Ubizen gaat spannende tijden tegemoet

Bruno Leijnse Redacteur bij Trends

Als deel van Cybertrust is Ubizen beter gewapend tegen de concurrentie in beveiligingsdiensten. Dat is erg welkom. Maar ook Cybertrust is nog te klein om alleen door te gaan in de huidige consolidatietrend. Wat hangt Stijn Bijnens nog boven het hoofd?

Stijn Bijnens, Manager van het Jaar 1999, werkt sinds de overname van Ubizen door Cybertrust voor het eerst in zijn leven voor een baas. Het verschil? Veel conference calls. Elke maand met American Airlines voor een week naar het hoofdkwartier van Cybertrust in Herndon (Virginia, VS). Elke drie maanden de trip van 27 uur enkele reis naar Melbourne (Australië), waar Ubizen één van zijn drie ‘bunkers’ heeft.

De Ubizentopman heeft al enig begrip ontwikkeld voor voormalig Microsoft countrymanager Bruno Segers, die de resultaatgerichtheid van Amerikaanse bedrijven apprecieert, maar niet hun kortetermijndenken. Bijnens: “De Amerikaanse stijl is zeer financieel. Beslissingen gebeuren vaak puur vanuit de vraag: wanneer komt de cash? Een Europeaan heeft dan weer de neiging om naar de andere kant over te hellen en voorrang te geven aan de business. Uiteraard zoek je best een evenwicht.”

Onafhankelijke positie

Ubizen is geen nieuws meer sinds het vorig jaar na een incidentrijke strijd in handen van Cybertrust viel, dat zelf de vrucht is van een reeks acquisities door One Equity Partners, een Amerikaans investeringsfonds van 2,5 miljard dollar uit de fusiegroep van Bank One en JP Morgan Chase. Bijnens is nu de nummer vier van Cybertrust, na CEO John Becker, technisch directeur Peter Tippett en financieel directeur Jim Murphy. In 2005 leverde Ubizen 160 van de 850 personeelsleden en bijna 35 % van de 155 miljoen dollar omzet van de groep. Symbolisch misschien, maar toch: Ubizen is ook het enige filiaal dat geen Cybertrust in de naam draagt. Dat blijft zo totdat de Amerikaan beslist om de 4,2 % minderheidsaandeelhouders van Ubizen uit te kopen en de Belg van de beurs te halen. Tot die tijd ook blijven de drie onafhankelijke bestuurders aan boord en geniet Ubizen een sui generis-statuut binnen de groep. Cybertrust is ook geen typisch Amerikaans bedrijf, vindt Bijnens. “Onze omzet is telkens voor een derde gespreid over Amerika, Azië en Europa. Het grootste onderzoeks- en ontwikkelingscentrum van de groep zit hier in Leuven. En in het directiecomité van zeven zitten er twee Europeanen en één Australiër. Met het evenwicht valt het dus wel mee.”

Australiërs bestellen in Leuven

Als senior vicepresident identity management is Bijnens nu verantwoordelijk voor een van de meest dynamische takken van de groep, goed voor ongeveer 30 % van de omzet. Daarnaast heeft Cybertrust een praktijk in compliance, het toetsen van beveiliging aan een lange reeks standaarden. De hoofdbrok blijft de bescherming van kritische gegevens door permanente inbraakdetectie en -preventie. Cybertrust verkoopt daarvoor producten, maar de klant kan die taak ook uitbesteden als een dienst, de zogenaamde managed security services. In dat geval komt de opdracht bij Ubizen terecht. “Het is de klassieke Ubizenbusiness, met permanente monitoring vanuit onze drie bunkers wereldwijd. Daarvoor is er geen concurrerend aanbod binnen Cybertrust. Als ons Australische verkoopkantoor daarvoor een contract sluit, geven ze dat door aan ons,” zegt Stijn Bijnens.

Cybertrust bracht zijn eigen managed security services, net als zijn knowhow in identiteitsbeheer, in februari 2005 in bij Ubizen, dat nu meer dan driekwart van zijn omzet uit managed security services haalt. Geografisch blijft het bereik bescheiden. Liefst 67 % van de Ubizenomzet komt uit de Benelux, de rest hoofdzakelijk uit de VS.

“Het is een aangename, maar ook een moeilijke markt. Als je een contract tekent om drie jaar lang beveiligingscomponenten te beheren, duurt het zes maanden tot een jaar voor je het management van die apparatuur hebt overgenomen. Pas dan komen de inkomsten. Je bouwt dus een portefeuille op. Het draait erom dat je met je operations center meer klanten kan bedienen en dat je kosten minder snel groeien dan je omzet. Onze brutomarge op managed security is nu boven 50 % ( nvdr – bijna 59 % in het jongste kwartaal). We hebben nu voldoende kritische massa om de basisinfrastructuur te financieren.”

Advies op hoog niveau

Toch blijven er wolken hangen boven het schitterende Ubizengebouw op de Leuvense Philipssite. De vergelijkbare omzet lag in het jongste kwartaal 12 % lager dan een jaar geleden. De bedrijfskasstroom was 1,9 miljoen euro negatief, wat betekent dat Ubizen de kans liep om met zijn resterende 1,64 miljoen cash het einde van het volgende kwartaal niet te halen zonder bij te tanken (de verkoop van GlobalSign kwam dus op een gunstig moment).

De verklaring zit in de fundamentele veranderingen in de beveiligingsindustrie. De markt voor producten krimpt in plaats van te groeien, zoals de fabrikanten van firewalls ondervinden. “Multinationals die ooit 200 firewalls kochten, gaan nu naar pakweg vijftien. Ze consolideren hun datacenters. De techniek is matuur, er gebeurt nog weinig innovatie. Klanten beperken hun beveiligingsbudget nu tot ongeveer 2 à 5 % van hun informaticabudget – met 5 % voor echt kritische bedrijven zoals financiële instellingen,” vertelt Stijn Bijnens.

Aan de dienstenkant proberen de ‘zuivere’ beveiligingsspecialisten af te dalen in de markt – van financiën naar farma en productieomgevingen. Daar ontmoeten ze dan de grote outsourcingbedrijven (Unisys, HP, EDS, Getronics, Dimension Data …) en de telecomoperatoren, die beveiliging als een natuurlijke verbreding van hun aanbod zien. In België is de overname van Telindus door Belgacom een deel van dat verhaal.

Cybertrust is niet actief in courante beveiligingsproducten, maar wordt wel geraakt door de onderliggende trend. Organisaties hebben hun kijk op beveiliging bijgestuurd. Bijnens: “Klanten kopen geen dozen meer, maar proberen met de hulp van consultants hun risico’s te kwantificeren. Waar stop ik best mijn geld in? De aandacht verschuift van infrastructuur naar toepassingen en identificatie: wie is dit en wat mag deze persoon doen?”

“In 2003 hebben drie virussen – CodeRed, Nimda en SQL Slammer – echt een schok teweeggebracht. De aandacht voor beveiliging ligt nu hogerop in het management,” zegt Bart Vansevenant, de productmanager voor managed security services van Cybertrust.

En dan is er de aandacht voor compliance: voldoen aan de regels van goed bestuur. “De Sarbanes-Oxley-wetgeving na de Enron- en WorldComschandalen draait rond financiële rapportering. Maar hij schrijft ook voor dat elke belegger op hetzelfde moment het belangrijke nieuws moet krijgen. Dus moet de website altijd beschikbaar zijn en superbeveiligd, pleiten de beveiligingsjongens. Een ander element is Basel II, dat eist dat je kapitaal reserveert als buffer voor het operationele risico. Hoe beter beveiligd, hoe minder kapitaal je moet reserveren en hoe hoger je return on investment. Dat heeft ervoor gezorgd dat beveiliging nu op het niveau van de raad van bestuur is geraakt. Er wordt meer over nagedacht. Het gaat meer over beveiligingsprocessen, programma’s die je met de hulp van consultancy implementeert, met een trend naar managed security services.”

Onderaannemers in de verdrukking

De Cybertrustgroep is precies samengekocht om dat brede scala van diensten te bieden. Maar anderen zijn alweer een stap verder. Het zijn niet langer de beveiligingsbedrijven die elkaar opslokken. EMC, een van de belangrijkste leveranciers in opslagsystemen, betaalde 2,1 miljard dollar voor de ‘zuivere’ beveiliger RSA Security. IBM kocht onlangs Internet Security Systems (ISS) voor 1,3 miljard dollar in cash. Vorig jaar al slokte Symantec, de marktleider in beveiligingssoftware, de grootste specialist in opslagsoftware, Veritas, op. In oktober breidde Symantec nog een verlengstuk aan die strategie door met Accenture een joint venture in security transformation services op te zetten, waarin ze beiden hun beveiligingsconsultants inbrachten.

“Grote bedrijven outsourcen nu aan één of een beperkt aantal leveranciers. De verleiding is dan groot om bepaalde microactiviteiten, zoals beveiliging, mee in dat pakket te steken. De IBM’s en de Accentures winnen die contracten, maar hun prijzen staan onder druk en die druk wordt doorgeschoven naar de onderaannemers,” zegt Carlo Schüpp, de voormalige verantwoordelijke voor managed security services van Ubizen. Schüpp is nu partner in de Enterprise Risk Servicespraktijk van Deloitte, die zijn aantal ICT-consultants in België in twee jaar verdubbelde tot nu 65 – een illustratie van de trend.

Dat verklaart ook de paradox dat Ubizen met zijn managed security services volop in de actie zit, maar er toch niet in slaagt zijn resultaten te verbeteren. “De Hollandse inkoper is een begrip geworden in grote bedrijven. Je merkt het aan de grote IT-dienstenbedrijven zoals Capgemini of Getronics, die structureel te lage marges hebben. Ze hebben hun vaste personeel, het is beter een contract met een lage marge te accepteren dan het niet te doen.” Als antwoord halveerde Ubizen zijn algemene en administratieve kosten, terwijl de uitgaven voor onderzoek en ontwikkeling werden opgetrokken.

Andere beveiligingsspelers zitten in dezelfde situatie. Het Duitse Secunet, een bedrijf uit de peer group van Ubizen, verlaagde in november zijn omzetdoel van 40,6 naar 36 miljoen euro, terwijl analisten eerder 47 miljoen hadden vooropgesteld. Het Amerikaanse WatchGuard Technologies, ook een vergelijkingspunt, verloor in 2005 netto 8,2 miljoen dollar op 75 miljoen dollar. Dit jaar lopen de verliezen gewoon door. “De meeste of zelfs alle dienstverlenende bedrijven die gespecialiseerd zijn in beveiligingsoplossingen voor het internet tekenen verliezen op. Dat geeft aan dat de sector het moeilijk heeft om klanten te overtuigen een hogere prijs te betalen,” waarschuwde de biedprospectus van Cybertrust in juni (hoewel men met dit document in het oog moet houden dat het afkomstig is van de bieder en niet de bedoeling heeft Ubizen rooskleurig voor te stellen).

De voorspelling van Stijn Bijnens? “Binnen een jaar of twee is beveiliging een onderdeel van het totale IT-plaatje. Op dat moment zullen de marges gezonder worden. Pure beveiligingsbedrijven die buiten de consolidatie blijven, gaan het moeilijk krijgen.”

Logische gevolgtrekking is dat ook Cybertrust maar een voorlopige constructie is en op zoek zal gaan naar een grotere partner. Bijnens: “Cybertrust is een privébedrijf in handen van een durfkapitalist. In de komende jaren zal die ook wel iets gaan doen.”

Bruno Leijnse

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content