Het DNA van Insite Security Bij Insite Security zijn we trots op onze onderscheidende, soms eigenwijze, aanpak. Waar we voor staan en hoe we dingen doen, beschrijven we in dit boekje. We ‘ontrafelen’ het DNA van Insite Security en beschrijven wat ons uniek maakt. Dit boekje is bedoeld voor nieuwe medewerkers en iedereen die geïnteresseerd is in Insite Security.
We hebben ons laten inspireren door Voys. In 2014 publiceerden zij al de tweede versie van hun handboek, boordevol inzichten en goede voorbeelden. Bovenal ook leuk om te lezen.
3
Voor newbies Frisse blik
Maak hier gebruik van. Wees nieuwsgierig en stel gerust
Je bent nieuw bij Insite Security en daar zijn we heel blij
vragen. Gebruik hiervoor niet alleen je wegwijzer, maar ook
mee. Bij Insite Security willen we een leuke, inspirerende
andere collega’s.
werkomgeving bieden om het beste uit jou naar boven te halen. Toch kan het voorkomen dat er bepaalde procedures
Wees nieuwsgierig en stel vragen
of werkwijzen zijn ingesleten, waarvan je denkt: ‘Kan dat niet
Anders dan anders
beter of anders?’ Omdat jij met een frisse blik naar ons kijkt,
Het DNA van Insite Security is bedoeld om je een ‘zachte
vallen dit soort dingen je direct op. Hier maken we graag
landing’ te geven in ons bedrijf. We doen dingen namelijk
gebruik van: we dagen je uit om dit direct te melden en
een beetje anders dan anders en dat is best wennen. Dit
voorstellen te doen hoe we kunnen verbeteren.
boekje gaat niet over praktische zaken zoals hoe je een sleutel voor het kantoor kunt krijgen. Dat en nog veel meer kun je terugvinden op ons intranet.
Jouw wegwijzer
Erik Rutkens, oprichter en enthousiaste ondernemer
Je krijgt de komende tijd als newbie heel wat informatie te verwerken. Iedereen binnen Insite Security heeft een zogenaamde wegwijzer. Het woord zegt het al: dit is een collega die je wegwijs maakt in ons bedrijf.
5
Waar staan we voor? Insite Security wil de best mogelijke security dienstverlening leveren. We doen dit door mens, organisatie en techniek met elkaar te verbinden.
Plezier in je werk
Altijd samen
Bij Insite Security geloven we dat de klassieke hiërarchische
Onze missie Wij willen de nummer 1 zijn op de markt voor onafhankelijk informatiebeveiligingsadvies in Nederland. Het doel is uiteindelijk dat klanten het merk Insite Security zien als een kwaliteitsstempel. Insite Security verbindt de menselijke, organisatorische en technische kant van informatie beveiliging en voegt zo op een succesvolle manier waarde toe aan organisaties.
We geloven in een praktische en nuchtere aanpak: geen
organisatievorm heeft afgedaan. Wij hanteren een meer
theoretische beschouwingen en verhalen, maar concrete
‘democratische’ organisatievorm, waarin de nadruk ligt op
adviezen. Waar gewenst doen we ook de realisatie.
samenwerking, autonomie, vakmanschap en vooral plezier
• Wij verlenen diensten op het gebied van informatiebeveiliging.
hebben in je werk.
• Wij onderkennen en combineren mens, organisatie en techniek.
We zijn ervan overtuigd dat we onze klanten het best bedienen met innovatieve oplossingen op het gebied van informatiebeveiliging. Dit doen medewerkers niet alleen,
De klant staat centraal
maar altijd samen. Binnen Insite Security werken de slimste
Een belangrijke reden dat we bijna geen management
en beste mensen in hun vakgebied in kleine groepen samen.
hebben en maar één functie kennen, is omdat de klant bij
We doen er alles aan om de beste professionals te vinden die
Insite Security centraal staat. We willen dat iedereen zo dicht
passen binnen onze cultuur.
mogelijk bij de klant staat.
6
• Wij profileren ons als dé security organisatie van Nederland.
• Wij ondersteunen organisaties ‘van board tot byte’.
Insite Security is een zelfsturende organisatie, waarbinnen kleine teams met ervaren en slimme mensen met elkaar samenwerken, elkaar stimuleren en klanten inspireren.
7
Hoe doen we dat? We willen een autoriteit worden op het vakgebied waarin we actief zijn. We ontwikkelen nieuwe dienstverleningsconcepten. We hebben een frisse blik, denken anders, hebben een mening en vernieuwen continu. Om dit mogelijk te maken, hebben we een aantal waarden gedefinieerd:
Onze waarden
• • • • • •
We We We We We We
zijn nuchter en betrokken hebben persoonlijk en gelijkwaardig contact zijn eerlijk, transparant en hebben respect voor elkaar leveren innovatieve diensten vernieuwen continu streven persoonlijke ontwikkeling na
9
We zijn eerlijk, transparant en hebben respect voor elkaar
We leveren innovatieve diensten
We vernieuwen continu
We ontwikkelen nieuwe diensten rond de wens van de klant.
iemand in het bedrijf een goede tool vindt die het werken
theoretische beschouwingen en verhalen, maar concrete
We zijn een transparante organisatie. Onze facturen zijn
Vaak bedenken we de diensten zelf, omdat de klant nog geen
leuker en makkelijker maakt, dan is er een goede kans dat we
adviezen. Een klant van Insite Security heeft altijd direct
simpel en duidelijk. Onze klanten kunnen elke dienst direct
idee heeft van wat hij of zij wenst. Heeft de klant een idee
de tool gaan testen en gebruiken.
contact met de persoon waarmee hij zaken doet:
beëindigen; we kennen geen minimale contractduur.
waarmee onze diensten verbeterd kunnen worden, dan gaan
We zijn nuchter en betrokken We geloven in een praktische en nuchtere aanpak: geen
Insite Security bestaat door continue verandering. Als
we hier direct mee aan de slag.
“What you see, is what you get”.
Iedereen in de organisatie, en dan bedoelen we echt
Het is onze ambitie om reviews van onze klanten, goed en
We hebben persoonlijk en gelijkwaardig contact We houden van persoonlijk contact met onze klanten en
iedereen, kan veranderingen doorvoeren in procedures als
slecht, direct online te zetten. Als we iets fout doen, dan
We bewandelen geen gebaande paden, maar zetten de route
vertellen we dat aan de klant. Geen ‘Ik zie je mailtje net’
uit. Een voorbeeld is de manier waarop we penetratietesten
of ‘Daar ben ik druk mee bezig’, wanneer dat niet waar
zien. Een penetratietest is een ‘commodity’. We hanteren
is. Eerlijk en transparant, altijd! Onze openheid en onze
een commodity prijs. Wij onderscheiden ons doordat we aan
transparantie gelden ook intern.
de hand van een norm inzichtelijk maken wat we doen en
hij een betere manier vindt om het werk uit te voeren.
We streven persoonlijke ontwikkeling na
hoe we het doen. Ook als we niets vinden.
met elkaar. Het is een van de onderdelen die ons werk zo leuk maakt. We werken zo veel mogelijk samen voor onze
Mensen willen lol hebben in hun werk én groeien als
klanten en proberen hen altijd zo goed mogelijk te helpen.
persoon. Daarom heeft iedereen de beschikking over
We behandelen de klant altijd zoals wij zelf behandeld willen
ontwikkelgeld: € 1.500 die je jaarlijks zelf mag uitgeven en
worden en dit verwachten wij ook van de klant.
€ 1.000 die we als organisatie gezamenlijk per medewerker besteden.
10
11
Het Insite Security-model Minimaal management
We hebben daarom één profiel dat voor iedereen gelijk is.
Onze organisatie is plat, heel plat. Het is een netwerk
Binnen dit profiel onderscheiden we de niveaus starter,
organisatie. Wij geloven in de kracht, oftewel het talent en
deskundige en specialist.
de verantwoordelijkheid, van het individu. Doen wat je leuk vindt en waar je goed in bent. Hier past geen hiërarchie bij.
Innovatie
Wij hebben dus geen klassieke managers of bazen.
Innovatie is belangrijk om de business waarin we actief zijn
Doe wat je leuk vindt
Klankborden is een wezenlijk onderdeel van ons werk.
structureel te veranderen. Iedereen kan naast zijn of haar
Het is heel prettig om een opdracht of probleem met een
werk een project of een activiteit starten om een nieuwe
ervaren collega te bespreken of eens vanuit een andere
dienst te ontwikkelen, bestaande diensten te verbeteren
invalshoek te kijken. Grotere teams hebben een trekker,
of de manier waarop we werken te vereenvoudigen. We
of misschien beter gezegd een ondersteuner. Dit is niet de
werken niet met een formele procedure voor het aanvragen
eindverantwoordelijke, maar degene die collega’s begeleidt
van een innovatief project en steken vooraf niet heel veel
en hen helpt met het doorhakken van knopen.
moeite in de business case. Een algemene regel is dat elke innovatie ons 1% beter moet maken, of de business waarin we actief zijn een beetje mooier.
13
Jaarplan
Maandelijkse pizzasessie
Insite/Outside-dagen
We zijn en blijven natuurlijk wel een bedrijf. Onder aan de
Elke eerste donderdag van de maand (of een willekeurige
De Insite/Outside-dagen, oftewel de I/O-dagen, zijn heilig.
streep willen we wel geld verdienen. Om hier samen richting
andere donderdag die beter uitkomt) hebben we een
Of het nu goed of slecht gaat: één keer per jaar gaan we met
aan te geven, maken we een jaarplan. Hierin nemen we
werkoverleg oftewel pizzasessie.
het hele bedrijf twee dagen op pad. Doel is vooral om twee
onze gezamenlijke doelen en prestatie-indicatoren op. Ook
leuke, gezellige dagen met elkaar te hebben. Eigenlijk een
blikken we in dit plan terug op het afgelopen Insite-jaar. De voorbereiding van het plan doen we in het strategisch
In korte sessies vertellen verschillende collega’s waar ze mee
jaarlijks feestje om niet te vergeten dat we zo’n leuk bedrijf
bezig zijn. Waar zijn we trots op, waar staan we en waar gaan
zijn.
we naartoe?
overleg. We hebben vier keer per jaar een strategisch overleg. Twee van de overleggen staan in het teken
Dat kan betrekking hebben op lopende projecten, plannen
van het jaarplan. De andere twee overleggen worden
of resultaten van de teams, toffe nieuwe ideeën, enzovoort.
ingevuld naar behoefte. In het algemeen gaat het over
Het kan ook zijn dat je het prettig vindt dat die ene collega
grote veranderingen. De samenstelling van het overleg is
eens vertelt wat hij nu precies doet. Vraag hem of haar
wisselend.
eens om er in een pizzasessie dieper op in te gaan. En ben je een project gestart of heb je juist een fantastisch
De status en voortgang van het jaarplan bewaken we
project afgerond deze maand? Tijdens de pizzasessie
maandelijks in het tactisch/operationeel overleg. De actie-
enthousiasmeer je je collega’s.
en besluitenlijst van dit overleg is voor iedereen inzichtelijk. We eten tijdens zo’n sessie pizza. Niet omdat dit gezond is, maar gewoon, omdat we dat lekker vinden.
14
15
Jouw ontwikkeling
We geven elkaar feedback
Je hebt al kunnen lezen dat we eerlijk en transparant zijn. Eigenlijk zou je kunnen zeggen dat dit de sleutelbegrippen zijn in een platte netwerkorganisatie. Voor je ontwikkeling is het van belang dat collega’s eerlijk, open en transparant zijn in de feedback. Waar ben je goed in? Wat kan beter? Binnen Insite Security geven collega’s elkaar gevraagd en ongevraagd feedback. Elk jaar leg je in een ontwikkelplan – wees gerust, dit
Om alles een beetje in balans te brengen, geef jij je collega’s
is een A4’tje – vast hoe je je op de gebieden financieel,
ook feedback. De feedback is transparant, dus wil je daarna
klant, kennis en processen wilt ontwikkelen. Hiervoor
sparren met een collega over de feedback, dan kan dat.
hanteren we een ‘balanced scorecard’. Twee keer per jaar ga je met twee collega’s om tafel om aan de hand van de
De ontwikkelgesprekken zijn bedoeld om je kennis en
door jou gedefinieerde doelen en prestatie-indicatoren je
vaardigheden te versterken en dragen bij aan je zelfkennis.
ontwikkeling te bespreken. Je collega’s, met wie je vaak
De ontwikkelgesprekken zijn geen beoordeling.
intensief samenwerkt, geven dan aan wat je kunt verbeteren en op welke gebieden zij vinden dat je excelleert. 17
Beoordelen doe je zelf
Teams
Aan het einde van het jaar kijk je terug op wat je hebt bereikt, of misschien ook op wat je niet hebt bereikt en wat je wel graag had willen bereiken. Je beoordeelt jezelf. In je beoordelingsdocument geef je aan of jij vindt dat je onvoldoende, goed of uitmuntend hebt gepresteerd. Vervolgens ga je een gesprek aan met twee collega’s die je helpen met het aanvullen van je beoordelingsdocument om
Insite Security heeft verschillende teams. Vanuit hun interesse, kennis en kunde groeperen de professionals van Insite zich. Zo kunnen ze informatie uitwisselen over hun vakgebied en tussen de verschillende disciplines.
daarmee tot het beste eindoordeel te komen. Zo kun je je ontwikkelen van starter, naar deskundige tot specialist. Door
Er staan geen schotten tussen de teams. De indeling is puur
maken van de invloed van hun eigen handelen op de
bepaalde doelen te bereiken, groeit ook je salaris.
uit praktische overweging, omdat er in grote groepen met
informatiebeveiliging. Medewerkers worden klaargestoomd
verschillende achtergronden minder slagkracht is. Daarom
om correct met bedrijfsinformatie om te gaan en de
doen we het zo. Teams kunnen in de loop van de tijd
gevaren van het internet te weerstaan. Ze gebruiken
wisselen van samenstelling, net hoe we dat zelf willen.
daarbij een diversiteit aan diensten. Dat kan beginnen bij een social engineering-onderzoek en phishingtest om de medewerkers te testen. Maar ook onze Alcatraz-game en
Team Mens
e-learningmodules kunnen medewerkers aan het denken
In team Mens zitten opleidingskundigen, organisatie
zetten en sturing geven.
psychologen en social engineers. Zij nemen de medewerkers van onze klanten onder handen, om ze meer bewust te
18
19
Team Organisatie
Insite Audit
Andere aandachtsgebieden
Ons team Organisatie bestaat uit security officers en
Insite Audit is ons onderdeel dat audit- en assurancediensten
Een aantal belangrijke aandachtsgebieden zijn nog niet
adviseurs. Onze security officers zijn belangrijke steunpilaren
levert. Onze IT-auditors houden zich bezig met diverse audit-
benoemd: onze eigen ICT, mens en organisatie, strategie,
voor onze klanten. Nuchter, betrokken en vooral heel
en assurance-vraagstukken: van het uitvoeren van security
marketing, communicatie, facturering en de financiële
klantgericht. Zij vervullen de rol van security officer in
audits tot assuranceverklaringen, zoals DigiD-assessments,
administratie.
dienstvorm bij de klant en ontsluiten daarmee de volledige
TPM’s en ISAE3000/SOC2-verklaringen tot ISAE3402-
kennis van het hele Insite-team. De adviseurs houden zich
verklaringen.
bezig met diverse werkzaamheden: van het uitvoeren van
Associates
risicoanalyes tot IAM-projecten en het implementeren van
Sinds de start van Insite Security werken we met associates.
Sales & support
ISO 27001. In feite zijn we natuurlijk allemaal adviseurs.
Insite wil voor de associates van toegevoegde waarde
Sales doen we ook. Af en toe maken we gebruik van een
zijn. Dit geldt ook andersom: een associate moet ons ook
‘bel-Bart’. Sales richt zich op new business. Zodra een
meerwaarde kunnen brengen. Naast een flexibele schil zijn
organisatie klant is, dragen de salestijgers de klant over aan
de associates vooral ook een leuke groep mensen, waarbij de
De hackers in ons team Techniek zijn eigenlijk meer dan
een adviseur. Vanaf dat moment beheert de adviseur de
persoonlijke klik het belangrijkste criterium is en we over en
hackers. Ze kunnen niet alleen infrastructuren, (web)
relatie. Knuffelen noemen we dat.
weer streven naar het uitbouwen van elkaars netwerk.
Team Techniek applicaties en mobiele apps stuk maken. Nog beter zijn ze in het meedenken en ‘hands on’ helpen van onze klanten.
Last but not least. Support. Zij zijn er voor jullie (en onze
Dit zien we terug in hun gestructureerde rapporten en in de
klanten) en helpen je bij van alles, om je werk zo leuk en
lovende recensies van klanten.
gemakkelijk mogelijk te maken.
20
21
Praktisch Je werkplek
Wat niet mag, is 24x7 aan het werk zijn. Je wordt betaald
Niemand heeft een vaste werkplek. Wel zien we in de
voor een x aantal uur. Dat aantal uur werk je dus ook. Niet
praktijk dat teams en mensen die samen een opdracht
meer en niet minder. Werk je af en toe een keer een paar uur
uitvoeren elkaar opzoeken. Ook hebben we een echt
extra? Prima! Deze uren mag je zelfs terugnemen op andere
hackershok gemaakt. Hier zitten de hackers meestal bij
momenten. Werk je structureel meer uren, dan doe jij iets
elkaar. Niet iedereen heeft toegang tot deze ruimte. Dit
fout of er staat iets niet goed in je contract ;-)
heeft te maken met de aard van de werkzaamheden en de
Kom je afspraken na
apparatuur in de ruimte. Practice what you preach.
Je laptop
Je mag thuis werken. En we werken natuurlijk veel bij
Iedereen krijgt zodra hij of zij in dienst treedt een MacBook.
onze klanten op locatie. In de praktijk werken we graag op
Deze is standaard voorzien van de meest voorkomende
kantoor. Dit stimuleren we ook. Het is er erg gezellig en
software. Heb je iets nodig waarvoor een licentie nood
communicatie is vaak face-to-face en ad hoc.
zakelijk is, loop dan even langs bij support. Je mag je laptop ook privé gebruiken.
23
Arbeidsvoorwaarden
Tijden
Naast de laptop krijg je van ons ook een mobiele telefoon in
Eigenlijk kennen we geen werktijden. Jij bepaalt wanneer je
bruikleen. Die heb je gewoon nodig om contact te houden
werkt. Belangrijk is wel dat je de afspraken met klanten en
met je klanten en collega’s – simpel. Ook de andere arbeids
collega’s nakomt. Zowel in Amsterdam als Groningen kun je
voorwaarden zijn in orde als je bij ons aan de slag gaat.
24x7 terecht. In de praktijk zijn de meeste collega’s ergens
Overige zaken Wat moet je allemaal nog meer weten?
tussen 7:30 en 18:30 uur op kantoor (of dat nu bij ons is of bij Naast de maandelijkse, vaste beloning kennen we een
de klant).
jaarlijkse individuele prestatiebeloning en een bonus
Vrijdagmiddagborrel
Dashboard
First things first. De vrijdagmiddagborrel. Best lastig, maar
Op het intranet houden we een dashboard bij (op basis van
Koffie wordt door veel bedrijven niet serieus genomen. Bij
één keer per maand hebben we een vrijdagmiddagborrel.
koppelingen met de belangrijkste interne applicaties). Hier
veel van onze klanten staan grote machines waar – excusez
We vieren dan de verjaardagen van de collega’s die de
kun je bijvoorbeeld zien wat de laatste vijf opdrachten zijn
le mot – smerige, waterige drab uitkomt. Onze klanten
afgelopen maand jarig waren.
die we hebben gewonnen. Wie welke opdracht uitvoert.
regeling. De bonus wordt uitgekeerd als de brutowinst meer
Nespresso en de snackbox
dan € 100.000 bedraagt en bestaat uit een collectief deel, en een individueel, prestatiegericht deel. Je kunt de bonus laten uitkeren of omzetten in aandelen van ons bedrijf.
bevestigen dit overigens. Wij drinken daarom goede koffie. In
Hoe we worden beoordeeld door onze klanten. Hoe we er
Je hebt al gezien dat we jouw ontwikkeling belangrijk vinden.
je leven drink je de meeste koffie op je werk. Laat deze dan
We merken dat de collega’s met jonge kinderen of de
financieel voor staan. Maar ook wie er jarig is, enzovoort.
Daarom zijn er volop (interne) opleidingsmogelijkheden en
vooral ook heel, heel goed zijn.
collega’s die niet in Groningen wonen niet altijd aanwezig
Insite Security in één oogopslag.
(door)groeimogelijkheden. Maar vrije tijd is ook belangrijk
Ook denken we aan de innerlijke mens. In de omgeving
zijn. Dit is ook helemaal niet erg. De regel is dat je ten minste
dus je krijgt 30 vakantiedagen (bij een fulltime dienstverband
van kantoor zijn genoeg leuke plekken om te lunchen. Bij
twee keer per jaar aanwezig bent. Een mooi moment om te
van 36 uur). Een flexibel individueel ouderdomspensioen,
voorkeur doen we dit met een of meerdere collega’s. Mocht
genieten van een lekker biertje, een goed glas wijn en een
overlijdensrisicoverzekering, ANW-hiaatverzekering,
de lunch er een keer bij inschieten, of heb je (lekkere) trek,
borrelhapje. Maar vooral een mooi moment om je collega’s
flexibele werktijden en voordelig fitnessen maken het
dan staat er een rijk gevulde snackbox op kantoor. Let wel,
beter te leren kennen.
arbeidsvoorwaardenpakket compleet.
overdrijf het niet.
24
25
Communicatie
Het voorgaande buiten beschouwing gelaten, blijft direct
Interne communicatie vinden we lastig. En dat is het ook.
contact het mooist. Af en toe je neus laten zien op kantoor of
We zijn allemaal druk. Veel onderweg. Dan weer hier, dan
een collega bellen met een nieuwtje of om te vragen hoe het
weer daar. Communicatie schiet er dan wel eens bij in.
gaat. Zo willen we met elkaar omgaan.
Toch proberen we dit op allerlei manieren te verbeteren, bijvoorbeeld met onze nieuwsbrief de Insite Insider en de
Sport
maandelijkse pizzasessies die we eerder al noemden.
Sport bindt ons. Actief en passief. We gebruiken sport als Als je hier komt werken, word je in de Telegram-groep gezet.
belangrijk instrument om de relaties met klanten te beheren.
Hierin worden allerlei belangrijke en minder belangrijke
Regelmatig nemen we klanten mee naar wedstrijden van
Insite Security-zaken geplaatst die snel moeten worden
Donar of FC Groningen. Maar we sporten ook samen. Fietsen
besproken of opgelost, of die gewoon leuk zijn om te delen.
vooral. Dit is overigens geen verplichting :-)
Is dat handig? Soms. Krijg je dan veel berichten? Ja. Zijn die berichten nuttig? Soms. Is het leuk? Ja. Verder kun je op intranet allerlei zaken plaatsen waar we trots op zijn en andere mededelingen, linkjes en dergelijke die geen ad hoc karakter hebben. Dit zogenaamde microblog verschijnt ook op het dashboard. Daarnaast kun je natuurlijk ook gebruikmaken van mail. Er is een mailinglijst waarmee je alle medewerkers kunt bereiken.
26
27
Beveiliging binnen Insite Wij zijn informatiebeveiliging. Dit betekent dat we informatie beveiliging zelf ook serieus nemen en streven naar een ISO 27001certificaat in 2016. In de eerste plaats ben je zelf verantwoordelijk. Daarnaast krijg je een aantal hulpmiddelen om informatie te beveiligen. En, sorry, we dwingen een aantal zaken af:
Practice what you preach
• De harde schijf van je laptop is versleuteld met FileVault. • Naast een wachtwoord gebruik je ook je Yubikey om in te loggen op je laptop. • Wachtwoorden sla je op in LastPass. • Je gebruikt voor je mail, agenda en documenten two-factor authentication. • Klantinformatie is geheim: collega’s hebben toegang op een need to know-basis. • Je bent integer en ethisch. Je houdt je aan de leidraad responsible disclosure van NCSC.
29
Tot slot Je krijgt veel vrijheid en verantwoordelijkheid. Als je het ‘waarom en hoe’ van Insite Security in je achterhoofd houdt en de waarden van de organisatie als handleiding hebt, neem je snel de goede beslissing. Geniet van je tijd hier!
Geniet! 31
Heb je opmerkingen of aanvullingen? Geef het door aan onze backoffice – daar worden we blij van.
Groningen, december 2015
www.insitesecurity.nl 32
Van dit DNA-boekje bestaat ook een versie speciaal voor (potentiële) klanten.
Het DNA van Insite Security is een levend document.
