'Zorgen dat er een morgen is'

Net als cyber security is duurzaamheid niks anders dan met z'n allen de wereld veilig houden. Jelle Wieringa ziet meerdere overeenkomsten tussen MVO en de core business van 'zijn' KnowBe4: mensen trainen in security awareness. “In beide gevallen gaat het over de veiligheid van morgen en is een intrinsieke motivatie, een continu bewustzijn en een collectief verantwoordelijkheidsgevoel essentieel. We hebben 'extreme ownership' nodig.”

Nog maar net bijgekomen van het Dutch IT-channel Awards Gala de avond ervoor houdt Jelle Wieringa trots een duurzame paarse warmhoudbeker voor de webcam, gemaakt van gerecycled aluminium. “Plastic wegwerpbekertjes kom je bij ons niet meer tegen”, vertelt de Security Awareness Advocate van KnowBe4, wereldwijd marktleider in 'menselijke firewalls'. “Natuurlijk is de impact hiervan relatief klein, maar daar staat wat tegenover: het vergt geen groot offer van mensen. Wil je als bedrijf actief zijn met duurzaamheid, integreer maatregelen dan in de dagelijkse bedrijfsvoering en laat gebruikers het nut ervan ervaren, niet de lasten.”

Zo kent Wieringa meer voorbeelden van de volgens hem 'best hippe' duurzaamheidsinitiatieven van KnowBe4. “Als typisch Amerikaanse bedrijf houden wij erg van 'swag': we komen graag stoer en zelfverzekerd voor de dag. Dat doen we tegenwoordig met t-shirts en polo's die aanvoelen als gewone stof, maar gemaakt zijn van gerecycled plastic. Dat is nieuw, ik wist ook niet dat het bestond. KnowBe4 gebruikt heel bewust datacenters met minder CO2-uitstoot en vorig jaar hebben we wereldwijd tienduizend bomen laten planten om de negatieve gevolgen van onze vliegreizen voor het klimaat te compenseren. Want helaas, hoewel we proberen te minderen is vliegen net als autorijden een noodzakelijk kwaad voor ons. Wat we erg belangrijk vinden: met dit soort milieu-initiatieven onderwijzen we mensen. Onze core business is security awareness: wij leren mensen wat cyberdreigingen zijn en hoe ze zichzelf en elkaar daar tegen beschermen. Ook voor duurzaamheid is allereerst bewustwording nodig.”

Wereld van morgen
Wieringa ziet grote overeenkomsten tussen MVO (maatschappelijk verantwoord ondernemen) en cyber security. “De link is zelfs meervoudig”, vindt hij. “Cyber security bevordert het voortbestaan van een organisatie en duurzaamheidsbeleid in een wat grotere vorm het voortbestaan van de hele planeet. Het doel is hetzelfde: zorgen dat er een 'morgen' is. We beveiligen een IT-omgeving om te zorgen dat we morgen ook nog een business draaien, en duurzaamheid heeft als doel dat er morgen ook nog een leefbare wereld is.”

Een andere overeenkomst volgens Wieringa is dat zowel klimaatbeleid als cyber security baat heeft bij een continu bewustzijn en een intrinsieke motivatie. “MVO of duurzaamheid moet geen 'holistische' strategie zijn, maar een gewoonte. Op ons online platform, dat medewerkers van een organisatie in hun eigen vertrouwde werkomgeving door middel van simulaties bewust maakt van digitale veiligheidsrisico's als ransomware, phishing mails en social engineering, leren we mensen om intrinsiek het belang van cyber security te begrijpen. Ze moeten niet alleen voorzichtig zijn omdat wij ze dat vertellen, maar snappen waaróm dat belangrijk is. Met duurzaamheid is dat hetzelfde. Het gaat erom dat mensen iedere dag opnieuw vanuit zichzelf duurzaam wíllen zijn, omdat ze begrijpen wat er aan de hand is en de gevaren van klimaatverandering op zichzelf relateren.”

'Extreme ownership'
Het is volgens Wieringa belangrijk dat duurzaamheid verweven is met álle bedrijfsprocessen in een organisatie. “Maak van duurzaamheid geen strategie, maar een operationele keuze. Strategieën zijn vaak gebaseerd op de verkeerde motieven. Het ergste wat je kan meemaken, is dat een bedrijf alleen maar duurzaam wil zijn om PR-redenen, het bekende 'green washing'. De IT-industrie heeft vanwege z'n rijkdom en innovatiekracht een morele plicht om met duurzaamheid voorop te lopen, vind ik, maar doe dat niet vanuit een slap moreel motief, want dan wordt het 'projectjes draaien'. Het schiet pas op als je duurzaamheid verweeft in je organisatie, het liefst mondiaal, zoals KnowBe4 met Lael Giebel een speciale functionaris heeft voor 'sustainability'. Laat duurzaamheid hand in hand lopen met je bedrijfscultuur. Maak iedere medewerker individueel verantwoordelijk voor een duurzame organisatie. Dat is wat wij bedoelen met 'extreme ownership'.”

Duurzaamheid is niet de verantwoordelijkheid van een organisatie, maar van álle individuen die met het bedrijf te maken hebben, bedoelt Wieringa. “Van medewerkers tot klanten en van partners tot concullega's. Het zit in onze genen om mensen te coachen, en precies zoals we mensen trainen om zich voortdurend bewust te zijn van cyberdreigingen – ook als ze thuis werken, wat sinds de coronacrisis flink is toegenomen – zo willen we ook het duurzaamheidsgedrag van mensen bevorderen. Wij kweken een intrinsieke motivatie: dat mensen op kantoor niet uit die mooie paarse bekers drinken omdat dat moet van ons, maar omdat ze de reden begrijpen. En dat ze vervolgens 's avonds thuis geen pelletkachel opstoken. Het is geen kwade wil, maar mensen snappen niet altijd wat de negatieve impact is van hun gedrag.”

Collectieve verantwoordelijkheid
Jelle Wieringa ziet tot slot nog één opvallende overeenkomst tussen bewustwording in een wereld vol cyberdreigingen enerzijds, en anderzijds het stimuleren van duurzaamheid op een planeet die steeds sneller opwarmt. “Beide doelen kun je als individu, maar ook als organisatie nooit helemaal autonoom bereiken. Iedereen snapt dat het geen zin heeft om te vergroenen als een groot deel van de wereld wegkijkt. Maar met cyber security heb je evengoed te maken met omgevingsfactoren. Iedere organisatie zit in een of meerdere ketens en is afhankelijk van partners, toeleveranciers, klanten en andere partijen waarvan de cyberveiligheid invloed heeft op de eigen veiligheid. Het is goed dat je een antivirusscanner gebruikt, maar als anderen in hetzelfde netwerk dat niet doen, heb je er weinig aan. Pak je verantwoordelijkheid niet alleen voor jezelf, maar ook voor anderen. Ook hier ligt de oplossing in extreme ownership.”

---------------------------------------------------------------------------------------------

'Kijk niet naar bedreigingen, maar naar risico's'
Een belangrijke trend die Jelle Wieringa signaleert in het altijd spannende vakgebied van cyber security, is dat bedrijven in de gaten krijgen dat ze zich moeten laten leiden door risico's in plaats van bedreigingen. “Wie het nieuws volgt en hoort over aanvallen met ransomware overal in de wereld, denkt al gauw: dat is eng, dat willen wij niet. De financiële impact van een aanval met ransomware kan dan ook enorm zijn. Toch is het de vraag of juist dit soort 'mediagenieke' vormen van cybercrime de bedreigingen zijn die jouw specifieke organisatie het meest moet vrezen. Kijk liever naar de risico's: welke vorm van cybercrime is voor jou reëel?”

Ronduit positief is Wieringa over het feit dat cyber security in steeds meer organisaties behoort tot de 'basishygiëne', in plaats van dat het een 'after thought' is, zoals hij het noemt. “En we zien een toegenomen bewustzijn dat ICT-systemen ook bij werknemers thuis gevaar lopen. Dat komt natuurlijk door het toegenomen thuiswerken vanwege corona. Vroeger was je op het werk zoveel mogelijk beveiligd en thuis deed je maar wat. Inmiddels realiseren mensen zich dat cybergevaren in privésituaties net zo groot zijn en dat ze ook elders alert moeten zijn. Pas bijvoorbeeld op met gratis wifi in de trein, want je weet niet wie er naast je zit.”

Wieringa waarschuwt tot slot voor de gevaren van social engineering, zoals business e-mail compromise en CEO-fraude, die hij groter ziet worden door het gebruik van deep fakes: dat je via Zoom of Teams iemand op je scherm denkt te zien, maar feitelijk is het heel iemand anders die je belazert. “Ook deze relatief nieuwe vorm van cybercrime, ook wel business identity compromise genoemd, is reden genoeg om bedrijven te verheffen van 'bewust onbekwaam' – steeds meer organisaties zijn zich bewust van de gevaren, maar weten niet wat ze ertegen moeten doen – naar 'bewust bekwaam': zo goed mogelijk voorbereid. Door het toegenomen bewustzijn in de markt geven we onze trainingen steeds vaker in verticals die in een recent verleden nauwelijks iets aan cyber security deden. De verhuisbranche bijvoorbeeld, die door de aanwezigheid van data over de inboedels van klanten evengoed kwetsbaar is voor digitale diefstal. Vooral segmenten die wat in te halen hebben, kloppen momenteel bij ons aan.”

Door: Jeroen Bordewijk