Security op afstand managen, hoe doe je dat?

De wereldwijde pandemie dreef vrijwel alle kenniswerkers van kantoor naar thuis. Voor sommige bedrijven is deze omslag een uitdaging met gevolgen voor ICT en daarmee ook security. Want medewerkers thuis laten werken is één ding, dit op een veilige manier laten gebeuren is een tweede.

Laten we er niet omheen draaien: het risico dat er iets met bedrijfsdata gebeurt is groter als medewerkers niet binnen de eigen firewall en kantoormuren werken. Waar normaal alleen risico zit in de server, het eigen netwerk en de devices van eindgebruikers, voeg je daar in de huidige situatie ook het publieke internet, thuisnetwerken en minder zichtbaarheid van de eindgebruiker aan de risicomix toe.

Thuiswerken is ook aantrekkelijk voor cybercrime

Afgelopen maanden hebben we bij verschillende klanten het niveau van security verhoogd. Niet alleen om thuiswerken veiliger te maken omdat dit vaker gebeurt, maar ook omdat we merken dat de digitale dreigingen als gevolg van de coronapandemie toenemen. Zo wordt phishing steeds geloofwaardiger door e-mails die in perfect Nederlands worden opgesteld en bovendien ondertekend lijken te zijn door jouw eigen collega’s. En neemt ransomware nog steeds toe, met gerichte aanvallen die in drie fasen plaatsvinden.

Bij de holistische benadering van security die wij in onze aanpak toepassen, wordt gekeken naar zowel mens, techniek als het bijbehorende proces. Alle drie deze aspecten kun je verwerken in een thuiswerkbeleid. Zo’n beleid legt vast wat jij van je collega’s mag verwachten en omgekeerd wat zij van jou mogen verlangen. Toch heeft niet elk bedrijf een thuiswerkpolicy voorhanden of deze geüpdatet voor gebruik in 2021. Maar als je medewerkers apparaten van kantoor meenemen om thuis op te werken, dan mag je als werkgever gewoon in ruil verwachten dat ze goed omgaan met de apparatuur en de daarop geïnstalleerde software. In zo’n overeenkomst kun je vastleggen dat het niet is toegestaan USB-sticks te gebruiken voor de opslag voor bestanden of om werkdocumenten te gebruiken op een privé-apparaat. Ook kun je in een dergelijk document afspraken maken met gebruikers over het doen van aanpassingen in de thuissituatie. Denk daarbij aan het veranderen van het standaard wachtwoord van de thuisrouter, iets waar ICT gebruikers mee kan ondersteunen.

Lopend met de hond al bellend bedrijfsgeheimen delen

Een belangrijk issue wat vaak onderbelicht blijft maar wat ook in een thuiswerkbeleid kan worden opgenomen, is mensen wijzen op de gevoeligheid van gegevens. Het gebeurt helaas nog zo vaak dat gevoelige informatie over de zaak of collega’s mondeling gedeeld wordt in een treincoupé of tijdens een wandeling met de hond! Ook dikwijls vergeten in de coronaperiode: denk aan collega’s die uit dienst gaan. Doorloop ook op afstand de procedures van het blokkeren van accounts en het inleveren van apparatuur. Je wilt niet dat bij een controle nog accounts of apparaten actief blijken te zijn.

Een heikel punt in de thuiswerkpolicy is het monitoren van medewerkers. Het massale thuiswerken zorgde voor een run op controlesoftware. Helaas werd daarbij vaak vergeten dat de inzet van software die laat zien wat een werknemer op een computer doet alleen mag als deze hierover geïnformeerd worden. Dat kun je doen in een thuiswerkbeleid. Let daarbij wel op de strenge voorwaarden die aan het gebruik van zulke software gesteld worden.

Probeer je thuiswerkbeleid niet helemaal dicht te timmeren en collega’s het gevoel te geven dat je ze niet vertrouwd worden. ‘Manage by exception’ is vaak de meest verstandige route om hierin te bewandelen, dus kies niet op voorhand voor de strengste maatregelen. Een andere tip die ik je nog wil meegeven is: praat met eindgebruikers. Vraag hen naar hoe zij toegang tot hun data verkrijgen, hoe ze data gebruiken, of ze weleens data lokaal opslaan of naar zichzelf mailen. Vaak haal je hier waardevolle ingrediënten uit die de implementatie van een technologische oplossing net even wat veiliger maken.

Positieve bekrachtiging

Tot slot over een dergelijke overeenkomst: maatregelen bedenken, nemen en communiceren is één ding, maar goede security blijft vooral ook een kwestie van gedrag. Zoals ik in een eerdere blog al schreef, dwing je gedragsverandering af met positieve benadering en het belonen van gewenst gedrag. Denk hierbij ook aan gamification, dat je bijvoorbeeld in de praktijk brengt door het organiseren van een security speurtocht. Zo kan ook een slim thuiswerkbeleid echt #exciiiting worden.

Meer weten? Vul onderstaande formulier in, stel je vraag en wij nemen contact met je op!