KnowBe4: Kanaal moet evolueren naar een overkoepelende security-aanpak

Technologie is gereedschap, een middel tot een doel. Ook de beste security-oplossingen zijn niet afdoende wanneer mensen toch op een link in een phishing-mail klikken. Awareness trainingen zoals Knowbe4 die biedt, moeten de mens als kwetsbare factor in de security-keten sterker maken. “Maar ook onze technologie is slechts een stuk gereedschap”, stelt Jelle Wieringa van Knowbe4. “Het echte onderscheid zit in het realiseren van blijvende gedragsverandering. Dat doe je door een organisatie te helpen met het ontwikkelen van een goede security-cultuur.”

KnowBe4 levert sinds jaar en dag een uitgebreid platform voor security awareness-trainingen en phishing-simulaties. Afgelopen mei introduceerde KnowBe4 nog een AI-gedreven phishing-feature. Doel is om de snelle toename in phishing-aanvallen tegen te gaan. Dit gebeurt onder meer met gepersonaliseerde, op machine learning leunende phishing-campagnes die zijn gekozen op basis van de trainings- en phishing-geschiedenis van de gebruikers.

Jelle Wieringa Technical Evangelist, KnowBe4 Nederland, heeft een duidelijke en eigen(wijze) mening over het nut van dergelijke technologie. Je zet het in om de winst mee te vergroten, of om het leven van mensen leuker of makkelijker te maken. Het is, kortom, een middel en geen doel.

“Ik heb regelmatig discussies met mensen die zeggen dat AI goed is voor cybersecurity. Nee, zeg ik dan altijd. AI is goed voor bedrijven. Geen enkele organisatie koopt security-oplossingen omdat ze die zo leuk vinden, maar om de ICT te beveiligen die hun bedrijfsprocessen ondersteunt. Organisaties kopen ook geen ICT-oplossingen omdat ze die leuk vinden, maar omdat ze steeds noodzakelijker zijn voor elke vorm van bedrijfsvoering.”

Middel tot doel
Ook meent Wieringa in tegenstelling tot veel ICT’ers dat het niet alleen hun ICT-technologie is waar bedrijven op draaien. Het gaat altijd om de combinatie met de mensen die ICT inzetten, beheren of gebruiken. “Dat is ook een belangrijke reden om voor Knowbe4 te werken. We leveren een platform voor security awareness-trainingen, maar ook dat is slechts het middel tot een doel.”
Dat doel is om mensen niet langer tot meest kwetsbare schakel te maken in de security-keten. 70-90 procent van alle succesvolle cyber-aanvallen richt zich op mensen, niet op firewalls of netwerken. IT-security is wat dat betreft als het frame van een auto. Dat moet mede beschermen tegen gevolgen van een ongeluk, maar het zijn meestal mensen die het ongeluk veroorzaken. De trainingen van Knowbe4 zijn als een cursus om rijvaardigheden en -gedrag te verbeteren. Zo wordt de mens een minder kwetsbare schakel.
Het is aan organisaties om ervoor te zorgen dat mensen een minder kwetsbare schakel worden. Wieringa: “Het gaat daarbij niet om bewustzijnsverbetering, dat is echt een marketingterm. Je bewust worden van iets, dat doet an sich nog niets. Het gaat om gedragsverandering, het aanleren van veilig gedrag. Het moet intrinsiek zijn, wat ook de reden is dat een training niet eenmalig moet zijn, dat mensen regelmatig een opfriscursus krijgen. Alleen zo slijt het blijvend in.”

Eindgebruiker zoekt hulp
Technologieleveranciers, ook kanaalpartijen, maken vaak de technologie leidend. Maar de eindgebruiker zoekt hulp, geen technologie. Ik merk dat de neiging bestaat om technologie ergens binnen te schuiven – als hardware, licentie of dienst en dan ben je klaar. Alleen, een platform als van ons verkopen en beheren, is niet genoeg. Het gaat mij erom dat kanaalpartners zich onderscheiden een goede security-cultuur in een organisatie te bevorderen.”
Je moet, vindt Wieringa, medewerkers leren begrijpen wat het belang van cybersecurity is en hun rol daarbinnen, zodat ze security als technologie en als concept ook leren waarderen. “Zo overtuig je ook directies van organisaties makkelijker om een trainingsplatform in te zetten. En door een security-cultuur te leveren in plaats van alleen een platform, ga je als kanaalpartner ook een stapje hoger in de keten zitten.”

Managen van security-doel
Dat betekent dat een kanaalpartij niet meer (alleen) de technologie moet managen, maar ook het doel ervan: het realiseren en behouden van gedragsverandering. “Dat zou je KPI naar een klant toe moeten zijn. Dat je daar technologie voor levert als gereedschap, is natuurlijk prima. Maar dat moet niet het doel zijn.”
Een awareness-training – of het trainen van gedragsverandering – omvat een aantal elementen. Het moet niet te lang duren, het moet interessant zijn, het moet motiverend zijn en het moet op maat gemaakt zijn. Gericht op het soort organisatie, de afdeling, maar ook individuen.
“Security, phishing, dat zijn vrij droge onderwerpen. Die moet je aansprekender maken, je wil tonen wat mensen er aan hebben. Geen powerpoint-presentatie van een uur, maar een video van drie minuten, een puzzel of ander kort spel, verweef het in een fictief verhaal. Daarnaast moet de content van een training relevant zijn voor de functie. Als je een financiële instelling bedient met trainingen, moet de training niet alleen gericht zijn op financiële elementen. Daar heeft een receptionist of HR-medewerker niet zoveel aan.”
Het standaard inzetten van een consultant of trainer – ook als dat tegenwoordig online gebeurt wegens corona – is niet langer de beste aanpak. Dat is niet fijnmazig genoeg, het motiveert niet, het heeft beperkte relevantie voor de deelnemers en het blijft niet hangen. Daarnaast bepleit Wieringa regelmatige awareness-momenten, waarbij voorafgaand aan het werk een paar minuten aandacht aan een security-aspect gegeven wordt. “Dergelijke stand-up momenten zijn er ook al op andere gebieden, waarom integreer je daar geen security-awareness-momenten in?”

Overkoepelende aanpak
Het kanaal moet evolueren naar een overkoepelende aanpak, waarin security-oplossingen structureel vergezeld worden van gedragstraining. “En het kanaal moet een goed verhaal hebben om duidelijk te maken dat een organisatie en haar medewerkers daar veel meer aan heeft dan aan enkele onderdelen ervan.”
Wieringa vindt dat het kanaal hierin een duidelijke toegevoegde waarde kan bieden. “Om een voorbeeld van een partner in Zuid-Afrika te geven. Zij hadden technische en pre-sales consultants– de standaard aanpak voor een reseller- en VAR-kanaal - om de juiste security-oplossing aan het juiste onderdeel van een ICT-keten te koppelen. Zij hebben er echter voor gekozen om een deel van hun consultants bij te scholen tot gedragsconsultants. Die brengen nu in kaart hoe medewerkers met ICT-omgaan en sluiten de technologie aan op dit gedrag. Begin je bij hen een security awareness traject, dan krijg je er een gedragsconsultant bij die niet begint met technologie, maar met je organisatie en je medewerkers.”

Bepaalde basisonderwerpen moet je altijd bieden, weet Wieringa. Iedereen moet weten wat malware of phishing is. Het gaat om hoe je dat inkleedt en hoe dat naar beter gedrag vertaald wordt. “Zoals ik al zei, dat verschilt per afdeling en zelfs per individu. Zo’n aanpak zorgt ervoor dat je toegevoegde waarde als reseller verder gaat dan de oplossing die je biedt. Je helpt een klant door zijn bedrijfsvoering en zijn mensen met een security-cultuur – normen, waarden, handelingen - te ondersteunen. Verwar dat overigens niet met security-beleid. Dat is overkoepelend, het geeft geen praktisch handvatten. Een security-cultuur geeft die handvatten wel. Ook zonder beleid heb je dan nog steeds de juiste handvatten.”

Schaalbaarheid geen probleem
Vaak is de repliek uit het kanaal: zo’n aanpak met maatwerk kost geld, het is niet schaalbaar. Maar dat is niet meer waar, benadrukt Wieringa. “Een consultant kan niet in een organisatie van 500, laat staan 5.000 man, per individu bepalen wat de beste persoonlijke trainingsaanpak is. Maar AI-instrumenten zoals wij die hebben toegevoegd aan ons platform, kunnen dat wel.”
De reseller kan dan bijvoorbeeld de baseline neerzetten voor een phishing-campagne. De AI onder het platform kan per individu de beste content bepalen, de tijdspanne die er tussen modules zit en de omvang ervan, etc. Daar gebruik je de technologie zoals AI en managed services voor, om heel schaalbaar te werk te gaan zonder dat je consultancy-uren door het dak gaan.
“Het kan zijn dat je als reseller nog niet zover bent. Dat is ook begrijpelijk. Maar een ander excuus voor een nieuwe overkoepelende security-aanpak is er niet meer. En ik denk dat je daar dan wel naartoe moet werken. Wij hebben er een heel partnerprogramma voor om partners te leren dit succesvol te doen en welke valkuilen je moet voorkomen.”

Auteur: Martijn Kregting