De sleutel voor een veilige én gebruiksvriendelijke hybride werkplek: betrek medewerkers

De sleutel voor een veilige én gebruiksvriendelijke hybride werkplek: betrek medewerkers

Redactie Baaz

Al jaren staat een veilige en wendbare werkplek op de agenda van organisaties. Toch hadden veel bedrijven in het voorjaar van 2020 grote problemen om alle medewerkers thuis te voorzien van een fijne en veilige werkplek. Het was een wake-up call dat veel IT-omgevingen hier nog niet klaar voor waren. Ook de traditionele manier van beveiligen – een firewall en VPN – voldeed niet langer meer. Nu hybride werken een blijvertje is, komt het realiseren van een betrouwbare, veilige én flexibele ICT-omgeving meer en meer in de belangstelling te staan. Hoe pak je dit aan? We spreken met Dennis Pieterse, Chief Information Security Officer bij Conclusion Enablement.

Beleid

Nu medewerkers meer vrij worden gelaten in het kiezen van hun werkplek, is het allereerst belangrijk om hier beleid voor op te stellen, zo stelt Pieterse: “Informeer medewerkers over wat wel en wat niet mag. Dat begint al bij simpele dingen. Mag een werklaptop in de auto blijven liggen? Maar ook over welke verbindingen zijn toegestaan vanaf een plek waar iemand graag werkt, zeker als dit niet thuis of kantoor is. Zorg dat je organisatie een goed beleid heeft met voorgeschreven processen. Je kunt van medewerkers niet verwachten dat ze zich continu afvragen of ze iets wel of niet mogen. Zeker met hybride werken is het zaak om hier als werkgever uitspraken over te doen en bovenal ook om uitleg te geven over waarom bepaalde voorschriften gelden. Belangrijk daarbij is om het beleid zo gebruiksvriendelijk mogelijk te maken, zodat er geen reden is om ervan af te wijken of regels te omzeilen. Dit minimaliseert de kans op kwetsbaarheden.”

Bewustwording

Ook bewustwording is een cruciaal onderdeel in het creëren van een veilige hybride werkplek. De mens blijft nog steeds de zwakste schakel als het gaat om cybersecurity. “Medewerkers moeten weten welke risico’s hun gedrag met zich meebrengt”, vertelt Pieterse. “Denk bijvoorbeeld aan het werken in een openbare ruimte, zoals de trein of in een café. Dat geldt al bij gesprekken die daar worden gevoerd. Maar ook verbindingen in openbare ruimtes zijn niet veilig. Als men hier bewust van is, kan iemand beter overwegen om wel of niet bepaalde bestanden te versturen.” Maar hybride werken kent nog meer risico’s. Privégebruik van apparaten bijvoorbeeld. “Door hybride werken vergroot de kans dat een zakelijk apparaat ook privé wordt gebruikt. Door de werknemer zelf, maar ook door zijn of haar kind even met de iPad of smartphone te laten spelen. Voor je het weet, klikt iemand in een seconde van onoplettendheid toch op een verkeerde link. Met alle gevolgen van dien.”

Snelle detectie cruciaal

Naast investeren in bewustzijn en beleid, is het als werkgever ook je verantwoordelijkheid om te investeren in de veiligheid van de hybride werkplek. “Je kunt van medewerkers immers niet verwachten dat ze beveiligingsspecialisten zijn”, vindt Pieterse. “Je IT-omgeving moet daarom zo ingericht zijn dat links of bestandendie geïnfecteerd zijn niet eens bij medewerkers terecht komen. Of dat medewerkers in ieder geval een waarschuwing krijgen wanneer ze een verdacht bestand ontvangen. Zo vang je veel dreigingen al af.” Maar van aanvallen die specifiek gericht zijn op jouw organisatie, weet je pas of er sprake is van een virus of ransomware wanneer een aanvaller jouw netwerk al bereikt heeft. “Daarom is detectie cruciaal. Zo isoleer je gelijk het bewuste device zodat de aanval niet verder kan verspreiden”, concludeert Pieterse.

Gedragsmonitoring

Ook gedragsmonitoring vormt de kern van goede preventie en detectie. “Door te monitoren hoe medewerkers werken, kunnen afwijkingen door detectiesoftware worden geanalyseerd. De software houdt bij welk gedrag ‘normaal’ is en welk gedrag niet. Daarnaast merkt de software ook op vanaf welke locatie iemand inlogt en welke devices hij of zij gebruikt. Verdachte gedragingen worden op deze manier snel opgemerkt. Zo kan bijvoorbeeld worden geconcludeerd dat niet de medewerker zelf inlogt, maar een kwaadwillende die iemands identiteit heeft gestolen. Ook in dit geval kun je een account vervolgens snel isoleren.”

Maatregelen treffen

Dit klinkt wellicht allemaal bekend, maar het grote verschil met hybride werken ten opzichte van op kantoor werken, is dat medewerkers zelf ook moeten investeren om hun apparaten veilig te houden. Pieterse: “Als werkgever heb je zo minder controle en dat is best een uitdaging. Je wil daarom dat updates zo snel mogelijk doorgevoerd worden zodat veiligheid gewaarborgd blijft.” Dat kun je doen door aanpassingen te doen die de security verhogen. “Het is cruciaal dat middelen waarmee gewerkt wordt volgens de laatste patches werken, zodat de kans op een inbraak zo klein mogelijk is. Dat kun je best afdwingen”, legt Pieterse uit. “Stel bijvoorbeeld in dat medewerkers pas toegang krijgen als apparaten weer up-to-date zijn. Zo weet je zeker dat cyberrisico’s geminimaliseerd worden.”

Veiligheid versus gebruiksvriendelijkheid

Naast veiligheid, ligt er ook een verantwoordelijkheid wat betreft de flexibiliteit en toegankelijkheid van de hybride werkplek bij werkgevers. Volgens Pieterse mag veiligheid immers niet ten koste gaan van gebruiksvriendelijkheid. “Werknemers willen werken waar en wanneer ze willen. Dat is iets van de laatste jaren. Dit geldt ook voor applicaties die ze nodig hebben om hun werk goed uit te kunnen voeren. Ze willen dat deze altijd en overal beschikbaar zijn. Dat is bij veel bedrijven echter nog niet zo ingericht. Je wil voorkomen dat een app op kantoor een betere functionaliteit heeft dan op een andere plek. Het is daarom zaak om businessapplicaties hierop aan te passen, zodat het aansluit bij de flexibiliteit en beschikbaarheid die medewerkers verwachten.”

Maar hoe opener de werkplek, hoe meer verantwoordelijkheid er bij de medewerker komt te liggen om daar goed mee om te gaan. Dat brengt wel uitdagingen wat betreft veiligheid mee. Toch biedt een modern, geïntegreerd IT-landschap genoeg manieren om én gebruiksvriendelijk én veilig te werken volgens Pieterse. “Link applicaties bijvoorbeeld aan één account met één veilig wachtwoord en een tweede authenticatiefactor. Dus een telefoon met naast een account met wachtwoord, ook een vingerafdruk of gezichtsherkenning waarmee je kunt inloggen”, stelt hij.

Ga aan de slag

Eén ding is zeker: er is werk aan de winkel voor jou als werkgever nu hybride werken steeds vaker de standaard is. Een securityniveau van honderd procent is nooit haalbaar. Wel kun je zo veel mogelijk doen om kwetsbaarheden te vermijden en zo de kans op een succesvolle aanval te minimaliseren. Houd daarbij ook altijd gebruiksvriendelijkheid in je achterhoofd.

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie