‘In security besteden we heel veel geld aan zaken die niet het grootste probleem zijn. Wij mensen zijn nu eenmaal slecht in risicomanagement. Zeventig tot negentig procent van de inbreuken heeft zijn wortels in de menselijke factor. En juist daar gaat erbarmelijk weinig geld naar toe.’ Aan het woord is Jelle Wieringa, security advocate bij KnowBe4.
Deze aanbieder van het meestgebruikte security awareness en simulated phishing-platform helpt organisaties betere beveiligingskeuzes te maken. Wieringa is er bijna vier jaar geleden gaan werken juist omdat het succes van het bedrijf is gebaseerd op de menselijke factor. ‘Dit is de afgelopen decennia echt vergeten. Ik zit nu twintig jaar in het security-vak, en als ik het objectief bekijk, heb ik vooral gewerkt met technologie. Dat verkochten wij klanten, want dat “had je nodig”. Doordat ik zo op technologie gefocust was en met mij een heleboel mensen in de branche, is er te weinig aandacht geweest voor een fenomeen als social engineering.’
Security awareness training
‘IT’ers hebben nu eenmaal een voorliefde voor technologie, en denken dus ook in oplossingen die in het verlengde daarvan liggen. Dus iedereen heeft een firewall en antivirus, veel mensen patchen. Allemaal kostbare zaken maar het is geen issue. Je kunt immers knopjes aan- of uitzetten’, lacht Wieringa.
Security-trainingen zijn nodig, maar die worden vooral gegeven vanwege veranderde wetgeving, of omdat het moet vanwege een klant. ‘Veel organisaties pakken het op een halfbakken manier aan, waardoor kennis niet blijft hangen, en gedrag nauwelijks verandert. Security awareness training moet je bijhouden. De buitenwereld evolueert, het landschap verandert constant. Daar moet je je training op aanpassen, en ik denk dat veel bedrijven dat onderschatten. Wij denken dat je mensen alleen maar kunt trainen als je het doet op een leuke, voor hun rol relevante manier, waarbij je duidelijk laat zien hoe je het geleerde toepast.’
37 talen
Wat maakt KnowBe4 anders dan anderen? ‘Heel veel verschillende trainingsmaterialen maken het verschil. Wij hebben filmpjes, spelletjes, zelfs tv-series. We hebben een productiehuis (Twist & Shout, red.) gekocht in Engeland dat sitcom-achtige miniseries maakt over security (The Inside Man, red). Met een verhaallijn waaronder een security-training zit verborgen. We zijn nu alweer met seizoen 4 bezig.’
‘We hebben daarnaast een online platform in 37 talen. Negen van de tien concurrenten leveren primair in het Engels. Maar een boodschap komt veel beter aan in je moedertaal. We investeren in lokalisatie, hebben ontwikkelstudio’s in de landen zelf, met lokale acteurs. Humor is heel belangrijk, en luistert heel nauw per land. De content, de veelzijdigheid ervan, de toepassingen en de vele talen die we gebruiken maakt KnowBe4 succesvol. Al onze concurrenten die dit succes willen nabootsen, investeren in content.’
“De content, de veelzijdigheid ervan, de toepassingen en de vele talen die we gebruiken maakt ons succesvol”
Hoe zet je a deze content in zodat de training beklijft? Hoe zorg je dat je mensen motiveert? ‘We hebben een boodschap op gebruikersniveau, zodat eindgebruikers het nut van training gaan snappen, en op IT- en CISO niveau’, vertelt Wieringa. ‘We ondersteunen professionals – soms is dat ook HR – in de uitvoering. Daarbij komen vragen aan de orde als: Hoe stel je je trainingsprogramma samen? Hoe integreer je de menselijke factor in de andere technologie- en procesfactoren? Hoe zorg je er nou voor dat je over de juiste dingen rapporteert in je organisatie? En hoe krijg je derde partijen mee in je training? Maar bovenal moet helder worden wat de strategische doelstellingen zijn van het trainen van mensen, en hoe trainingen bijdragen aan het bedrijfsresultaat.’
Alles lokaal
Deze aanpak kan het bedrijf zich veroorloven omdat het zo succesvol is, benadrukt Wieringa. ‘We kunnen méér doen dan alleen het product heel goed maken. En we doen alles op gelokaliseerde wijze, met lokale sales teams en lokale ondersteuning. Een internationale helpdesk is niet hetzelfde. En waarin we écht uniek zijn, is ons groepje evangelists van elf mensen, waar ik deel van uitmaak. Ik spreek heel veel klanten – en dat kost ze trouwens niets. We produceren papers en artikelen, waarin we niets verkopen, maar uitleggen waarom organisaties een aanpak met oog voor de menselijke factor nodig hebben. Security awareness loont!’
‘Alles wat wij doen, is gegrond in het bouwen van een goede security-cultuur, besluit Wieringa. ‘En die cultuur moet een hoofdstuk zijn in het ‘boek’ van de company culture, door de verhaallijn van dat boek te gebruiken.’
. . . . .
Geen oplossingen
Voor social engineering bestaan geen oplossingen, dus KnowBe4 levert ze niet. Het bedrijf helpt wel problemen te managen. Het heeft een security awareness product, en daarnaast een AI-powered product dat security-verantwoordelijken helpt de stroom meldingen slim af te handelen (die op gang komt na een effectieve security awareness training). Er is ook een tool voor compliance-trainingen. Ten slotte is er nog een heel effectief product waarmee een organisatie gedrag dicht bij de bron kan sturen. Als iemand bijvoorbeeld tegen de regels in een usb-stick gebruikt, volgt er direct een eenvoudige, vriendelijke melding, zodat diegene zich daarvan direct bewust wordt. Bij herhaling kan de melding uitgebreider, en kun je bijvoorbeeld een voorlichtend filmpje laten zien. Zo kan een IT-beheerder of CISO het gedrag sturen richting slimme, veilige keuzes.
The Security Culture Playbook
Het Security Culture Playbook: An Executive Guide To Reducing Risk and Developing Your Human Defense Layer (door Kay Roer) leeft IT-beslissers vanuit een organisatorisch-cultureel perspectief, top-down, een security-cultuur te stimuleren.
