Informatiebeveiliging binnen de hybride werkomgeving

De standaard werkplek van de meeste medewerkers bevond zich vaak in een kantoorgebouw, maar die functie van het kantoor is het afgelopen jaar aanzienlijk veranderd. Vandaag de dag zegt meer dan 90%¹ van de organisaties dat zij medewerkers vanaf nu de mogelijkheid geven om, ten minste een deel van hun werktijd, op afstand te kunnen werken. Veranderingen die haastig werden doorgevoerd om de pandemie het hoofd te bieden, kristalliseren zich beetje bij beetje uit tot vaste patronen. De verwachting is dat medewerkers de vrijheid zullen hebben om zich tussen meerdere werkomgevingen te bewegen en vanuit elke omgeving verbinding te maken met het netwerk van de organisatie.

Bent u zich ervan bewust, dat deze verschuiving naar een hybride werkmodel potentiële beveiligingsrisico's met zich meebrengt voor uw organisatie en uw medewerkers? De netwerkomgeving van uw organisatie is geëvolueerd en omvat niet alleen de kantoorlocatie, maar ook de thuisomgeving van elke werknemer. Het is dan ook niet verwonderlijk dat organisaties aangeven minder vertrouwen te hebben in de robuustheid van hun beveiligingsmaatregelen, zo blijkt uit inzichten van de NCC Group.²

Nu hybride werken niet meer weg te denken is, moeten beveiligingsprofessionals snel te werk gaan om een flexibele werkomgeving veilig te stellen waarop uw organisatie kan vertrouwen. Om dit te doen, moeten ze een holistische aanpak hanteren. Dit betekent dat ze ervoor moeten zorgen dat de beveiligings-infrastructuur van de organisatie waterdicht is, terwijl ze tegelijkertijd moeten investeren in opleiding en training van medewerkers. Alleen dan kunt u de samenwerking tussen op afstand van elkaar werkende collega’s op een comfortabele manier faciliteren of verwachten dat u weerstand kunt bieden tegen het moderne bedreigingslandschap.

Quentyn Taylor, Director of Information Security bij Canon EMEA, geeft in deze video aan hoe belangrijk het is om te beschikken over krachtige Security Services en hoe Canon daarbij kan helpen.

Organisaties moeten zich bezighouden met de veranderingen die we zien in het moderne bedreigingslandschap te midden van een verschuiving naar hybride werken, en beoordelen hoe deze van invloed zijn op onze nieuwe werkrealiteit.

1. Ten eerste communiceren en werken medewerkers nu met elkaar samen voorbij de grenzen van de gebruikelijke beveiligingsfirewalls, waarbij ze gedurende de dag bedrijfsgevoelige informatie delen.
2. Ten tweede hebben medewerkers waarschijnlijk toegang tot organisatieservers via openbare netwerken, wat aanvallers meer mogelijkheden biedt om door te breken. Volgens de NCC Group³ zag 66% van de organisaties die in 2020 meer gebruik gingen maken van werken op afstand, een toename in phishing- en malware-aanvallen. Opmerkelijk is dat 39% van alle ondervraagden meldde dat in de tweede helft van het jaar toevallige, kwaadaardige of onopzettelijke bedreigingen van binnenuit de organisatie waren toegenomen.
3. Tot slot zien we een toename van het gebruik van persoonlijke IoT-apparatuur, zoals printers en telefoons, die zijn geconfigureerd met standaard beveiligingsinstellingen en die, naast organisatie-apparatuur zoals laptops, voor het werk worden gebruikt. Mobiel werken en externe systeemtoegang door trends als ‘Bring Your Own Device’ (BYOD) bieden enerzijds grote voordelen voor de productiviteit van medewerkers, maar leiden anderzijds ook tot nieuwe potentiële bedreigingsfactoren en nieuwe uitdagingen met betrekking tot het beheer. Het technologie- en gebruikersbeleid dat organisaties voorheen hadden ingesteld om een kantoorgebouw te beschermen, is niet langer toepasbaar in een hybride werkomgeving.

Organisaties hebben nu de kans - en de steun van senior besluitvormers - om intern aanzienlijke verbeteringen door te voeren. Hoewel organisaties risico's nooit volledig kunnen uitbannen, zijn er stappen die u kunt nemen om veerkracht op te bouwen, terwijl u zich voorbereidt op de hybride toekomst.

1. Ten eerste is het belangrijk om een beveiligingsbeoordeling van uw interne en externe IT-infrastructuur uit te voeren, om inzicht te krijgen in de omvang van de infrastructuur die u daadwerkelijk hebt; het kan zijn dat de grenzen anders liggen dan u denkt.
2. Dit zal de sterke en zwakke punten van uw beveiliging over de hele linie aan het licht brengen. Alleen dan kunt u gaten in de beveiliging vaststellen en weten welke verbeteringen moeten worden aangebracht om uw netwerk volledig te beveiligen. Het is net als bij het beveiligen van een huis: als één toegangspunt kwetsbaar is en een aanvaller komt binnen, maakt het niet uit dat alle andere punten goed beveiligd waren. Het opsporen van alle mogelijke kwetsbaarheden is een essentiële stap in het beveiligen ervan.
3. Kwetsbaarheidsbeoordelingen kunnen op elk moment worden uitgevoerd. Voordat u nieuwe systemen of endpoints in de IT-infrastructuur introduceert, of op doorlopende basis. Immers, wat gisteren nog ‘veilig’ was, is dat vandaag misschien niet meer. Canon's Office Health Check service biedt organisaties een uitgebreide beoordeling van hun interne en externe IT-infrastructuur, inclusief aanbevelingen gerangschikt naar risico, om te helpen potentiële kwetsbaarheden in de beveiliging te verhelpen. Door kwaadaardige aanvallen op te sporen voordat ze de kans krijgen om toe te slaan, kan Canon uw organisatie helpen gegevensverlies te voorkomen.

Een van de meest voorkomende fouten die organisaties maken, is dat ze zich alleen richten op het technische aspect van cyberbeveiliging. Als u een netwerkomgevingsassessment uitvoert en investeert in de beste netwerkbeveiligingsoplossingen, heeft u wellicht vertrouwen in de veerkracht van uw beveiligingsmaatregelen en denkt u misschien gewoon door te kunnen gaan met uw dagelijkse werkzaamheden. U kunt echter nog steeds betrokken raken bij een beveiligingsinbreuk. Waarom? Omdat u uw medewerkers geen training hebt gegeven. Per slot van rekening is er maar één verkeerde klik op een frauduleuze link nodig om de organisatie bloot te stellen aan risico's. Het opleiden en trainen van alle medewerkers in de concepten van cyberbeveiliging en het correct omgaan met gevoelige informatie is een onmisbaar element van elke beveiligingsstrategie.

Nu we een tijdperk van hybride werken binnengaan, is het belangrijk om een cultuur van openheid rond inbreuken op de beveiliging te bevorderen en medewerkers aan te moedigen om mogelijke aanvallen te melden en hun fouten te delen. Uw verdedigingsstrategie is alleen effectief als inbreuken worden gemeld. Ten eerste helpt dit om de schade te beperken, aangezien problemen vaak een sneeuwbaleffect hebben als medewerkers fouten verbergen. Als een fout in de openbaarheid komt, kan hij worden hersteld. Ten tweede kunnen inbreuken worden gebruikt om de voorlichting over beveiliging te verbeteren, terwijl het bundelen van kennis over aanvallen de ontwikkeling van nieuwe verdedigingsmechanismen kan versnellen.

Het goede nieuws is dat organisaties bereid zijn te investeren in de bijscholing van hun medewerkers: Uit een recent onderzoek⁴ van de NCC Group blijkt dat 36% van de besluitvormers in de komende 12 maanden bewustwordingstraining op het gebied van cyberbeveiliging zal uitbesteden, en 39% opleiding van beveiligingseigenaren op het gebied van cyber best practices aanmerkt als het gebied waar hun organisatie het meeste baat bij zou hebben.