartnerschap organiseerde voor bedrijven. “Cybersecurity staat hoog op onze agenda, we nemen al heel wat veiligheidsmaatregelen. Die masterclass was een goede gelegenheid om te kijken of er misschien dingen zijn die we nog niét doen. Ze heeft ons ook geholpen om ons beleid rond cyberveiligheid op een heldere, behapbare manier te vertalen naar onze klanten.”

“Ik heb ook onthouden uit de masterclass dat je moet zorgen voor heldere én haalbare guidelines en regels. Sommige bedrijven, zeker grotere bedrijven, hebben dikke handboeken vol regels en richtlijnen rond cyberveiligheid. Maar niemand leest die. Medewerkers zetten hun handtekening onder ‘Gelezen en goedgekeurd’, maar ze hebben geen flauw idee wat er in die dikke lap papier staat. Je moet streng zijn, maar het moet ook haalbaar en verteerbaar zijn. Wat ben je met ultrastrenge regels die niemand kent en die dus ook niemand volgt? Toen de coronacrisis losbarstte en iedereen plots thuis moest werken, kreeg ik telefoon van een van onze mensen. Of hij zijn laptop mocht connecteren met het WiFi-netwerk bij hem thuis? Dat mocht, maar ik vond het geweldig dat ik die vraag kreeg. Veel bedrijven bouwen onveilige gewoontes op, omdat niemand dat soort vragen stelt.”