Johan van Leeuwen - 30 september 2022

Hornetsecurity trots op toevoeging van security awareness-training

Hornetsecurity trots op toevoeging van security awareness-training image

Hornetsecurity, specialist in cloud security, had al een breed portfolio. Maar er ontbrak nog iets, vonden veel partners: security awareness-trainingen. Trots vertelt Yvonne Bernard, de CTO, dat het bedrijf daar door de overname van IT-Seal nu een passend antwoord op heeft.

Ongeveer een jaar geleden spraken we ook met Yvonne Bernard. Toen ging het over de overname van backup-specialist Altaro. “We zijn er sterk van overtuigd dat je naast security altijd backup nodig hebt. De combinatie is interessant. Er zijn niet veel vendoren die dat binnen hun productportfolio aan kunnen bieden op de manier zoals wij dat nu kunnen”, zei ze toen. Maar na die toevoeging van backup stond er nog iets anders op het wensenlijstje van Hornetsecurity. “We waren ons er al langere tijd van bewust dat security awareness-trainingen een grote toegevoegde waarde zouden zijn in ons portfolio”, vertelt ze nu. “We willen voor onze partners een one-stop-vendor zijn voor security, backup en compliancy. Awareness-trainingen misten nog in dat plaatje.”

Hornetsecurity maakte al snel de keuze om een bedrijf over te nemen. “We hebben de technologie in huis om zelf iets te kunnen bouwen. Maar we waren toch al van plan om het team uit te breiden. Een bedrijf overnemen dat al ervaring heeft op dit gebied, was volgens ons een logische stap. We hebben veel onderzoek gedaan en verschillende producten getest.”

Tweede generatie
Bij die keuze ging het bedrijf niet over één nacht ijs. “Er zijn, als het om awareness-trainingen gaat, twee soorten producten”, legt Bernard uit. “Je hebt de eerste generatie producten, waarbij de IT-beheerder of de CISO de controle heeft en zelf de phishing-simulaties verstuurt en de statistieken in de gaten houdt. Bij de tweede generatie heeft de beheerder geen handmatig werk en gebeurt alles meer vanuit de vendor, op een geautomatiseerde manier. Een belangrijk verschil is dat iedereen zoveel training krijgt als nodig is. Niet te weinig, maar zeker ook niet te veel.”

Dat laatste is namelijk wat Bernard vaak ziet gebeuren. “Mensen krijgen dan allerlei phishing e-mails, die erg op elkaar lijken. Ze raken daardoor verveeld en het heeft nog maar weinig effect. Bij een goed awareness-product krijg je zoveel training als je nodig hebt, niet de maximale hoeveelheid. Als je verantwoordelijk bent voor het overmaken van geldbedragen, heb je veel specifieke training nodig omdat je ook veel risico’s loopt. Iemand die bijvoorbeeld op HR werkt, heeft met andere soorten bestanden te maken en ook de risico’s verschillen. Die heeft dus ook andere trainingen, met specifieke phishing-simulaties nodig. Dat vonden we heel belangrijk bij de keuze voor een product. Alleen op die manier creëer je een goede securitycultuur bij een bedrijf, zonder dat je de tijd van mensen en daarmee ook bedrijfsgeld verspilt.”

Maatstaf
Na een periode van oriëntatie en testen viel de keuze op het Duitse bedrijf IT-Seal. In mei werd de overname bekend gemaakt. Het bedrijf voldoet precies aan wat Bernard beschreef: geautomatiseerde trainingen, toegespitst op de verschillende rollen binnen een organisatie. “Wat ik ook heel prettig vindt aan IT-Seal, is hun Employee Security Index”, voegt Bernard toe. “Dat is een gepatenteerde maatstaf die aangeeft hoe veilig je bedrijf is. Het is een getal tussen de 0 en de 100. Afhankelijk van de industrie waarin je actief bent en het soort bedrijf dat je bent kun je een keuze maken voor een waarde die je wilt behalen, om daar vervolgens op te sturen. Hoe hoger je wilt scoren en hoe meer je wordt blootgesteld aan bepaalde bedreigingen of valt voor phishing-simulaties, hoe meer training je ontvangt. Het geeft transparantie voor een beheerder of CISO.”

Een ander belangrijk voordeel van het product van IT-Seal, in combinatie met de technologie van Hornetsecurity, is de focus op nieuwe medewerkers, zo legt Bernard uit. “Vaak wordt vergeten dat nieuwe medewerkers in de eerste maanden veel gevaar lopen. Ze veranderen hun LinkedIn-status, waardoor hackers weten dat er ergens iemand nieuw is. Die gaan sneller in de fout en worden daarom vaak als ingang gebruikt. We zorgen voor de juiste koppelingen, waardoor nieuw aangemaakte gebruikers in bijvoorbeeld Microsoft 365 vanaf hun eerste werkdag de juiste trainingen krijgen. Dat gebeurt geautomatiseerd en ook dat is toegespitst op de rol die een nieuwe medewerker heeft.”

Integratie van de producten
De organisaties van beide bedrijven zijn inmiddels volledig geïntegreerd. Bernard: “We werken nu aan de integratie van de producten, zodat je toegang hebt tot de security awareness-trainingen via ons control panel, zoals dat ook is bij onze andere producten. Het moet passen in de structuur en bij de look-and-feel die partners en klanten gewend zijn. Het gaat daarbij om de front-end voor beheerders en CISO’s, en voor de hub waarin de gebruikers hun resultaten kunnen zien.”

In het najaar moet de integratie van het product voltooid zijn, en wordt het officieel gelanceerd. “We hebben er heel bewust voor gekozen om vanaf de eerste dag de front-end te integreren. Dat verloopt allemaal volgens plan, net als de integratie van de organisaties. IT-Seal is ook blij, want zij kunnen onze technologie op het gebied van availability en backup gebruiken. Als groeiend bedrijf liepen ze tegen de uitdaging aan dat hun middelen beperkt waren. Nu hebben ze veel meer mogelijkheden.”

Makkelijk te gebruiken
Partners reageren zeer opgetogen op de overname, geeft ze aan. “Ze vroegen hier al langere tijd om. Wij zagen die noodzaak ook, maar we wilden het meest geschikte bedrijf vinden en hebben daarbij gewacht op de nieuwe generatie van awareness-producten. Partners verwachten geautomatiseerde producten van ons, die makkelijk te gebruiken zijn. Ik heb het product zelf ook gebruikt en het was precies wat we zochten.”

Security awareness is van groot belang, vindt Bernard, ook al is sommige phishing e-mail ook met goede training niet meer van ‘echt’ te onderscheiden. “De combinatie van training en goede e-mail-security is heel belangrijk. Sommige aanvallen ga je inderdaad ook met goede training niet herkennen. Maar daarvoor zijn er goede beschermingsproducten. Omgekeerd houden onze producten ook niet alles tegen, bijvoorbeeld aanvallen waarbij er gebruik gemaakt wordt van deep-fake-technologie. Daarvoor heb je goed getrainde medewerkers nodig.”

De producten en diensten van Hornetsecurity worden in de Benelux gedistribueerd door CloudLand.

Auteur: Johan van Leeuwen

Axians 12/11/2024 t/m 26/11/2024 BN+BW