Eerder schreven wij over in het oog springende risico’s bij thuiswerken. Vanwege de coronacrisis werken veel medewerkers vanuit huis. Een goed middel om het werk door te laten gaan, maar geen ‘business as usual’. Wat kan uw organisatie doen om de securityrisico’s rond thuiswerken onder controle te houden? In deze blog geven wij zes tips.
In onze eerdere blog wezen wij op vijf in het oog springende risico’s, kort samengevat: een verlaagd veiligheidsbewustzijn, mindere fysieke beveiliging, gebruik van privé-apparatuur, laksheid door fysieke afstand en de opeenstapeling van ‘work arounds’. Onderstaande tips kunnen u niet alleen helpen om de risico’s onder controle te houden, maar ook om dat op een efficiënte wijze te doen.
In crisistijden is het verleidelijk om reactief te werk te gaan en direct allerlei ad hoc maatregelen te nemen. Angst is echter een slechte raadgever: houd het hoofd koel, neem een ‘helicopter view’ aan en behoud het overzicht. Zet de schaarse middelen (resources, tijd en geld) efficiënt in door te focussen op de (voor jouw organisatie) grootste risico’s en laaghangend fruit.
De virtuele werkstations kunnen helemaal up-to-date zijn, maar als de apparatuur van de eindgebruiker verouderde software heeft, bent u alsnog kwetsbaar. Zorg er dus voor dat op de apparatuur waarop uw medewerkers werken (of dat nou bedrijfsapparatuur is of privé), de laatste updates en patches zijn geïnstalleerd.
De menselijke factor is en blijft een belangrijke binnen informatiebeveiliging. Door de crisisomstandigheden is sprake van een verlaagd veiligheidsbewustzijn en door de fysieke afstand worden medewerkers lakser met het vragen om hulp en het melden van potentiële incidenten. Daarnaast nemen aanvalsoppervlakken toe nu iedereen thuiswerkt. Zet daarom extra in op het detecteren van securitygebeurtenissen. Bijvoorbeeld door de logs vaker of uitgebreider te monitoren, door aanvullende geautomatiseerde detectiemaatregelen te treffen, maar ook door medewerkers te wijzen op hun verantwoordelijkheid rond security en ze op het hart te drukken om ook nu fouten en verdachte zaken direct te melden.
Als uw organisatie volledig in de cloud werkt, heeft u uw informatie mooi bij elkaar, op de plek die daarvoor aangewezen is. Maar in tijden van overbelaste netwerken, internetverbindingen en cloudapplicaties is het soms nodig om bestanden te downloaden en lokaal (op de laptop of pc van de medewerker) te verwerken. Zorg er dan voor dat de bestanden alsnog regelmatig worden gesynchroniseerd met de clouddienst, of dat er extra back ups worden gemaakt. Vanzelfsprekend dienen die back ups even veilig te zijn als uw reguliere back ups. De laptop of pc van de betreffende medewerker wordt anders een ‘single point of failure’; als het apparaat kapotgaat of gestolen wordt, bent u niet alleen het apparaat kwijt, maar ook de informatie die daarop stond.
Veel dingen zullen nu anders gaan dan anders, want nood breekt wet. Voorkom dat u later (of dat nou volgende week is, of over een paar maanden) niet meer weet wat allemaal anders is gegaan dan anders. Noteer op welke punten er is afgeweken van de normale gang van zaken rond de informatiehuishouding en de beveiliging daarvan. Zo weet u op een later moment nog welke ‘work arounds’ u terug moet draaien, maar kunt u ook goed evalueren welke afwijkingen van de normale gang van zaken goed hebben gewerkt en welke minder goed.
Het is misschien een open deur, maar toch moet hij worden ingetrapt. Goede communicatie is van groot belang, zeker in tijden waarin er een fysieke barrière wordt opgeworpen die laagdrempelige communicatie belemmert. Instrueer medewerkers duidelijk over wat er van ze wordt verwacht, en houd het management geïnformeerd over de maatregelen die worden ingesteld en de risico’s die spelen. Maar vergeet ook andere stakeholders die relevant zijn voor uw organisatie niet. Denk bijvoorbeeld aan business partners en aandeelhouders, maar zeker ook aan leveranciers, zoals ict-dienstverleners die kritieke systemen voor u in de lucht houden. Zij zijn net zo belangrijk voor de continuïteit van uw dienstverlening als uw eigen medewerkers.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.