KnowBe4: Digital workplace vraagt om een andere benadering van security

Digital workplace vraagt om een andere benadering van security

Jelle Wieringa, security awareness advocate KnowBe4

25-09-2020 | door: Johan van Leeuwen

KnowBe4: Digital workplace vraagt om een andere benadering van security

Als we richting een digital workplace gaan, met alle faciliteiten om altijd en overal te kunnen werken, dan is security awareness een belangrijke component. Dat vindt Jelle Wieringa, de security awareness advocate van KnowBe4. Hij legt uit waarom dat zo is en welke stappen partners en eindgebruikers het beste kunnen zetten.

Het Amerikaanse KnowBe4 biedt wereldwijd een uitgebreid platform voor security awareness trainingen aan. Door Gartner werd het vorig jaar aangeduid als de onbetwiste leider in het kwadrant van Security Awareness Computer-Based Training. Sinds een aantal jaar is het bedrijf in de Benelux actief, waar de organisatie in hoog tempo groeit. Wieringa geeft vanuit zijn rol veel presentaties en schrijft verhalen, vooral over het specialisme van KnowBe4: de menselijke kant van cybersecurity. Het gaat daarbij ook vaak over de werkplek van de toekomst.

Parameters

Wieringa begint zijn verhaal door de digitale werkplek te definiëren. “De essentie is dat het voor de eindgebruiker mogelijk wordt om op een digitale manier te werken, altijd en overal, met precies dezelfde mogelijkheden als wanneer hij of zij gewoon op kantoor zit. Je kunt dus met hetzelfde gemak bij de juiste data komen en je kunt bijvoorbeeld virtueel vergaderen. Daarnaast is het belangrijk dat alle processen gedigitaliseerd zijn. Als je eerst een map met documenten die op kantoor ligt nodig hebt, kun je niet van een digitale werkplek spreken.”

Om dat in goede banen te kunnen leiden speelt beveiliging een grote rol. “De belangrijkste redenen om je organisatie te beveiligen zijn met de digitale werkplek niet anders dan voorheen. Maar de parameters zijn wel anders. Mensen worden mobiel en kunnen overal in de wereld werken. Ze kunnen bij dezelfde hoeveelheid data, maar zijn niet meer zo goed beschermd als dat ze op kantoor waren. Daarmee doel ik niet alleen op de technologische middelen, maar zeker ook op de sociale component. Op kantoor kun je veel eenvoudiger even met een collega overleggen over de vraag of een bepaalde handeling wel of niet veilig is. Thuis loop je bovendien het risico om afgeleid te worden, bijvoorbeeld door een kind, met als mogelijk gevolg dat je een fout maakt en op de verkeerde link klikt. Daar zit het gevaar.”

Omdenken

Die andere parameters vragen volgens Wieringa om een andere benadering van security. Aan de technologische kant, maar dus ook als het om de menselijke component gaat. “Als je echt digitaal gaat werken, op een schaalbare manier, dan kom je in de cloud uit. Dat vraagt om omdenken als je naar security kijkt. De traditionele benadering werkt niet meer, je kunt thuis niet iedereen een firewall geven. Zelfs wanneer je alle medewerkers een device meegeeft kun je niet voorkomen dat ze thuis toch met hun eigen spullen gaan werken. Je moet er eigenlijk al vanuit gaan dat de spelregels die je als bedrijf stelt worden gebroken. Dus moet je het anders benaderen.”

Die andere benadering bestaat volgens hem uit drie componenten. “Je moet mensen inzicht geven in de spelregels, je moet ze laten snappen wat ze moeten doen en er moet begrip zijn voor het belang van diezelfde spelregels. Dat zijn ook de drie elementen van security awareness trainingen. In het Nederlands noemen we dat gelegenheid, capaciteit en motivatie. Die drie elementen zijn juist bij de digitale werkplek van enorm belang, omdat de menselijke factor nog belangrijker wordt. Als bedrijf moet je voor de juiste cultuur zorgen om iedereen veilig thuis te kunnen laten werken. En dus zijn security awareness trainingen een belangrijk middel.”

Goede ROI

Vanaf maart werken mensen noodgedwongen heel veel thuis. “Er is daardoor meer belangstelling voor de trainingen die we bieden, want het belang van de menselijke factor neemt gewoon toe. Daarnaast is het zo dat dit een goede ROI geeft. Medewerkers voelen zich veiliger als ze weten wat ze wel en niet moeten doen. Als een medewerker verantwoordelijk is voor een hack in de organisatie geeft dat een heel vervelend gevoel. Maar als je hem of haar op de juiste manier activeert, voelt ie zich meer betrokken bij het bedrijf. Dat gevoel vergt geen grote investering, want vergeleken met de technologie is een awareness training prijstechnisch erg interessant.”

Security awareness trainingen zijn een soort brug tussen de business- en de IT-kant van bedrijven, vindt Wieringa. “In Australië vallen dit soort trainingen bij onze klanten eigenlijk altijd onder HR en niet onder IT. In Europa gaan we, zo verwacht ik, ook die kant op, want het trainen van mensen valt over het algemeen al onder HR. Dit is binnen organisaties een multidisciplinair verhaal. Het is ook een verhaal dat aanslaat. De wereldwijde groeicijfers van ons volledige vakgebied zijn enorm en dat is niet voor niets.”

Bewustzijn

Zeventig tot negentig procent van de succesvolle cyberaanvallen gebeurt door social engineering, door gebruik te maken van de mens als zwakste schakel, benadrukt Wieringa. “Uit een recent rapport van Verizon, waar wij ook aan meegewerkt hebben, bleek onder meer hoe sterk phishing nog groeit. 22 procent van alle datalekken begint bij een phishing-aanval. Een van de conclusies van het rapport was dat het grootste gat op securitygebied komt door de gebruiker, die vaak uit nieuwsgierigheid de verkeerde dingen doet.”

Dat soort rapporten zorgen voor steeds meer bewustwording. “Daarnaast besteden media bijna dagelijks aandacht aan phishing en zijn ook de grote ransomware-aanvallen volop in het nieuws. Zelfs de WHO, die zich met gezondheid bezighoudt, heeft tijdens de coronaperiode een statement gemaakt over phishing-aanvallen. Dat wil wel iets zeggen. Bedrijven zien dat ook. Het zorgt voor meer bewustzijn, er komt een noodzaak. Ik geloof totaal niet in verkopen via angst, onzekerheid en twijfel, want angst is een slechte raadgever. Maar bewustzijn is wel een goede raadgever. Bedrijven maken nu steeds vaker een realistische risico-afweging en dat is een goede zaak.”

Auteur: Johan van Leeuwen




Terug naar nieuws overzicht
Digital Workplace