Mimecast: van e-mailbeveiliging naar de menselijke factor
Mimecast, de speler die in het verleden vooral bekend stond om zijn e-mailbeveiliging, heeft zijn horizon verbreed. Onder leiding van CEO Marc van Zadelhoff (foto) transformeert het bedrijf naar een platform voor ‘Human Risk Management’ (HRM). Van Zadelhoff sprak met de redactie van Dutch IT Channel & Dutch IT Leaders tijdens het Canalys Channels Forum 2025 in Barcelona over acquisities, de vernieuwing van het partnerprogramma en hoe de mens in het middelpunt van de cybersecuritystrategie is komen te staan.
Marc van Zadelhoff, die sinds januari 2024 (bijna twee jaar, red.) aan het roer staat van Mimecast, heeft een kwart eeuw ervaring in cybersecurity. Begonnen in Nederland, woont hij nu in Boston en stuurt hij Mimecast aan in een tijd van snelle veranderingen in het dreigingslandschap. “We hebben een stapje terug genomen om te kijken wat het grotere probleem is buiten e-mailbeveiliging,” aldus Van Zadelhoff. “Tegelijkertijd hebben we de afgelopen twee jaar fors geïnvesteerd in innovatie, AI en alles rondom e-mail security, want dat blijft de bread and butter van het bedrijf.”
De ongrijpbare factor
De verschuiving in focus komt voort uit een fundamentele constatering over de menselijke rol in risico’s. Van Zadelhoff vergelijkt het met het traditionele OSI-model: “Je hebt die zeven lagen van het OSI-model, allemaal technisch. We kopen firewalls, endpoint security en data security voor al die niveaus. En daarbovenop zit dan zo’n persoon die allerlei fouten maakt.”
Deze ‘vervelende persoon’ is de ware uitdaging: de medewerker die klantendata naar zijn eigen Dropbox sleept, awareness training skipt, op een foute link klikt of een verdachte PDF opent. “Daar richt zich onze bredere propositie op,” licht Van Zadelhoff toe. Dit leidde tot strategische acquisities, waaronder Elevate Security, Aware en, cruciaal voor insider risk management, Code42 Incydr.
Het geïntegreerde platform
Voor CIO's en CISO’s die de wildgroei aan security-tools beu zijn, positioneert Mimecast zich als een geïntegreerd platform voor Human Risk. “Ons platform bestaat uit e-mail security, awareness training, data loss prevention én insider risk, alsook de beveiliging van niet-e-mailcommunicatie zoals Slack, Teams en Zoom,” legt Van Zadelhoff uit.
Het unieke zit in de integratie. “Als iemand op een ‘watch list’ zit, zien we dat zowel bij binnenkomende e-mail als bij insider risk. We zien dat die persoon data overhevelt naar bijvoorbeeld Dropbox. Dat kijken we allemaal geïntegreerd na.”
Mimecast ziet zichzelf als complementair aan platformen als Palo Alto, CrowdStrike en Okta. “Wij kunnen de data van die andere partijen gebruiken om te stellen: Marc is niet alleen vreemd bezig op zijn laptop, maar die laptop bevat heel veel vertrouwelijke data, en er gebeuren veel aanvallen. Dat zien we via CrowdStrike, bijvoorbeeld.” De organisatie telt naar eigen zeggen zo'n 400 integraties, waarvan er door een aanzienlijk deel van de 40.000 klanten gebruik wordt gemaakt.
Insider risk: de onzichtbare datadief
De acquisitie van Code42, met zijn DLP-product Incydr, is een speerpunt in de strijd tegen datalekken van binnenuit. “Dit product zit op je laptop, in je browser en heeft API’s naar al je SaaS-tools. Het kan letterlijk zien wat voor data een medewerker buiten het bedrijf sleept,” zegt Van Zadelhoff.
Een veelvoorkomend voorbeeld in softwarebedrijven is het onbedoeld weglekken van broncode. Ontwikkelaars kopiëren een stuk code naar hun persoonlijke GitHub of GitLab 'voor later', met het oog op hergebruik. Van Zadelhoff: “Dat is een intellectueel eigendom van een bedrijf, maar je gooit het zomaar de deur uit voor eigen gebruik.”
Een ander actueel risico is het ‘Shadow Use of AI’, waarbij medewerkers niet-toegestane tools als DeepSeek of OpenAI gebruiken. Een klant van Mimecast zag hoe medewerkers confidentiële klantendata naar DeepSeek stuurden. “Als ik die klant was, zou ik niet blij zijn dat die data nu misschien in China zit en gebruikt wordt om DeepSeek op te leiden. Dat wil je niet.”
De MSP-strategie: automatiseren is winst
Voor de MSP-markt, die kampt met druk op marges en schaalbaarheid, heeft Mimecast een tweeledige AI-strategie. “Eén is zorgen dat we in ons product zoveel mogelijk AI gebruiken voor detectie en AI-gebruik kunnen detecteren,” aldus Van Zadelhoff.
De tweede, en meest cruciale, is het faciliteren van automatisering. “Wij zijn ons ervan bewust dat MSP’s op hun winst moeten letten. We willen dus zorgen dat ze alles kunnen automatiseren wat mogelijk is, door het creëren van zoveel mogelijk API’s tussen hun platformen en onze producten.”
Advies aan de partners
Op de vraag wat partners na de conferentie mee moeten nemen, is Van Zadelhoff duidelijk: “Begin een gesprek over Human Risk met je klanten. Dat is denk ik het grootste advies. Er zit heel veel geld in dat gesprek voor je partner, en er zit heel veel risico in de markt op dat gebied. Klanten zitten daarop te wachten.”
Hij vervolgt “Het geeft je toegang tot een hoger niveau binnen je klant. Als je praat over Human Risk Management, praat je op strategisch niveau. Het is een ‘C-level attention’ onderwerp. En als je dan een platform aan kan bieden waar ze on-demand producten kunnen aanschakelen, dan past dat bij de eisen van de MSP.”
Van Zadelhoff besluit: “Een Human Risk-dashboard leidt vaak naar bredere en strategische gesprekken voor de MSP, omdat het leidt naar de mogelijke inzet van meer CrowdStrike, meer Okta of meer SentinelOne. Het is een essentiële data die we hebben.”
Door: Witold Kepinski
Meer over Security
Over Witold Kepinski
