Hoe zorgt u ervoor dat uw medewerkers veilig thuiswerken?

    / 16 March 2022

    Het is niemand ontgaan dat er tegenwoordig aanzienlijk minder op kantoor wordt gewerkt dan enkele jaren geleden. Dit biedt vele voordelen zoals flexibelere werktijden, meer focustijd en meer tijd voor jezelf, gezin of familie. Toch kleven er ook zeker nadelen aan deze ontwikkeling; minder contact met collega’s, verminderde sociale controle en minder binding met je werkgever. Juist deze nadelen leveren een verhoogd risiconiveau op voor bedreigingen als digitale infiltratie (phishing /malware), diefstal van bedrijfsmiddelen en non-compliance (uitlekken van data). Om zich als organisatie te kunnen weren tegen deze bedreigingen is het verstandig een breed scala aan maatregelen te overwegen. In deze blog vind u een handige lijst van waar u aan kunt denken.

    Beveilig de bedrijfsmiddelen van uw medewerkers

    Laten we beginnen bij de beveiliging van de bedrijfsmiddelen die door de werknemer in beheer zijn. Per middel kunt u aan het volgende denken:

    Bovenstaande kan voor Workstations & Smartphones grotendeels automatisch afgedwongen worden door MDM software te implementeren. Bepaalde security-gebeurtenissen op devices kunnen aanvullend gemonitord worden.

    Ondersteunende software

    Zorg ervoor dat alleen software uit betrouwbare bronnen geïnstalleerd mag (of beter nog: kan) worden. Daarmee doelen we op een desbetreffende centrale ‘OS’-store, software dat is ondertekend door erkende softwareleverancier of direct geïnstalleerd wordt van diens website. Denk ook aan het regelmatig updaten van ondersteunende software, zoals office applicaties, internetbrowsers, overige business specifieke software.

    Overweeg een BYOD-beleid

    Naast bedrijfsmiddelen is het ook verstandig een BYOD-beleid te overwegen: mogen medewerkers hun eigen bedrijfsmiddelen inzetten om werk op te verrichten? Indien ja:

    • Aan welke vereisten dient het apparaat te voldoen?
    • Wie dient dit te autoriseren?
    • En hoe houdt men hier controle op?

    Beveilig mail

    Zorg dat de mailserver goed geconfigureerd is en bescherming biedt door protocollen als DKIM, SPF en DMARC toe te passen. En natuurlijk een anti-spam oplossing.

    Beveilig het netwerk

    Zorg dat medewerkers de beschikking hebben over een deugdelijke encrypted thuisnetwerkverbinding, voorzien van een sterk wachtwoord. Draag er zorg voor dat er een (schaalbare) VPN-oplossing voor de verbinding naar gevoelige interne systemen wordt gebruikt. U kunt ook overwegen om medewerkers te verbieden om gebruik te maken van openbare netwerken.

    Zorg voor veilig gebruik van wachtwoorden

    Zorg dat personeel gebruik kan maken van een betrouwbare wachtwoordmanager, bij voorkeur centraal beheerd door de organisatie (bijv. 1password of Lastpass).

    Maak beleid en procedures

    Zorg ervoor dat voor iedereen duidelijk is wat de afspraken zijn. Denk aan de volgende punten:

    • Regelgeving omtrent het gebruik van bedrijfsmiddelen, bijvoorbeeld:
      • In welke mate zijn ze inzetbaar voor privé-doeleinden?
      • Is het gebruik van derden toegestaan of verboden?
      • Alleen goedgekeurde 3e partijen mogen de middelen repareren.
      • Omgang met (gevoelige) geprinte informatie: na gebruik direct veilig opslaan, alvorens permanent te vernietigen (dmv shredding);
      • Deling en opslag van data; dat mag uitsluitend via goedgekeurde devices/applicaties.
    • Autorisatiebeheer: het onderhouden en regelmatig controleren op correcte toepassing van autorisaties. Denk daarbij aan:
      • Hebben de juiste functionarissen toegang?
      • De actieve sturing op de beveiliging van portalen, afhankelijk van diens belang voor de organisatie, bijv: TLS, MFA, credentials.
      • Selectie van de tooling tegen vastgestelde security baselines.
    • Werken in openbare ruimtes (bijv. trein):
      • Gebruik een scherm (of privacy) filter;
      • Deel geen gevoelige informatie via telefonische gesprekken.
      • Het melden en afhandelen van (potentiële) incident registraties en datalekken.
      • Het behandelen van vragen/verzoeken over bovenstaande onderwerpen (bijv. Security Officer, IT Servicedesk).
    • En uiteraard, wellicht zelfs het belangrijkste - awareness: geef (voor zover mogelijk, functie specifieke) trainingen om:
      • de interne regels kenbaar te maken, dan wel onder de aandacht te houden.
      • medewerkers bewust te maken dreigingen als phishing-aanvallen zelf te kunnen identificeren.

    Een ISO 27001 certificering helpt u gestructureerd en periodiek vinger aan de pols te houden

    Het uitvoeren van een periodieke risico- en kansenanalyse en het optuigen en onderhouden van een control framework gebaseerd op een erkende norm (bijv. ISO 27001) kan aanzienlijk helpen relevante risico’s te managen. Op deze manier kan men ook voor klanten en andere belanghebbenden aantoonbaar maken dat informatiebeveiliging hoog op de agenda van uw organisatie staat en een serieuze effort wordt geleverd om in te spelen op relevante ontwikkelingen, ongeacht of dit nu risico’s of kansen zijn. ICTRecht kan u ondersteunen bij het verkrijgen van een ISO 27001 certificering. 

    Meer lezen over dit onderwerp? Lees verder:
    Terug naar overzicht

    Wim Veenstra

    Information Security Consultant
    Lees meer
    security

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram