Steeds meer organisaties kiezen voor een combinatie van thuiswerken en werken op kantoor. “Hybride werken is de toekomst, maar het brengt ook securityrisico’s met zich mee”, zegt Erno Doorenspleet, CTO bij KPN Security. Hoe zorg je voor een veilige hybride werkomgeving?
Kritische blik op security
“De werknemer geeft de voorkeur aan hybride werken”, stelt Doorenspleet. “Het is aan de werkgever om dit op een veilige wijze te faciliteren. Door corona moesten we van de ene op de andere dag thuiswerken. Eigenlijk was er weinig tijd om goed na te denken over security: het was al een uitdaging om de business draaiende te houden. Maar nu weten we dat hybride werken een blijvertje is. Dat vereist een kritische blik op de beveiligingsaspecten.”
Doorenspleet heeft een aantal securitytips voor organisaties die hybride werken omarmen:
1. Beperk de toegang tot applicaties en gegevens
Hybride werken betekent dat de IT-afdeling minder zicht heeft op de werknemers en hun apparaten. In de ideale situatie is elk device goed beveiligd, bijvoorbeeld met antivirussoftware. Maar minstens zo belangrijk is het beperken van de toegang tot netwerken, applicaties en gegevens. De identiteit van gebruikers moet bij elke inlogpoging geverifieerd worden, ongeacht het apparaat en de locatie. Dit concept heet zero trust.
“Met zero trust geef je werknemers zo min mogelijk toegangsrechten, zodat zij alleen bij de systemen en data kunnen die nodig zijn voor hun werk”, licht Doorenspleet toe. “Ook multifactorauthenticatie (MFA) is een cruciaal onderdeel van zero trust. Met MFA is een wachtwoord niet voldoende om toegang te krijgen. De werknemer moet dan ook een ander identificatiemiddel overleggen, zoals een code die door een app wordt getoond.”
2. Beperk de risico’s van samenwerkingstools
Samenwerkingstools zoals Slack, Microsoft Teams en Webex zijn sinds de uitbraak van het coronavirus enorm populair. Zo heeft Microsoft Teams inmiddels zo’n 250 miljoen actieve maandelijkse gebruikers. Deze oplossingen zijn nu bijna net zo onmisbaar als e-mail. In de communicatie met collega’s, klanten en leveranciers kunnen we eigenlijk niet meer zonder.
Doorenspleet: “Via deze platforms wordt veel gevoelige informatie uitgewisseld. Dat maakt ze een interessant doelwit voor cybercriminelen. Zij voeren bijvoorbeeld phishingaanvallen uit om toegang te krijgen tot data. Daarnaast gaan de werknemers zelf niet altijd veilig om met videogesprekken, schermdeling en het uitnodigen van externe partijen. IT kan deze risico’s terugdringen met de juiste beveiligingsinstellingen en voorlichting aan het personeel.”
Whitepaper: The future of networking
Verslim ook jouw netwerk. Lees onze visie, bekijk de 3 cases en ontdek hoe KPN je helpt met jouw connectiviteit.
Download3. Organiseer securitytrainingen voor werknemers
Daarmee snijdt Doorenspleet een ander cruciaal punt aan: security-awareness. “Hybride werken heeft een impact op de werkprocessen. Medewerkers zien elkaar minder vaak en communiceren anders. Bovendien worden ze op kantoor doorgaans beschermd door de firewall en andere securityvoorzieningen. Thuis is dat niet altijd het geval. Hierdoor wordt het nog belangrijker om werknemers weerbaar te maken tegen cyberaanvallen.”
“Elk bedrijf zou zijn personeel moeten trainen in het herkennen van digitale bedreigingen zoals phishing, malware en CEO-fraude”, stelt de CTO. “Als je dit regelmatig doet, vormen je medewerkers een menselijke firewall. Ook weten ze dan hoe ze moeten handelen als er toch iets misgaat. En hoe eerder een cyberincident aan het licht komt, hoe groter de kans dat de schade kan worden beperkt.”
4. Maak veilig gebruik van cloud en voorkom shadow-IT
De cloud is de motor van een hybride werkomgeving. Er zijn allerlei toepassingen: van dataopslag en bestandsuitwisseling tot kantoorsoftware en projectmanagement. Over het algemeen hebben leveranciers van clouddiensten hun beveiliging goed op orde, zegt Doorenspleet. “Maar bedrijven zijn zelf verantwoordelijk voor een veilige configuratie en het toegangsbeheer. De leverancier beschermt jouw gevoelige data niet.”
Een ander aandachtspunt is het tegengaan van shadow-IT. Als de ‘goedgekeurde’ IT-middelen niet goed werken, zoeken werknemers naar alternatieven. “Zij praten bijvoorbeeld via WhatsApp met collega’s of werken in hun eigen Google Docs. Zo ontstaat shadow-IT waar de IT-afdeling geen grip op heeft. Een streng en helder beleid helpt dit te voorkomen, maar nog beter is het om thuis te zorgen voor een optimale werknemerservaring.”
5. Maak goede afspraken over de werklocatie
Hybride werken kan tot verwarring leiden. Zo is niet altijd duidelijk wie er naar kantoor komt en wie vanuit huis werkt. Dat zijn ideale omstandigheden voor cybercriminelen. “Zij kunnen bijvoorbeeld een e-mail versturen uit naam van een manager die op vakantie is”, legt Doorenspleet uit. “’Ik werk vandaag thuis. Wil jij even naar de financiële afdeling lopen om met spoed een betaling te voldoen?’ Voor je het weet is het geld weg.”
“Flexibiliteit is een groot voordeel van hybride werken”, zegt de CTO. “Toch is het vanuit securityoogpunt zinvol om enige structuur toe te voegen. Denk hierbij aan vaste dagen waarop mensen naar kantoor komen of juist thuiswerken. Zorg er ook voor dat werknemers op de hoogte zijn van elkaars vakantieplannen. Zo voorkom je dat een cybercrimineel zich eenvoudig voor kan doen als een collega.”
Whitepaper: Hybride werken écht laten werken
Na 2 jaar volledig thuiswerken, zet Nederland nu een volgende stap: naar het hybride werken. Hoe laat je dat écht werken?
DownloadBeste van beide werelden
Doorenspleet benadrukt dat de securityrisico’s absoluut geen reden zijn om af te zien van hybride werken. “Thuiswerken zorgt voor een betere balans tussen werk en privé. Ook besparen bedrijven op reiskosten en staan er minder files. Tegelijkertijd behoudt het kantoor zijn functie als ontmoetingsplek en voedingsbodem voor nieuwe ideeën. Hybride werken biedt het beste van beide werelden, maar je moet het wel veilig inrichten.”