Alweer bijna een half jaar zitten veel medewerkers thuis. Waarschijnlijk met een geïmproviseerde thuiswerkplek. Het werk op afstand uit te voeren. Dit betekent dat bedrijfsinformatie in ieder geval vaker dan hiervoor buiten de eigen organisatie gelezen en bewerkt wordt. Dan kan de vraag gesteld worden, hoe houden we dit onder controle.
In het oude adagium ‘vertrouwen is goed, controle is beter’ is thuiswerken moeilijk in te passen. Al zie je af en toe uitwassen waarbij medewerkers via een webcam in de gaten worden gehouden. Het kan niet anders dan dat deze manier van bespieden, ehm.. controle, hoort bij een organisatie die niet agile genoeg is om de switch naar de ‘nieuwe realiteit’ te maken. Het controleren van medewerkers kan niet volledig in een thuiswerksituatie. Er moet gestuurd worden op effectiviteit en opbrengst, en niet meer op aanwezigheid.
Hoe zit het dan met de informatieveiligheid, die toch voor een groot deel berust op controles. Als verantwoordelijke voor de informatiebeveiliging rust toch de plicht op jou om alle mogelijke negatieve gevolgen die verkeerd behandelen van informatie kan hebben te controleren zodat we risico’s wegnemen. Of waren we daarmee alleen maar op zoek naar een ideale rubberentegelmaatschappij waarin we als goed curlingouder alles in controle houden?
In deze blog (en de discussie op 15 september 2020) zullen we deze tegenstelling oppakken. Uiteraard geven we handvatten hoe we wendbaar kunnen zijn/worden/blijven in deze tijd.
Wat missen we bij het nieuwe thuiswerken?
Corona. Zo, dat woord moest toch nog even genoemd worden in dit artikel. Door dit nieuwe thuiswerken hebben we minder zicht op de manier hoe de medeweker het werk uitvoert. Is er wel plek om vertrouwelijke telefoongesprekken te voeren. Kan er geprint worden en zo ja, hoe gaan we op een later moment afscheid nemen van die printjes?
Waar we vroeger nog veilig tussen de muren van het kantoorpand zaten. Waar je alleen binnen kwam met een toegangsbadge of op afspraak. En daar waar alle computers met beeldschermen vaststonden aan de (Arbo-technisch goedgekeurde) bureaus. En printers alleen begonnen met printen wanneer je de code intoetst of je pas scant. Nu staat de informatie van het bedrijf op een harde schijf in een privéwoning, de computer op de keukentafel, en de printer in de kinderkamer. Een pasje kennen we niet en op de nieuwe (thuis)werklocatie kunnen ook personen rondlopen die niet zo snel binnen het kantoorpand zullen komen.
Welke uitdagingen heeft het nieuwe thuiswerken?
Dit heeft een directe invloed op bijvoorbeeld de borging van informatiebeveiliging en gegevensbescherming. Waar je in een kantooromgeving nog de stelling kan handhaven dat onterecht inzage door een collega niet direct een datalek hoeft op te leveren dat gemeld moet worden aan de Autoriteit Persoonsgegevens (AP), is dat anders als de buurvrouw per ongeluk gegevens onder ogen krijgt. Het kan ook zomaar zijn dat (afhankelijk van de gegeven apparatuur) nu vaker ‘management by excel’ wordt uitgevoerd. Omdat steeds weer de Virtual Private Netwerk connectie (VPN) aanzetten toch wel erg lastig is. Het is dan natuurlijk veel handiger om de bestanden te exporteren en via Gmail naar jezelf te mailen zodat je de rest van de dag gemakkelijk thuis kan werken.
- Alleen wat gebeurt er met die bestanden op de thuiscomputer als een betrokkene zijn recht van verwijdering kan uitvoeren?
- Wat betekent dit voor de cybersecurity van de organisatie?
- Werken mensen nu met minder toezicht nog steeds op een veilige en verantwoorde manier?
- En natuurlijk het rampscenario, hoe weten we welke gegevens zijn geraakt als de privé computer besmet raakt met malware, virus of cryptoware?
Wat is de oplossing voor het nieuwe thuiswerken?
De gemiddelde organisatie staat te weinig stil bij informatieveiligheid, en dan met name daar waar het meest ertoe doet; juist, die medewerker. Dat is de meest belangrijke schakel in het geheel. Het gebruik van privémiddelen voor het werk zal moeten worden gereguleerd. Denk hierbij bijvoorbeeld aan het opnemen van minimale eisen voor de beveiliging van de thuiswerkplek. Als dit niet kan, zorg dan dat de medewerker ook op afstand gebruik kan maken van IT-middelen van de werkgever. Bring-your-own-device (BYOD) is in Corona-tijd ook in een stroomversnelling gekomen. Maar dat betekent niet dat elke werkplek gelijk geschikt is om de gouden eieren van de organisatie te mogen benaderen. Een risicoanalyse, niet alleen over de systemen maar ook over de rollen, is ook hier weer relevant. Afhankelijk van het risico zullen maatregelen anders zijn. Voor de beheerder van het financiële systeem zijn maatregelen in het logisch toegangspad zwaarder dan voor een medewerker die geen toegang heeft tot gegevens met een hoger belang voor de organisatie.
En gelukkig zijn er vele oplossingen om deze manier van werken wél veilig te maken.
- Heb duidelijk inzichtelijk welke software gebruikt wordt om de processen te ondersteunen (zit Excel / e-mail hierbij?)
- Weet hoe die software veilig benaderd kan worden vanuit een thuiswerkplek,
- Zorg voor een veilige en voor de gebruiker werkbare (remote) werkplek. Het ultieme hierin is een aparte omgeving waarin het werk op een juiste manier uitgevoerd kan worden.
- Maak medewerkers bewust van informatieveiligheid en wat zij hieraan kunnen bijdragen. En probeer hier de mogelijke bezwaren van hen weg te nemen waarom dit niet kan.
- Het logisch toegangspad begint nu bij de (thuis)werkplek. Het verplicht inloggen vanaf een laptop met een ‘zero footprint’ is voor een administrator mogelijk relevanter dan voor een medewerker zonder uitgebreide (hoge) toegangsrechten.
En ja, dan kunnen we op een gegeven moment ook vaststellen dat sommige werkzaamheden nou eenmaal niet thuis uitgevoerd kunnen worden.
Schrijf je nu in om onze discussie te volgen
De discussie voeren we op 15 september van 12:00 - 13:00 uur. We beantwoorden en gaan verder in op de vragen die ons worden gesteld. Dit kun je van tevoren doen, terwijl je je inschrijft.
Jacques Eding is een door de wol geverfde informatie-risicomanager en architect. Hij heeft in de afgelopen 25 jaar in verschillende rollen diepgaande kennis opgebouwd van infrastructuren, beheerprocessen en informatiebeveiliging. Binnen het competentiegebied informatie-risicomanagement heeft Jacques meerdere rollen gehad op tactisch, strategisch en operationeel niveau. Hierdoor heeft Jacques op elk van deze lagen kennis opgebouwd, waardoor hij de unieke mogelijkheid heeft om als mediator tussen de verschillende lagen op te treden.
Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank. Als docent zijn zowel Jacques als Mark betrokken bij de opleiding Management van Informatiebeveiliging en de cursus Introductie informatiebeveiliging