Wanneer is een digital agency enterprise-ready? Vijf criteria om jezelf eerlijk te beoordelen
Je hebt de vragenlijst ingevuld. Op de valreep, met collega's die hun lopende werk even opzij schuiven om te reconstrueren hoe toegangsbeheer eigenlijk geregeld is. De deal ging door. Prima. Maar ergens achteraf zat er iets: was dat nou enterprise-ready zijn, of was dat gewoon net de dans ontspringen? Want als de afdeling procurement van een andere klant volgende maand aanklopt, hoe staat het er dan voor?
Veel agencies werken al voor grotere organisaties, maar dat maakt ze nog niet enterprise-ready
Dit klinkt als een spitsvondigheid, maar het is het niet. Je kunt al jarenlang digitale producten bouwen voor corporates, publieke instellingen of grotere organisaties en tóch niet enterprise-ready zijn. Hoe kan dat?
Enterprise-readiness gaat niet over de kwaliteit van wat je levert. Een bureau dat fantastisch werk aflevert voor grote klanten kan nog steeds eenvoudig een vendor assessment verliezen. Een bureau met een middelmatige portfolio maar sterke interne processen passeert je dan probleemloos. De kwaliteit van je werk en de enterprise-readiness van je organisatie zijn twee afzonderlijke elementen waarmee je tegelijkertijd kunt winnen of verliezen.
Enterprise-klanten beoordelen namelijk altijd die twee dingen tegelijk. Ze beoordelen je werk (en daarin excelleren de meeste bureaus van nature). Maar ze beoordelen ook jouw organisatie: hoe is informatiebeveiliging geregeld, wie is verantwoordelijk, hoe beheer je toegang tot hun systemen? Dat tweede deel is precies waar enterprise-readiness over gaat. En dat heeft niets te maken met of je scherpe code schrijft of een snaarstrak design levert.
Wat een enterprise-klant eigenlijk wil zien, is aantoonbaarheid
Het is verleidelijk om te denken dat je enterprise-readiness oplost met goede intenties en technische maatregelen. Je developers werken netjes, toegang is redelijk geregeld, je hebt nog nooit een serieus incident gehad. Wat wil een klant dan nog meer?
Wat die klant wil is niet weten dat je het goed doet. Ze willen het zien.
GRC-afdelingen (Governance, Risk en Compliance) en Procurement-teams werken met processen en vragenlijsten. Ze beoordelen niet op gevoel of op reputatie, maar op bewijs. Wie heeft toegang tot onze omgevingen? Hoe is dat gedocumenteerd? Wat gebeurt er als er iets misgaat? Kun je laten zien hoe je jouw eigen leveranciers beoordeelt? Het gaat ze niet om de zorgvuldige developer die altijd twee-factor-authenticatie gebruikt, het gaat om de vraag of dat ook buiten zijn hoofd bestaat. Als beleid, als registratie, als iets dat standhoudt wanneer hij twee weken op vakantie is. Of vertrekt.
Dat is het gat waar de meeste bureaus invallen. Omdat ze nooit een structuur hebben gebouwd om wat ze doen ook aantoonbaar te maken, terwijl ze hartstikke lekker bezig zijn. Het verschil tussen "wij doen dat goed" en "wij kunnen dat laten zien" is precies waar enterprise-readiness over gaat.
Aan welke vijf criteria wordt een digital agency gemeten?
Wie een paar leveranciersvragenlijsten naast elkaar legt, ziet hetzelfde patroon terugkomen. De vragen verschillen per klant in toon en lengte, maar de onderliggende categorieën zijn opvallend consistent. Hieronder de vijf die er werkelijk toe doen.
1. Toegangsbeheer: geregeld én geregistreerd
Dit is veruit de meest bevraagde categorie. En de minst verrassende: jij hebt toegang tot systemen van je klant, dus wil die klant precies weten wie dat zijn, hoe die toegang is geregeld en wat er gebeurt als iemand uit dienst gaat of van rol wisselt. Een bureau dat hier direct op kan antwoorden (met documentatie) zet meteen de toon voor de rest van het gesprek.
Problematisch wordt het wanneer toegang wordt beheerd door mensen die het "wel weten", maar waarbij niets is vastgelegd. Processen die in hoofden zitten, bestaan niet voor iemand die dit beoordeelt.
2. Eén aanspreekpunt voor informatiebeveiliging
Er hoeft geen fulltime Security Officer te zijn. Maar er moet iemand zijn die de vraag kan beantwoorden. Dat klinkt laagdrempelig, maar in de praktijk zijn bureaus waarbij informatiebeveiliging impliciet bij de CTO zit, of waarbij het eigenlijk niemands specifieke taak is, aanzienlijk kwetsbaarder bij een beoordeling. Dat is dus niet omdat de intenties niet goed zijn, maar omdat een assessor ook een naam wil, een functie, een aanspreekpunt.
3. Incidenten worden vastgelegd, niet alleen opgelost
Iedereen lost incidenten op. Bureaus die enterprise-ready zijn, leggen ze ook vast: wanneer, wat, welke impact, wat er gedaan is, wat ervan geleerd is. Dat logboek is geen bureaucratische overhead, het is het bewijs dat je organisatie kijkt, leert en bijstuurt. Een beoordelaar die vraagt naar incidentbeheer en het antwoord krijgt "we lossen het altijd snel op", heeft onvoldoende informatie om positief te beoordelen. Goed bedoeld, maar onvoldoende voor enterprise-level.
4. Zicht op je eigen leveranciers
Enterprise-klanten kijken niet alleen naar jou, ze kijken ook naar wie jij inschakelt. Hostingpartijen, cloudplatforms, freelancers, tools met toegang tot klantdata. De vraag is eenvoudig: heb jij zicht op jouw eigen keten en hoe beoordeel jij die? Ketenverantwoordelijkheid stopt niet bij jouw voordeur. En die verwachting geldt dus ook voor jou als leverancier.
5. Je kunt een vendor assessment binnen twee weken beantwoorden
Dit is tegelijkertijd een criterium en een test. Niet doordat je de vragenlijst snel invult door intern alles te reconstrueren, maar doordat de informatie er gewoon al ligt. De bewijsstructuur is op orde, iedereen weet wie verantwoordelijk is, de antwoorden zijn consistent. Twee weken is dan ineens ruim genoeg, omdat je eigenlijk in een middag kunt aantonen wat er staat.
De meeste bureaus van 30 tot 100 fte scoren op twee van de vijf
Dat is eerlijk gezegd ook de verwachting. Bureaus van die omvang hebben zelden een volledige bewijsstructuur gebouwd, simpelweg omdat er nooit een aanleiding was. Toegangsbeheer zit in de hoofden van de juiste mensen, incidenten worden intern opgelost, er is geen formeel leveranciersregister. In de dagelijkse praktijk functioneert dat prima.
Het probleem is niet de score op zichzelf. Het probleem is het verschil tussen denken dat je op vier of vijf staat, terwijl je in werkelijkheid op twee staat. Dat verschil ontdek je pas op het slechtst denkbare moment: midden in een lopend salesproces, wanneer er ineens een e-mail binnenkomt van een naam die je niet kent, van een afdeling die je in het hele traject nog nooit hebt gesproken. Over dit patroon schreven we eerder uitgebreider in ons artikel over procurementvertragingen bij digital agencies.
Bureaus die dit scherp in beeld hebben en eerlijk naar zichzelf kijken, zijn al een stap verder dan de meeste. Herkenning is natuurlijk het beginpunt van elke verbetering..
Enterprise-ready worden begint niet met een ISO-traject
Een misverstand dat we regelmatig tegenkomen: het idee dat enterprise-readiness automatisch gelijkstaat aan het opstarten van een ISO 27001-certificeringstraject. Die verwarring is begrijpelijk: ISO 27001 is het meest herkenbare antwoord op dit soort vragen, maar het is niet het startpunt. Het is het eindpunt voor bureaus die structureel en schaalbaar enterprise-klanten willen bedienen.
In de praktijk begint de route namelijk met drie dingen die je vrij snel kunt oppakken.Breng eerst in kaart wat je kroonjuwelen zijn: welke diensten lever je precies, waar heb je toegang tot klantomgevingen, welke data raak je? Dat is de scope. Zonder dat weet je niet wat je eigenlijk te beschermen hebt en dus ook niet wat je te bewijzen hebt bij een assessment.
Bouw daarna een eenvoudige bewijsstructuur op: wie heeft toegang tot wat, waar worden incidenten vastgelegd, hoe ziet je leveranciersoverzicht eruit? Geen systeem van honderd pagina's beleid, maar een set documenten die eerlijk beschrijft hoe het er werkelijk aan toegaat. Beknopt en consistent is sterker dan uitgebreid en inconsistent.
En zorg voor een ritme. Security werkt niet als een eenmalig project. Bureaus die Procurement soepel doorlopen hebben het niet perfect op papier staan, ze hebben het proces structureel in de vingers. Maandelijkse controles, kwartaalreviews, een vast moment waarop toegang wordt gecontroleerd. Dat ritme is wat een beoordelaar eigenlijk wil zien: dat je organisatie leert en bijstuurt, niet dat je drie weken vóór een assessment alles even snel hebt opgepoetst.
De bureaus die dit op orde hebben, gebruiken het actief in hun salesproces
En dat is misschien wel het sterkste argument. Enterprise-readiness is geen vinkje dat je zet om te voldoen aan een klanteis. Het is een positie die je inneemt.
Wanneer een bureau een vendor assessment in twee dagen beantwoordt terwijl een concurrent er drie weken over doet, maakt dat indruk en heus niet alleen bij Procurement, maar bij iedereen aan klantzijde die het proces volgt. Het wekt vertrouwen nog voordat het project begint. En in trajecten waarbij meerdere bureaus worden vergeleken is dat verschil soms allesbepalend.
Security verschuift daarmee van de achterkant naar de voorkant. Van iets wat je oplost als het urgent wordt, naar iets wat je laat zien als het relevant is. De vraag is niet of enterprise-klanten ernaar gaan vragen, want dit soort vragen stellen ze gegarandeerd. De vraag is hoelang je nodig hebt om ze te beantwoorden.
Security voor Digital Agencies
ISO 27001 voor digital agencies die geen deals meer willen verliezen op security.