GX traint security-bewustzijn en compliance met KnowBe4
Steeds vaker verlangen opdrachtgevers dat leveranciers hun security en compliance beleid formaliseren, bijvoorbeeld in het kader van een ISO 27001-certificering. Het trainingsplatform van KnowBe4 kan een rol spelen bij het borgen van de kennis in de organisatie, zo ook bij GX.
“GX heeft een rijk klantenbestand binnen verschillende sectoren, met grote merken en echt hele grote organisaties”, geeft Mark Driessen, Managing Director Cloud & Digital bij GX, aan. “Onder onze klanten bevinden zich ook organisaties in de financiële sector en de onderwijssector.”
Steeds vaker eisen deze klanten dat leveranciers een gedegen beleid hebben als het gaat om de omgang met bedrijfsgevoelige informatie en de IT- en cybersecurity. “Daarnaast zien we dat medewerkers van GX ook rechtstreeks op de vloer actief zijn bij onze klanten en ze software ontwikkelen voor deze ondernemingen,” legt Mark uit. De software van GX wordt al jaren gepentest door een gerenommeerde partij. Daarnaast laten klanten ook met regelmaat de software in livesituaties pentesten door externe partijen. Om als bedrijf het onderwerp security naar een hoger niveau te tillen besloot GX te starten met het formaliseren van de processen volgens ISO 27001 en daarmee het certificeringstraject in te gaan.
Juist in de periode dat GX hiermee bezig was, bracht IT-dienstverlener Claranet het platform van KnowBe4 onder de aandacht. Mark: “Daarmee hadden we een antwoord op de vraag hoe we de security awareness van onze medewerkers op peil konden brengen en houden via trainingen en het vastgestelde beleid konden borgen in de organisatie.”
Continue training met SaaS-oplossing
“Dit speelde in 2020”, vertelt Twan Willems, Prospect Specialist bij Claranet. “We benaderden GX, omdat we al verwachtten dat het platform geschikt voor hen zou zijn.” De medewerkers van Claranet kenden de organisatie al wat langer, hielden contact en stuurden uitnodigingen voor specifieke security events. “Zodoende zijn we verder in gesprek geraakt en wisten we waar ze mee bezig waren.”
Twan Willems legt kort uit hoe KnowBe4, dat Claranet zelf ook gebruikt om de eigen medewerkers te trainen, werkt. “Het gaat in feite om een continue training door middel van een SaaS-oplossing.” De training, die Claranet inmiddels al vier jaar aanbiedt, gaat duidelijk verder dan alleen het geven van informatie over de gevaren van verschillende aanvalsvormen die cybercriminelen gebruiken. “Het programma bestaat uit verschillende elementen. Er zijn instructievideo’s die je kan delen met (een deel van) de medewerkers. Vervolgens kan je, onder meer door het versturen van gesimuleerde-phishingmails, checken of de gebruikers de boodschap van de instructie begrepen hebben en ernaar handelen.” Zo leren medewerkers in de organisatie ransomware, CEO-fraude en valse e-mails sneller te herkennen.
Hoge graad van automatisering
Nog voordat GX de ISO-certificering had behaald, startte de inzet van KnowBe4. “Binnen een maand hadden we alles opgetuigd; het platform is voor een organisatie met een technische oriëntatie, zoals wij, niet ingewikkeld”, blikt Mark Driessen terug.
“Eerst werden documenten die de medewerkers moesten bestuderen nog echt naar hen gestuurd en werd aan de hand van reacties getoetst of alles gelezen was. Nadat we KnowBe4 hadden ingericht konden we daarvan afstappen. Het platform neemt ons werk uit handen door de vele automatiseringsmogelijkeden.” Mark legt uit dat ongeveer eens per maand wordt gekeken of er mensen zijn die achterlopen bij het volgen van trainingen of het lezen van documenten. “Dat valt in de praktijk reuze mee. Iedereen krijgt alerts en herinneringen als een training nog niet is gevolgd. Het werkt fantastisch, juist vanwege de hoge mate van automatisering.”
Cyberawareness verhoogd
In de praktijk zorgt het werken met het platform daadwerkelijk voor nog beter bewustzijn, is de ervaring. “Je ziet dat de phishingtests echt goed werken. Het feit dat je phishingmails uit kan laten sturen binnen je eigen organisatie, zorgt dat medewerkers alert blijven op verdachte e-mails.” Het klikken op foute links is naar de mening van Mark Driessen een van de belangrijkste risico’s op dit moment voor organisaties.
Maandelijks krijgt elke medewerker op een willekeurig moment een random mail vanuit het platform. “Dan zie je toch dat het meteen tot gespreksstof leidt aan de lunchtafel.” GX heeft het zo ingericht dat bij het onverhoopt op de link klikken, meteen een training aangeboden wordt. “Op die manier vergroot je op een hele natuurlijke manier het securitybewustzijn.”
Twan Willems herkent dit. “Wat inderdaad goed werkt, is dat je een verstuurde phishingcampagne geautomatiseerd kan opvolgen. Stel dat iemand drie keer op een link klikt in een phishingmail, dan wordt voor de betreffende medewerker automatisch een andere training gestart om de gemaakte vergissing nog nadrukkelijker te adresseren. Gaat het dan nog steeds fout, dan kan er een mailtje naar de leidinggevende van deze persoon gaan, zodat die begeleiding kan aanbieden.” Dat is ook de manier waarop GX ermee omgaat. “We zijn in deze organisatie geen voorstander van Naming and Shaming, maar we gaan wel met iemand in gesprek die te vaak op een verdachte link klikt.”
Berichten erg geloofwaardig
Mark geeft aan dat de berichten die medewerkers ontvangen niet alleen heel realistisch zijn, maar zich ook aanpassen aan het niveau van de ontvanger. “Er zitten veel templates in het systeem; die worden continu aangepast.” Zo ontvingen meerdere medewerkers kort na een lockdown een bericht waarin ze welkom terug geheten werden, met de vraag naar hun lunchwensen. “Dat gaat natuurlijk mis,” stelt Mark. “Ook van vaste leveranciers, zoals onze leverancier van koffie, kunnen de templates aangepast worden. Zo maak je de mails met wat kleine handelingen nog geloofwaardiger.”
Aanvullende training voor aantal medewerkers
Alle medewerkers van GX worden geschoold, inclusief de stagiaires. “We brengen iedereen die hier start naar een bepaald basisniveau.” Ook krijgt elke werknemer op de eerste werkdag een gesprek met de security officer. “Dan wordt niet alleen verteld dat ze de training zullen gaan doen, maar ook dat ze de eerste spammailtjes waarschijnlijk al in hun inbox hebben zitten.” Twan legt uit dat KnowBe4 zo in te richten is dat bepaalde medewerkers aangepaste trainingen krijgen. “Denk daarbij aan financials.” Mark reageert: “We hebben voor een aantal technische mensen specifieke trainingen klaargezet, maar de basis is voor iedereen gelijk. Alle medewerkers worden getraind op phishing en iedereen wordt getraind op basis securityregels. Daarnaast bieden we via KnowBe4 eigen documenten aan die over het beleid van de onderneming gaan. Dat zijn namelijk stukken die elke medewerker moet lezen en op deze manier kunnen we het centraal aanbieden.”
Adoptieconsultant optioneel
Doorgaans biedt Claranet ook een adoptieconsultant aan bij de implementatie en het gebruik van KnowBe4. Twan: “Deze specialist helpt onze klanten bij het inrichten van het platform en heeft vooral de taak om het gebruik van het platform aan te jagen en alles eruit te halen.” Aangezien GX zelf genoeg technische kennis in huis heeft, was dat voor hen niet nodig. “Er zijn echter ook organisaties die geen mensen beschikbaar hebben of waarbij de kennis ontbreekt om het platform in gebruik te nemen. Voor die organisaties is het wel prettig om ondersteuning te krijgen.”
