Security awareness-trainingen van weleer leden aan een bewijsprobleem. Wanneer heeft je personeel genoeg phishing-mails als zodanig herkend; wanneer zijn ze niet zomaar door cybercriminelen te misleiden? Ze moeten nu meetbare resultaten opleveren en tot werkbaar beleid leiden. KnowBe4 vat dit samen als Human Risk Management (HRM), met als hoofddoel ‘workforce trust’. Wat houdt dat precies in?
We bespraken deze stap van security awareness naar HRM eerder dit jaar. Een bewustwording van cyberrisico’s is niet iets dat je eenvoudig kunt meten. Human risk wel, althans, in de invulling van KnowBe4. Dat het hier om een ietwat vage verschuiving gaat van awareness naar HRM, blijkt uit het feit dat het bedrijf vooral veel van haar activiteiten voortzet. Echter ligt het accent nu op een positiever verhaal dan het inperken van risico’s onder je personeelsbestand: je moet door die inperking je collega’s meer gaan vertrouwen.
Minder mechanisch
Medewerkers zijn tegenwoordig aantrekkelijkere doelwitten dan kwetsbaarheden in software. Het probleem is echter dat je mensen niet kunt patchen. Je kunt ze niet mechanisch veiliger maken. Volgens KnowBe4 kun je niet eens een checklist verzinnen met alle parameters die de cyberrisico’s van je werknemers inbouwen. Beter gezegd: de Risk Score (inmiddels toe aan v2) is gebaseerd op een formule die zelfs je KnowBe4-contactpunt niet kan berekenen. Het is sterk afhankelijk van de rol van de werknemer in kwestie en past zich voortdurend aan. De score is dus beperkt vergelijkbaar met een CVSS-score voor softwarekwetsbaarheden. Laatstgenoemde is ook op meerdere manieren te interpreteren en allesbehalve een objectieve meting van werkelijk gevaar.
De Risk Score kent gedragswetenschappen als fundament en bepaalt dynamisch welke securitytraining een werknemer nodig heeft en wanneer. KnowBe4-CEO Bryan Palma hoopt dat de score wordt opgepikt als een soort valuta binnen het bedrijfsleven. Hij vergelijkt het met de universele FICO-score voor kredietwaardigheid in Amerika. Ongeacht met welke bank of andere financiële instelling je praat, een goede FICO-score wordt geïnterpreteerd als een teken van betrouwbaarheid. Het verschil is wel dat je binnen het KnowBe4-platform juist zo laag mogelijk wilt scoren.
Palma geeft aan dat bij het gemiddelde bedrijf zo’n 40 procent van het personeel aanvankelijk zakt voor een phishingtraining. Na een jaar KnowBe4-assistentie zakt dit naar 5-6 procent. Het is dan de bedoeling dat je vanuit een positie van bezorgdheid naar een van vertrouwen richting je werknemersbestand beweegt. Workforce trust, met andere woorden.
Agentic inmenging
We begrepen in een eerder gesprek met Martin Kraemer, Security Awareness Advocate bij KnowBe4, dat agentic AI voor grote veranderingen zorgt binnen het KnowBe4-platform. De taal vanuit CEO Palma is nog ambitieuzer. Tegen Q2 2026 moet de oplossing een “volledig agentic platform” zijn. Dat wil zeggen dat praktisch alle mogelijkheden binnen KnowBe4 door agents uit te voeren zijn. Naast AI Defense Agents (AIDA) die trainingen verfijnen per medewerker verschijnt er ook een orkestratie-agent. De uitrol van deze agents gaat stapsgewijs, niet alleen omdat het voor KnowBe4 een technische uitdaging is om ze te bouwen, maar ook omdat adoptie onder bedrijven tijd nodig heeft. We zitten nog steeds in een experimentele fase van agentic AI, geeft Palma toe.
Agents zelf zullen volgens Gartner in het gareel gehouden worden door Guardian Agents. Deze laatste groep zou zo’n 10-15 procent van de totale agent-bevolking omvatten. Hiermee moeten organisaties kunnen voorkomen dat hun AI-tooling ongewenste acties uitvoert.
Javvad Malik, Lead CISO Advisor bij KnowBe4, erkent dat dit niet alleen een taak voor agents onderling is. Europese organisaties zijn eraan gewend dat privacygevoelige data slechts beperkt te benutten is. E-mailgegevens van werknemers kunnen door KnowBe4-agents worden gecontroleerd op phishinglinks en datalekken; maar dat moet wel volgens je bedrijfsbeleid kunnen. Malik stipt wel aan dat persoonlijke data in lokale datacentra te verwerken is, zodat het voor veel partijen mogelijk is om de agentic-gedreven bescherming aan te zetten.
Workforce trust moet nog omarmd worden
Als een echte specialist is KnowBe4 er relatief vroeg bij met het omarmen van Human Risk Management. Het bedrijf heeft hier een alomvattende strategie bij bedacht die inspeelt op de opkomst van agentic AI. Nuttige toevoegingen geven het beeld weer van een schoenmaker die bij zijn leest blijft, al klinkt HRM meer universalistisch dan security awareness.
Het wordt wel tijd voor de buitenwereld om die stap te zetten, of in ieder geval aanstalten te maken om dat te doen. Regelmatig benadrukken rapporten de securityfouten van werknemers. Zo omschrijft Kaseya de mens als ‘de zwakste schakel’. Ondertussen zijn pentests duur, stromen echte phishing-mails binnen en is de omgang met AI nog allerminst uitgekristalliseerd. Het cruciale is echter dat downtime de grootste boosdoener is. Daar zijn praktisch alle securityspelers het wel mee eens. Maar met die optelsom in het achterhoofd is de interpretatie van security awareness als afvinktaak gevaarlijk. Ze lijken ineffectief op basis van de voortdurende compromissen wereldwijd. Toch is het kwantificeren van succes historisch gezien lastig gebleken.
Dat verklaart waarom scores, in dit geval de Risk Score, de stap voorbij security awareness definieert. Meetbare resultaten zijn nodig om KnowBe4’s aanbod de business enabler te laten blijken die het kan zijn. Daarbij wekken lage risicoscores vertrouwen, zeker wanneer duidelijk wordt dat de data die scores legitimeren. We houden het in de gaten de komende jaren.