Wat een goed gesprek met een security-adviseur eruit ziet
Een eerste gesprek dat iets oplevert herken je aan gedrag, niet aan slides: diagnose vóór oplossing, eerlijke belang-transparantie, en een vertrek-pad dat vanaf minuut één benoemd wordt
Een goed eerste gesprek met een security-adviseur is een gesprek waarin de diagnose voorgaat op de oplossing, het belang van de adviseur op tafel ligt voordat een aanbeveling wordt gedaan, en het vertrek-pad besproken wordt voordat over de aankomst gepraat wordt. Het is geen demo, het is geen kennismaking met een propositie, het is geen pitch met een opening, een middendeel en een sluit. Het is een werkgesprek waarin de adviseur eerst probeert te begrijpen wat er bij jou aan de hand is, daarna pas zegt wat hij denkt, en het werkt of niet werkt zichtbaar maakt voordat je iets tekent. Wat een goed gesprek is, is daarmee in een zin gedefinieerd, en alles wat hierna volgt is uitleg waarom dat de juiste meetlat is en hoe je hem in het gesprek zelf gebruikt.
De manier waarop dat gesprek loopt, voorspelt meer over de samenwerking dan de offerte die erop volgt. Een offerte is een onderhandeld document, een gesprek is gedrag dat moeilijk te ensceneren is. Wat hier volgt is geen scoringsformulier maar een gedragsbril: vier herkenningspunten in volgorde van het gesprek, gevolgd door wat ze betekenen voor de inkoopbeslissing die je daarna maakt.
Wat zou een goed eerste gesprek eigenlijk moeten doen?
Een eerste gesprek heeft drie taken, en ze zijn alle drie diagnostisch, niet commercieel. De adviseur probeert te begrijpen waar jouw organisatie staat, jij probeert te beoordelen of deze adviseur je verder helpt, en samen ontstaat het beeld of het zinvol is een tweede gesprek te plannen. Niets in die drie taken vraagt om een productpitch. Niets vraagt om een case-deck. Niets vraagt om een lijstje van logos op pagina drie.
Dat klinkt voor de hand liggend en is het in de praktijk niet. Veel eerste gesprekken in de Nederlandse cybermarkt zijn structureel gebouwd als demo of als propositie-presentatie, omdat de incentives van de leverancier dat zo richten. De adviseur die in een uur zijn doelstelling moet halen, gaat sturen. De CISO die binnen drie weken een keuze moet maken, laat zich sturen. Het gesprek loopt soepel en je hebt naderhand het gevoel dat er weinig is gewisseld dat je niet ook uit een productbrochure had kunnen halen. Dat is geen toeval, dat is hoe het ontworpen is.
Het NCSC merkt in zijn handreikingen voor het inkopen van cybersecurity-diensten op dat de kwaliteit van een traject zich grotendeels al laat aflezen aan de mate waarin de leverancier vooraf bereid is om eerst een feitelijke probleemanalyse te doen voordat hij scope en prijs noemt. Dat is geen vrome wens, dat is een patroon dat consistent verschil maakt tussen trajecten die landen en trajecten die niet landen. Een goed eerste gesprek begint dus niet met een aanbod, maar met een vraag waarvan het antwoord nog niet vaststaat.
Welke signalen vertellen je in vijftien minuten of dit gaat werken?
De gedragssignalen zijn in volgorde van het gesprek herkenbaar. Geen van de vier vraagt vakkennis om te toetsen, ze vragen aandacht.
De eerste tien minuten gaan over jouw situatie, niet over hun aanbod. De adviseur stelt open vragen over wat er bij jou speelt, welk vraagstuk je in het gesprek hebt meegebracht, wat er aan voorafging, en hoe het in jouw landschap ligt. Hij verzamelt feiten voordat hij een oordeel uitspreekt. Een adviseur die binnen drie minuten bij een productcategorie of een methodologie aanlandt, heeft de zin in jouw vraag herkend als trigger voor wat hij toch al wilde verkopen. Dat is geen kwade wil, het is een ingebakken reflex die de diagnose doodt voordat ze begint.
Vragen die dieper gaan dan symptoom-niveau. Een adviseur die alleen vraagt wat je probleem is, krijgt wat de business-case op pagina één vertelt. Een adviseur die vraagt wat eronder zit, waarom je dit nu adresseert en waarom niet vorig jaar, wie het in de organisatie draagt en wie het tegenwerkt, krijgt waar het probleem werkelijk zit. Dat tweede gesprek hoort in het eerste gesprek thuis. Als het uitblijft, is de aanbeveling later gebaseerd op de probleemstelling zoals jij die zelf al had, en dan koop je consultancy die niets toevoegt aan wat je intern al wist.
Belangen worden uit zichzelf benoemd. Op het moment dat een richting zichtbaar wordt waarin een aanbeveling gaat ontstaan, vertelt een goede adviseur ongevraagd wat hij verdient als die richting gekozen wordt. Implementatie-marge, licentie-kickback, doorverkoop, vervolgopdrachten in een specifiek programma. Niet aan het eind, niet in het kleine letters van de offerte, maar op het moment dat de richting in beeld komt. Dit is de gedragstoets die je niet kunt forceren. Wie hier wegduikt achter "wij zijn vendor-onafhankelijk" heeft de vraag al beantwoord zonder hem te beantwoorden.
Het vertrek-pad wordt vroeg benoemd, niet aan het eind. Een senior adviseur vertelt vanaf het begin hoe deze opdracht zou eindigen: wanneer jouw organisatie zelf verder kan, welke kennis daarvoor moet zijn overgedragen, en aan welke uitkomsten je dat kunt aflezen. Een adviseur die alleen aankomst beschrijft en geen vertrek, ontwerpt een doorlopende relatie. Dat kan een keuze zijn die je bewust maakt, maar dan moet hij ook bewust zijn. Een vertrek-pad dat pas in gesprek drie ter sprake komt, is een vertrek-pad dat er feitelijk niet is.
Deze vier signalen lopen in volgorde langs het gesprek. Wie ze leest, weet halverwege of het tweede gesprek de moeite waard is, zonder daarvoor naar een referentielijst of een offerte te hoeven kijken.
Wat hoort een goed gesprek nadrukkelijk niet te doen
Een goed eerste gesprek vermijdt drie dingen die comfortabel voelen en de diagnose ondergraven. Het is nuttig om ze expliciet te benoemen, omdat ze in de markt als kwaliteit verkocht worden terwijl ze het tegenovergestelde signaleren.
Geen productdemo in het eerste gesprek. Een demo voorspelt niets over de match met jouw situatie, ze laat alleen zien dat het product bestaat en werkt op iemands laptop. Een adviseur die in het eerste gesprek een demo aanbiedt, vertelt je dat zijn product de ingang van de relatie is. Daarmee is de volgorde al omgedraaid voordat de diagnose begonnen is.
Geen referentielijst als bewijs zonder context. Logo's van bekende klanten op een slide vertellen je niet of die klanten een vergelijkbaar vraagstuk hadden, of die opdrachten zijn afgemaakt, en of de uitkomst is gehaald. Een goede adviseur noemt één of twee situaties die op die van jou lijken, vertelt wat er werkte en wat niet, en kan met namen en omstandigheden teruggrijpen op werk dat door is gegaan tot vertrek.
Geen prijs zonder scope, en geen scope zonder diagnose. Een adviseur die in het eerste gesprek al een indicatieprijs noemt voor een traject waarvan de scope nog niet vaststaat, koopt zijn manoeuvreerruimte. De prijs zal in de offerte hoger zijn, of de scope zal in de uitvoering smaller worden. Beide patronen zijn beschreven in ENISA-publicaties over inkoop van cybersecurity-diensten, en beide patronen vermijdt een senior adviseur in een eerste gesprek door simpelweg te zeggen dat hij die uitspraak nog niet kan doen.
Wat dit betekent voor wie het gesprek voert
Voor de CISO is de bruikbare conclusie dat het eerste gesprek de meeste informatie geeft die je krijgen kunt voordat er geld op tafel ligt. Behandel het als toetsmoment, niet als kennismaking. Stel een open diagnose-vraag zonder context te geven, kijk wat er gebeurt in de eerste tien minuten, en let op de momenten waar belangen op tafel komen of niet. Voor de CIO is de toets dezelfde, met een ander accent: kan deze adviseur het werk vertalen naar de architectuur die er staat, of probeert hij de architectuur naar zijn werk te buigen. Voor de CFO is de toets nog simpeler. Een adviseur die in het eerste gesprek niet eerlijk is over wat hij verdient aan zijn eigen aanbeveling, gaat dat later ook niet zijn. Voor Operationele teams is de toets praktisch: krijg je iemand die snapt hoe het werk feitelijk loopt, of krijg je iemand die een referentiearchitectuur over jouw operationele realiteit heen plant.
Een goed eerste gesprek levert geen verkoop op. Het levert een beslissing op of een tweede gesprek de moeite waard is. Dat is een lagere lat dan veel adviseurs zichzelf opleggen, en juist daarom een betrouwbaarder signaal. Wat dit alles voorspelt, is wat je later in de uitvoering terugziet: een adviseur die in minuut tien al sprong naar zijn oplossing, springt in maand drie op precies dezelfde manier over jouw realiteit heen. Een adviseur die in het eerste gesprek transparant is over zijn belang en zijn vertrek-pad, draagt die transparantie ook door de rest van het traject. Het gesprek is geen voorportaal van het werk, het is een eerste monster ervan.