KnowBe4 ziet organisaties nadenken over security culture
Steeds meer organisaties zijn zich doordrongen van het belang van security culture. Dat merkt Jelle Wieringa, security awareness advocaat van KnowBe4. Hij legt uit wat zijn bedrijf met security culture bedoelt en waarom het volgens hem belangrijk is voor allerlei organisaties.
“Van origine grijpen organisaties naar techniek om veilig te zijn”, begint Jelle Wieringa zijn verhaal. “Technologie is in deze snel veranderende IT-wereld absoluut noodzakelijk”, voegt hij er meteen aan toe. “Maar technologie alleen is niet afdoende. Als je daar volledig op vertrouwt, krijg je een soort schijnveiligheid.”
Verbindende factor
Daarom spreekt KnowBe4, specialist in security awareness, over drie begrippen: mens, proces en technologie. “Dan heb je het dus over het uitwerken van processen, het inzetten van technologie én het trainen van mensen om ze onderdeel uit te laten maken van een veilige organisatie. Daarboven staat één verbindende factor en die noemen we security culture.”
Hij legt uit wat hij ermee bedoelt. “Het is de combinatie van de gedragingen van je personeel, de kennis die ze hebben en de motivatie die ze erbij hebben. Je wilt bereiken dat mensen vanuit zichzelf digitaal veilig gedrag gaan vertonen. Je moet dat zien als een denkwijze die aansluit op de bestaande bedrijfscultuur, op de normen en waarden van een organisatie. Wij vinden namelijk dat, als je security goed wilt neerzetten in je organisatie, op een gefundeerde bodem, je het moet behandelen als onderdeel van de totale bedrijfscultuur. De security culture moet dezelfde waarde hebben, mensen moeten het snappen en ernaar handelen.”
Wat is er volgens Wieringa nodig voor een goede security culture? “Ten eerste moet je ervoor zorgen dat mensen zijn voorzien van de kennis die nodig is om bedreigingen te herkennen. Daarnaast heb je middelen nodig die veilig gedrag mogelijk maken. Tot slot geef je als organisatie sturing aan dat veilige gedrag: je geeft feedback, stuurt bij en zorgt ervoor dat gebruikers gemotiveerd zijn.”
Puzzelstukje
Wieringa merkt dat het begrip internationaal van de grond begint te komen. “Ik zie bij allerlei organisaties dat ze een soort puzzelstukje in handen hebben waarmee ze het securityprobleem aan willen pakken. Maar ze weten eigenlijk niet hoe de totale puzzel eruit ziet en waar het puzzelstukje moet komen. De puzzel is namelijk overal anders. Bij de een ontbreekt het aan de factor ‘proces’, bij de ander aan de factor ‘technologie’ en bij een derde aan de factor ‘mens’. Wij helpen organisaties om die totale puzzel van security culture in beeld te krijgen en onze eigen puzzelstukjes daarin te laten passen.”
Dat alles gebeurt op een manier die datagedreven is, zegt Wieringa. En juist dát is volgens hem heel belangrijk. “Als organisatie wil je statistieken hebben, harde cijfers, om aan te kunnen tonen waar de problemen en uitdagingen zitten die getackeld moeten worden. Om dat te realiseren zit er in onze producten een tooling, in de vorm van surveys die aan de organisatie worden voorgelegd. Dat gebeurt aan de hand van zeven elementen: gedrag, houding, normen en waarden, verantwoordelijkheid, bewustzijn, communicatie en compliance. Daar komen zeven scores tussen nul en honderd procent uit, die je voor de hele organisatie kunt zien, maar ook opgesplitst per individuele gebruiker. Aan de hand van die resultaten kan het management sturen. Heel handig, want als blijkt dat het probleem aan de voorkant van de organisatie zit, dan weet je dus dat je het beste eerst daarin kunt investeren. Dat hele framework is geen marketingverhaal, het is wetenschappelijk onderbouwd door een specialistisch bedrijf op dit gebied uit Noorwegen, dat samenwerkt met een universiteit.”
De juiste taal
Voor het management geeft het concrete en behapbare informatie, verduidelijkt Wieringa. “En dat was in mijn ogen de ontbrekende schakel in cyber-security-land. CISO’s krijgen regelmatig niet het budget dat ze zouden moeten krijgen, omdat ze niet in de juiste taal uit kunnen leggen aan de rest van de organisatie waarom ze budget nodig hebben. Wij zetten security nu om in iets tastbaars en meetbaars, en dat in een vorm waar ook de rest van het management kaas van heeft gegeten. Het lijkt namelijk op de assessments die de organisatie al gewend is van afdelingen als HR.”
“Ik merk aan de gesprekken die ik met CISO’s voer dat ze security culture echt gebruiken om binnen hun organisatie aantoonbaar te maken dat de mens een directe invloed heeft op de security-uitdaging. Zeventig tot negentig procent van de geslaagde aanvallen komt namelijk door een menselijke fout. De CISO’s hebben dat door, maar de volgende stap is om dat te verkopen richting het hoger management en ervoor te zorgen dat zij actie ondernemen. Wanneer doet een directeur dat? Als hij of zij duidelijke en onderbouwde bewijslast heeft.”
Ook voor een CIO biedt het nieuwe aanknopingspunten. “De CIO wordt steeds meer een onderdeel van de business en krijgt vaker de taak om voor nieuwe inkomstenbronnen te zorgen om daar de IT-middelen van te financieren. Bijvoorbeeld diensten ontwikkelen die vermarkt kunnen worden. CIO’s krijgen nu als het ware munitie om aan de organisatie duidelijk te maken wat de waarde van security is en dus ook de waarde van de IT-afdeling. Het mes snijdt aan meerdere kanten.”
Tot slot is er de individuele gebruiker die, doordat er gestuurd wordt op security culture, meer houvast krijgt. “Security is een lastig en soms ontastbaar begrip”, beseft Wieringa. “Maar security culture zorgt ervoor dat gebruikers gaan inzien wat hun eigen rol is in dat geheel. Door overzichtelijke informatie wordt het tastbaar wat ze goed doen en op welke punten ze nog verbetering moeten tonen. Je maakt het daarmee relevant en contextueel en ik denk dat dat de sleutel is. Daarmee creëer je betrokkenheid. Security werkt eigenlijk net als een mierenkolonie. Eén mier gaat op onderzoek uit, de rest volgt het spoor. Daarom spreken we bij security ook echt over een cultuur. Er moet een olievlek ontstaan.”
Meer informatie over de Security Culture Survey van KnowBe4, waarbij het op zeven aspecten de security culture van een organisatie meet, is te vinden via deze link.
Door: Johan van Leeuwen
