Informatiebeveiliging in het tijdperk van hybride werken:
is uw organisatie voorbereid op nieuwe risico's?

Tot 2020 was het dankzij persoonlijke interactie met medewerkers eenvoudiger voor IT-teams om problemen op te lossen. Het proces was meestal op dit soort interactie gebaseerd. Medewerkers die buiten het kantoor werkten, konden via een infrastructuur met VPN toegang krijgen tot interne systemen, wat meestal snel en veilig was. Toen de pandemie toesloeg, veranderden de vertrouwde manieren van werken en daarmee het IT-landschap volledig. Afdelingen moesten zich plotseling aanpassen aan een reeks nieuwe, onverwachte beveiligingsuitdagingen.

Vanuit praktisch oogpunt werd toegang plotseling een grote uitdaging. Hoewel hybride werken en werken op afstand niet nieuw waren, was VPN-toegang slechts bedoeld voor een klein aantal thuiswerkers en niet berekend op een situatie waarin iedereen buiten kantoor werkte. Door de plotselinge en aanhoudende toename van het aantal gebruikers dat verbinding wilde maken, werd het gebruik te intensief en raakte de VPN-headend overbelast.

Tegelijkertijd konden problemen niet meer rechtstreeks worden opgelost, waardoor het moeilijk werd de identiteit vast te stellen van de persoon met wie de IT-afdeling communiceerde. Dit leidde tot een piek in social engineering-aanvallen, waarbij cybercriminelen de identiteit van legitieme bronnen nabootsten. In het rapport van Verizon uit 2021 werden dergelijke aanvallen zelfs genoemd als de meest voorkomende schadelijke aanvallen.

Nog een probleem was de grotere kans op het gebruik van niet goedgekeurde apparaten door medewerkers die op een andere locatie dan kantoor werkten. Wanneer de helft van de medewerkers thuiswerkt, is het moeilijker om te voorkomen dat ze eigen apparatuur en toepassingen gebruiken in plaats van de apparatuur en toepassingen die door hun organisatie zijn goedgekeurd. Op kantoor zijn er vaak officiële BYOD-programma's (bring your own device), waarbij medewerkers specifieke gebruiksvoorwaarden krijgen opgelegd. Maar het is moeilijker om deze procedures te handhaven bij thuiswerkers die vaak denken dat kantoorbeleid niet van toepassing is op thuisomgevingen.

Deze problemen zijn niet meer weg te denken. De plotselinge overstap naar werken op afstand is uitgegroeid tot een permanent kader voor hybride werken. Het is daarom essentieel dat IT-teams zich ook aanpassen en elke nieuwe werkomgeving afzonderlijk en integraal benaderen om een flexibele beveiligingsrespons te waarborgen.

In een recent onderzoek van Canon zegt 77% van de IT-besluitvormers dat medewerkers de beveiligingsprocedures niet meer volgen als ze buiten kantoor zijn, ook al heeft de organisatie een officieel beleid voor hybride werken. Om IT-teams volledige controle over de beveiliging te geven, is het van cruciaal belang om zeer specifieke beleidsregels in te stellen voor werkgedrag buiten het kantoor – van apparaatbeveiliging tot het downloaden van toepassingen; en van verbinding maken met netwerken tot het veilig weggooien van geprinte documenten met papiervernietigers. Dit moet niet uitsluitend worden overgelaten aan het oordeel van de medewerker.

Uit onderzoek blijkt dat medewerkers misschien niet begrijpen wanneer de regels van toepassing zijn en wat het belang ervan is. De beste manier om dit inzicht te creëren is door middel van verplichte webinars waarin de nadruk wordt gelegd op de verantwoordelijkheid die medewerkers hebben, ongeacht de locatie vanwaar ze werken. Medewerkers zijn met of zonder training nog steeds kwetsbaar voor opzettelijke schadelijke aanvallen. Daarom moet uw organisatie overwegen om te investeren in de juiste opleiding en beveiligingstraining om te voorkomen dat medewerkers slachtoffer worden van oplichtingspraktijken zoals phishing.

Gedeelde werkplekken worden steeds populairder als een flexibel, goedkoper alternatief voor eigen ruimte. Bij de keuze van een co-workingruimte is het echter van cruciaal belang om niet alleen naar de kosten en faciliteiten te kijken, maar ook het beleid van informatiebeveiliging en de algemene voorwaarden te controleren. Veel organisaties denken dat co-workingruimten verantwoordelijk zijn voor de beveiliging op de locatie, maar in de praktijk kan het zijn dat in de kleine lettertjes is bepaald dat de locatie geen verantwoordelijkheid draagt.

Stel vragen om ervoor te zorgen dat de co-workingruimten voldoen aan de beveiligingsniveaus en verwachtingen in uw eigen beleid. Hoe is de fysieke beveiliging geregeld? Kan iemand gewoon naar binnen lopen? Wat zeggen de voorwaarden over gegevensverlies of datalekken? Wie wordt als verantwoordelijk beschouwd als dit soort incidenten zich voordoen? En wat is daarnaast het beveiligingsbeleid met betrekking tot printen? Zijn documenten voor iedereen toegankelijk?

Het is belangrijk dat medewerkers de beveiligingsrisico's begrijpen die gepaard gaan met onderweg werken. Zo is gedeelde Wi-Fi in cafés bijvoorbeeld toegankelijk voor iedereen. Daarom is het van essentieel belang dat medewerkers bedrijfsdocumenten alleen via het VPN openen om de informatiebeveiliging te waarborgen. Daarnaast gebeurt het makkelijk dat medewerkers informatie fysiek blootgeven aan anderen, bijvoorbeeld als ze bij hun laptop weglopen om koffie te halen of als ze voor iemand in de trein zitten. Als medewerkers vaak voor hun werk reizen, moeten IT-besluitvormers in ieder geval eenvoudige oplossingen zoals privacy-schermen voor mobiele apparatuur overwegen.

Organisaties moeten ook begrijpen dat niemand perfect is. Het is zeker niet ongebruikelijk dat iemand een telefoon of laptop van het bedrijf achterlaat in een trein. Met dat in het achterhoofd zijn voorzorgsmaatregelen een goed idee. Overweeg het gebruik van BitLocker voordat een gebruiker toegang krijgt tot het besturingssysteem, versleuteling van harde schijven en functionaliteit om een mobiel apparaat via een signaal te wissen om te voorkomen dat iemand toegang krijgt tot bedrijfsgevoelige informatie.

Organisaties over de hele wereld moesten werken op afstand en hybride systemen sneller invoeren dan ze hadden verwacht. Als gevolg daarvan hebben IT-teams ontzettend hard moeten werken om ervoor te zorgen dat de organisatie op afstand kon blijven draaien. Nu de rust langzaam terugkeert, moet beveiliging een topprioriteit zijn. Met zoveel nieuwe bronnen van potentiële beveiligingsrisico's in een gedistribueerde werkruimte kan elke organisatie voordeel hebben bij een beoordeling van beveiligingsprotocollen en -beleid. Zeker gezien het grote aantal veranderingen die de wereld van het werk beïnvloeden, is het belangrijk om te beseffen dat medewerkers zich misschien niet bewust zijn van de invloed van die veranderingen op beveiligingsprocedures of dat ze begrijpen hoe ze hun eigen gedrag moeten aanpassen. Met de relevante kennis en een grondige training van uw medewerkers haalt uw organisatie het maximale uit hybride werken zonder dat uw informatiebeveiliging in gevaar komt.