Thuiswerken is de norm. En misschien wordt thuiswerken wel het ‘nieuwe normaal’. Dankzij de pandemie heeft het fenomeen thuiswerken in ieder geval een enorme vlucht genomen. Daarmee is het op dit moment geaccepteerd als onderdeel van de wijze waarop wij ons werk invullen. De vraag is echter of de manier waarop bedrijven nu thuiswerken faciliteren de vertrouwelijkheid, integriteit en continuïteit van bedrijfsinformatie voldoende afdekken.
In deze blog ga ik in op aspecten die van belang zijn bij het thuiswerken; het beschermen van de essentiële data (de kroonjuwelen) en de continuïteit van de IT omgeving en hoe dit een duurzaam karakter te geven.
Beschikbaarheid
De oplossing(en) die voor pre-corona geboden worden, zijn in eerste instantie niet altijd bedoeld om met het volledige personeelsbestand tegelijkertijd te gebruiken. Doordat de oplossing door meer mensen tegelijkertijd gebruikt wordt dan initieel de bedoeling ontstaan beschikbaarheidsproblemen. Deze problemen leiden er vaak toe dat medewerkers een alternatief gaan bedenken (schaduw-IT) voor de werkwijze die niet altijd de juiste bescherming biedt voor de essentiële data. Problemen die aan de grondslag liggen van beschikbaarheid zijn: Schaling van de oplossing en onder andere DDOS aanvallen[1].
Integriteit
Als het gaat om de kroonjuwelen van een bedrijf is het van essentieel belang dat deze niet aangepast worden. Door het ontstaan van schaduw-IT is de kans aanwezig dat door de, vaak uit de beste bedoelingen, gekozen oplossing bijdraagt aan het mogelijk wijzigen van de documenten en/of data die via de schaduw-IT methode beschikbaar zijn gesteld. Een methode die door kwaadwillende gebruikt wordt is (spear)phising[2].
Vertrouwelijkheid
Doordat er vanuit praktisch overal gewerkt kan worden , dus ook bijvoorbeeld op een publieke plek, zou het ook mogelijk zijn dat belangrijke data of documenten onbedoeld ingezien worden door derden. Of door het gebruik van de schaduw-IT oplossingen kan het zijn dat inhoud van de data of documenten onbedoeld elders terecht komen.
Aanbevelingen
Om thuiswerk beter te faciliteren, de essentiële data beter te beschermen en dit een meer duurzaam karakter te geven een opsomming van de meest relevante aanbevelingen:
- Evalueer het thuiswerkbeleid (indien het beleid er niet is, maak het).
- Onderzoek en verbeter de capaciteit van de thuiswerkoplossing. Door te zorgen dat de oplossing beter beschikbaar is, bestaat er minder behoefte om alternatieve oplossingen te bedenken. Borging van beschikbaarheid.
- Overweeg een (cloud) Mobile Device Management (MDM) oplossing voor corporate devices. Door een MDM-oplossing te gebruiken, is op deze wijze het beleid w eenvoudig af te dwingen. Integriteit en vertrouwelijkheid van de data/documenten wordt op deze manier geborgd.
- Implementeer een (cloud) Mobile App Management (MAM) oplossing voor Personal devices. Door MAM toe te passen, wordt de data beschermd. Ook kunnen hier minimale eisen afgedwongen worden, zoals bijvoorbeeld het verplicht hebben van een passcode op een telefoon/tablet, of het hebben van een antivirus oplossing op een werkstation. Wanneer niet voldaan wordt aan de minimale set aan eisen, kan toegang tot de data/documenten geblokkeerd worden. Integriteit en vertrouwelijkheid van de data/documenten wordt op deze manier geborgd.
- Implementeer Multi-Factor Authenticatie (MFA). Een gebruikersnaam en wachtwoord alleen is niet veilig genoeg meer. Door MFA toe te passen wordt een extra barrière toegepast voor het misbruiken van inloggegevens.
- Update VPN-oplossingen. Zodat de VPN-oplossing niet meer kwetsbaar is voor bekende kwetsbaarheden.
- Forceer op zijn minst encryptie van harde schijven, maar denk ook aan bescherming van data door middel van data protection maatregelen. Door de harde schijf te versleutelen kan een schijf niet zomaar uitgelezen worden. Door informatie en documenten te versleutelen wordt kritische informatie/documenten beschermd tegen verlies buiten de organisatie.
- Overweeg DDoS bescherming voor het bedrijfsnetwerk.
- Stel een anti-malware programma (Endpoint Detection and Response) beschikbaar voor alle medewerkers. Door deze software beschikbaar te stellen aan alle medewerkers ongeacht of zij gebruik maken van corporate of personal devices, wordt extra (geavanceerde) bescherming geboden tegen kwaadwillende personen.
Door het nemen van de juiste maatregelen en het aanscherpen van het beleid rondom thuiswerken kan het voor bedrijven goed mogelijk gemaakt worden om thuis te werken en dit een (semi) permanent karakter te geven.
[1] https://www.ncsc.nl/actueel/nieuws/2020/september/4/toename-aan-intensiviteit-en-aantal-ddos-aanvallen
[2] https://www.agconnect.nl/artikel/explosieve-toename-corona-gerelateerde-phishing-e-mails