Hunkemöller is een internationale lingeriespecialist met ruim 750 winkels en 19 webshops in 12 Europese landen. De retailer bestaat al meer dan 140 jaar en bevindt zich midden in een digitale transformatie. Aan het roer van deze transformatie staat Chief Technology Officer (CTO) Gordon Smit. Hij is verantwoordelijk voor alle IT, van hardware en kassasystemen tot backendoplossingen, betaalsystemen en uiteraard ook cybersecurity.
"Met meer dan 6.500 medewerkers, verspreid over winkels, het hoofdkantoor en een distributiecentrum, is
de mens voor Hunkemöller een belangrijke schakel.” Medewerkers in de winkel willen vooral klanten helpen en producten verkopen. Zij zijn niet altijd tech-savvy als het gaat om cybersecurity. “Awareness is het allerbelangrijkste,” legt Smit uit.
“Als mensen doorhebben wat ze aan het doen zijn, niet zomaar op links klikken, afzenders dubbelchecken en geen persoonlijke gegevens delen, dan hebben we al heel veel gewonnen.” Daarom wordt er binnen Hunkemöller breed ingezet op bewustwording, van phishingcampagnes en e-learning tot crisissimulaties.
“Er is maar één ding dat mij ’s nachts wakker houdt, en dat is dat ik een telefoontje krijg van onze security officer dat we gehackt zijn."
Behaav stelde samen met Hunkemöller een programma op, met een nulmeting in de vorm van surveys en interviews met afdelingen met een verhoogd beveiligingsrisico. Ook werden trainingen en simulaties uitgevoerd. Daarnaast voerde Behaav diepte-interviews met kernafdelingen zoals finance en administratie om risico’s beter te begrijpen.
Behaav ondersteunt Hunkemöller met een compleet security-awarenessprogramma. Dat begint bij de top. Samen met de board organiseerde Behaav een zogenoemde tabletop-sessie, waarin een ransomware-aanval werd gesimuleerd. Het directieteam werd onverwacht bij elkaar geroepen en moest onder druk verschillende scenario’s doorlopen.
“Het was waardevol om bestuurders te confronteren met hun verantwoordelijkheden en te oefenen met besluitvorming onder stress,” zegt Smit. De sessie werd positief ontvangen en maakte duidelijk welke acties nodig zijn wanneer zich een incident voordoet.
“Het succes van security awareness zit in betrokkenheid op alle niveaus van de organisatie. Door realistische scenario’s te oefenen, zien medewerkers én bestuurders direct het belang van alertheid en samenwerking. Zo bouwen we samen aan een sterke, veilige cultuur,” aldus Inge Ammerlaan, Security Awareness Program Manager bij Behaav.
Behaav en Hunkemöller organiseren regelmatig phishingcampagnes en trainingen voor alle lagen van de organisatie. Een vaste programmanager vanuit Behaav bewaakt de voortgang, bespreekt resultaten en zorgt voor maatwerk per afdeling. “We hoeven er zelf nauwelijks naar om te kijken,” aldus Smit. “Het ontzorgt enorm en houdt het onderwerp continu top of mind.”
De samenwerking met Behaav geeft de CTO rust. “Ik weet dat het programma doorloopt, dat de juiste trainingen plaatsvinden en dat we zowel de board als de winkelmedewerkers meenemen,” zegt Smit. “Zo bouwen we aan een cultuur waarin security awareness vanzelfsprekend is en waarin we voorbereid zijn op de toekomst.” Dankzij de combinatie van technologie, beleid en gedragsverandering groeit de weerbaarheid van Hunkemöller en blijft cybersecurity een onderwerp dat dagelijks aandacht krijgt.