8,4 / 10 187 beoordelingen op Springest
030-2308900 info.nl@inspearit.com

Hoe gaan we het nieuwe thuiswerken veilig maken voor onze medewerkers (en de bedrijfsdata)?


Alweer bijna een half jaar zitten veel medewerkers thuis. Waarschijnlijk met een geïmproviseerde thuiswerkplek. Het werk op afstand uit te voeren. Dit betekent dat bedrijfsinformatie in ieder geval vaker dan hiervoor buiten de eigen organisatie gelezen en bewerkt wordt. Dan kan de vraag gesteld worden, hoe houden we dit onder controle.

In het oude adagium ‘vertrouwen is goed, controle is beter’ is thuiswerken moeilijk in te passen. Al zie je af en toe uitwassen waarbij medewerkers via een webcam in de gaten worden gehouden. Het kan niet anders dan dat deze manier van bespieden, ehm.. controle, hoort bij een organisatie die niet agile genoeg is om de switch naar de ‘nieuwe realiteit’ te maken. Het controleren van medewerkers kan niet volledig in een thuiswerksituatie. Er moet gestuurd worden op effectiviteit en opbrengst, en niet meer op aanwezigheid.

Hoe zit het dan met de informatieveiligheid, die toch voor een groot deel berust op controles. Als verantwoordelijke voor de informatiebeveiliging rust toch de plicht op jou om alle mogelijke negatieve gevolgen die verkeerd behandelen van informatie kan hebben te controleren zodat we risico’s wegnemen. Of waren we daarmee alleen maar op zoek naar een ideale rubberentegelmaatschappij waarin we als goed curlingouder alles in controle houden?

In deze blog (en de discussie op 15 september 2020) zullen we deze tegenstelling oppakken. Uiteraard geven we handvatten hoe we wendbaar kunnen zijn/worden/blijven in deze tijd.   

Wat missen we bij het nieuwe thuiswerken?

Corona. Zo, dat woord moest toch nog even genoemd worden in dit artikel. Door dit nieuwe thuiswerken hebben we minder zicht op de manier hoe de medeweker het werk uitvoert. Is er wel plek om vertrouwelijke telefoongesprekken te voeren. Kan er geprint worden en zo ja, hoe gaan we op een later moment afscheid nemen van die printjes? 

Waar we vroeger nog veilig tussen de muren van het kantoorpand zaten. Waar je alleen binnen kwam met een toegangsbadge of op afspraak. En daar waar alle computers met beeldschermen vaststonden aan de (Arbo-technisch goedgekeurde) bureaus. En printers alleen begonnen met printen wanneer je de code intoetst of je pas scant. Nu staat de informatie van het bedrijf op een harde schijf in een privéwoning, de computer op de keukentafel, en de printer in de kinderkamer. Een pasje kennen we niet en op de nieuwe (thuis)werklocatie kunnen ook personen rondlopen die niet zo snel binnen het kantoorpand zullen komen. 

Welke uitdagingen heeft het nieuwe thuiswerken?

Dit heeft een directe invloed op bijvoorbeeld de borging van informatiebeveiliging en gegevensbescherming. Waar je in een kantooromgeving nog de stelling kan handhaven dat onterecht inzage door een collega niet direct een datalek hoeft op te leveren dat gemeld moet worden aan de Autoriteit Persoonsgegevens (AP), is dat anders als de buurvrouw per ongeluk gegevens onder ogen krijgt. Het kan ook zomaar zijn dat (afhankelijk van de gegeven apparatuur) nu vaker ‘management by excel’ wordt uitgevoerd. Omdat steeds weer de Virtual Private Netwerk connectie (VPN) aanzetten toch wel erg lastig is. Het is dan natuurlijk veel handiger om de bestanden te exporteren en via Gmail naar jezelf te mailen zodat je de rest van de dag gemakkelijk thuis kan werken. 

  • Alleen wat gebeurt er met die bestanden op de thuiscomputer als een betrokkene zijn recht van verwijdering kan uitvoeren? 
  • Wat betekent dit voor de cybersecurity van de organisatie?
  • Werken mensen nu met minder toezicht nog steeds op een veilige en verantwoorde manier?
  • En natuurlijk het rampscenario, hoe weten we welke gegevens zijn geraakt als de privé computer besmet raakt met malware, virus of cryptoware?

Wat is de oplossing voor het nieuwe thuiswerken?

De gemiddelde organisatie staat te weinig stil bij informatieveiligheid, en dan met name daar waar het meest ertoe doet; juist, die medewerker. Dat is de meest belangrijke schakel in het geheel. Het gebruik van privémiddelen voor het werk zal moeten worden gereguleerd. Denk hierbij bijvoorbeeld aan het opnemen van minimale eisen voor de beveiliging van de thuiswerkplek. Als dit niet kan, zorg dan dat de medewerker ook op afstand gebruik kan maken van IT-middelen van de werkgever. Bring-your-own-device (BYOD) is in Corona-tijd ook in een stroomversnelling gekomen. Maar dat betekent niet dat elke werkplek gelijk geschikt is om de gouden eieren van de organisatie te mogen benaderen. Een risicoanalyse, niet alleen over de systemen maar ook over de rollen, is ook hier weer relevant. Afhankelijk van het risico zullen maatregelen anders zijn. Voor de beheerder van het financiële systeem zijn maatregelen in het logisch toegangspad zwaarder dan voor een medewerker die geen toegang heeft tot gegevens met een hoger belang voor de organisatie.

En gelukkig zijn er vele oplossingen om deze manier van werken wél veilig te maken.

  1. Heb duidelijk inzichtelijk welke software gebruikt wordt om de processen te ondersteunen (zit Excel / e-mail hierbij?)
  2. Weet hoe die software veilig benaderd kan worden vanuit een thuiswerkplek,
  3. Zorg voor een veilige en voor de gebruiker werkbare (remote) werkplek. Het ultieme hierin is een aparte omgeving waarin het werk op een juiste manier uitgevoerd kan worden.
  4. Maak medewerkers bewust van informatieveiligheid en wat zij hieraan kunnen bijdragen. En probeer hier de mogelijke bezwaren van hen weg te nemen waarom dit niet kan.
  5. Het logisch toegangspad begint nu bij de (thuis)werkplek. Het verplicht inloggen vanaf een laptop met een ‘zero footprint’ is voor een administrator mogelijk relevanter dan voor een medewerker zonder uitgebreide (hoge) toegangsrechten.

En ja, dan kunnen we op een gegeven moment ook vaststellen dat sommige werkzaamheden nou eenmaal niet thuis uitgevoerd kunnen worden.

Schrijf je nu in om onze discussie te volgen

De discussie voeren we op 15 september van 12:00 - 13:00 uur. We beantwoorden en gaan verder in op de vragen die ons worden gesteld. Dit kun je van tevoren doen, terwijl je je inschrijft

Jacques Eding is een door de wol geverfde informatie-risicomanager en architect. Hij heeft in de afgelopen 25 jaar in verschillende rollen diepgaande kennis opgebouwd van infrastructuren, beheerprocessen en informatiebeveiliging. Binnen het competentiegebied informatie-risicomanagement heeft Jacques meerdere rollen gehad op tactisch, strategisch en operationeel niveau. Hierdoor heeft Jacques op elk van deze lagen kennis opgebouwd, waardoor hij de unieke mogelijkheid heeft om als mediator tussen de verschillende lagen op te treden.

Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank. Als docent zijn zowel Jacques als Mark betrokken bij de opleiding Management van Informatiebeveiliging en de cursus Introductie informatiebeveiliging


DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Verbeter de informatiebeveiliging

    Mijn ervaringen bij een middelgrote gemeente

    Lees verder
  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder

Cookies op de website van Inspearit

Wij plaatsen functionele cookies, om deze website naar behoren te laten functioneren, analytische cookies waarmee wij het gebruik van de website kunnen meten en cookies van derden voor het weergeven van emdeded media (YouTube en GoogleMaps) Hieronder kan je aangeven welke andere soorten cookies je wilt accepteren:

Meer informatie