Vanwege de COVID-19-uitbraak laten veel bedrijven hun personeel van huis uit werken, inclusief bedrijven die dit nooit eerder overwogen hadden. Dat betekent dat er nog geen sprake was van beleidsvormen wat betreft telewerken en het is dus ook onwaarschijnlijk dat er voldoende rekening wordt gehouden met de verhoogde risico’s die hierbij komen kijken. Wij proberen iets aan dit probleem te doen en leggen uit hoe u de risico’s kunt beperken.
Op het eerste gezicht is het enige verschil voor mensen die altijd op kantoor werkten het gebrek aan persoonlijke samenwerking met collega’s. Maar er komt veel meer bij kijken. Denk bijvoorbeeld aan communicatiekanalen, vaste routines, samenwerkingstools, uitrustingen, en toegang tot die uitrustingen.
Communicatiekanalen
Als uw werknemers op kantoor op het lokale netwerk werken, verwerken uw beveiligingssystemen alle gegevensuitwisselingsprocessen. Maar nu uw personeel thuiswerkt, wordt er een extra variabele aan de mix toegevoegd in de vorm van internetproviders. U weet niets van hun beveiligingsmaatregelen en hebt hier ook geen enkele controle over. In sommige gevallen zijn de internetverbindingen thuis niet alleen toegankelijk voor uw werknemers, maar ook voor potentiële hackers. Kortom: het is beter om geen bedrijfsgeheimen te delen via zulke communicatiekanalen.
Oplossing: als uw werknemers op afstand verbinding moeten maken met bedrijfsmiddelen, zorg er dan voor dat ze over een betrouwbare VPN beschikken om een veilig kanaal op te zetten tussen hun werkstation en uw infrastructuur om zo bedrijfsgegevens tegen buitenstaanders te beschermen. Verbied tegelijkertijd ook verbindingen met bedrijfsmiddelen vanaf externe netwerken zonder VPN.
Vaste routines
Telewerkers kunnen niet even naar een collega toelopen om het werk te bespreken, dus u kunt een toename in correspondentie verwachten, inclusief nieuwe deelnemers (mensen met wie eerder enkel verbaal werd gecommuniceerd). Kortom: doordat niet iedereen op kantoor aanwezig is, wordt de routine van uw werknemers fundamenteel aangetast. In theorie biedt dit aanvallers meer mogelijkheden, en in het bijzonder voor BEC-aanvallen. Te midden van deze steeds groter worden zee van bedrijfscorrespondentie zou een kleine phishing-bootje lastiger op te merken zijn. In andere woorden: een nepbericht dat om gegevens vraagt kan als minder ongebruikelijk of verdacht worden beschouwd dan onder normale omstandigheden. Daar komt bij dat uw werknemers in hun ontspannen thuisomgeving wellicht minder waakzaam te werk gaan.
Oplossing: ten eerste zouden uw werknemers ondanks dat ze thuis zijn alleen hun werk-e-mail moeten gebruiken. Hierdoor wordt het op zijn minst eenvoudiger om pogingen van cybercriminelen te spotten die proberen om werknemers na te bootsen als ze een account op een ander domein gebruiken. Zorg er ten tweede voor dat uw mailservers beschermd zijn door technologieën die pogingen tot wijziging van de afzender van berichten kunnen detecteren. Onze oplossingen voor zowel mailservers als Microsoft Office bieden deze technologieën. Ten derde dient u uw werknemers vóór ze naar huis te sturen een snelcursus over cyberdreigingen te geven.
Samenwerkingstools
Zonder het persoonlijke contact kunnen werknemers beroep doen op andere samenwerkingsmethodes, die niet allemaal even betrouwbaar zijn en ook goed ingesteld moeten worden. Een Google Docs-document waarbij de toegangsmachtigingen niet juist zijn ingesteld kan bijvoorbeeld worden geïndexeerd door een zoekmachine en hierdoor een lek vormen van bedrijfsgegevens. Hetzelfde kan gebeuren bij data in cloud-opslag. Een samenwerkingsomgeving zoals Slack kan ook een lek vormen, en een willekeurig toegevoegde outsider kan zo toegang verkrijgen tot de volledige geschiedenis met bestanden en berichten.
Oplossing: het is natuurlijk in uw belang om een samenwerkingsomgeving te kiezen die geschikt is op het gebied van veiligheid en de geboden features. Idealiter is er voor de registratie een zakelijk e-mailadres vereist. Bovendien is het de moeite waard om een speciale administrator aan te wijzen om rechten toe te wijzen en in te trekken. Maar het belangrijkste is om voordat u uw werknemers thuis laat werken om een bewustzijnssessie te houden (dat kan op afstand) en erop aan te dringen dat ze alleen het samenwerkingssysteem gebruiken dat binnen het bedrijf wordt gebruikt (of door u is goedgekeurd). Dit helpt ook bij het benadrukken van het feit dat ze verantwoordelijk zijn voor het veilig houden van bedrijfsgeheimen.
Uitrusting
Over het algemene hebben niet alle werknemers toegang tot een bedrijfslaptop, en mobiele telefoons zijn natuurlijk niet voor alle taken geschikt. Daarom is het misschien nodig dat werknemers hun thuiscomputers gebruiken. Voor bedrijven zonder BYOD-beleid kan dit een serieuze dreiging zijn.
Oplossing: zorg er ten eerste voor dat als werknemers vanuit huis moeten werken dat u ze, indien mogelijk, van bedrijfslaptops en -telefoons voorziet. Het spreekt voor zich dat die apparaten door geschikte beveiligingssystemen beschermd moeten zijn. Deze oplossingen moeten bovendien de mogelijkheid bieden om op afstand bedrijfsinformatie te wissen, persoonlijke en bedrijfsgegevens gescheiden te houden en om restricties te plaatsen op de installatie van applicaties. Stel ze in zodat ze ook automatisch een controle uitvoeren voor de nieuwste kritieke updates voor software en besturingssystemen.
Als uw werknemers om wat voor reden dan ook persoonlijke apparaten gebruiken is het tijd om een BYOD-beleid in te voeren voor het beheren van bedrijfsgegevens op die apparaten. Dit kan bijvoorbeeld door aparte partities te creëren voor zakelijke en persoonlijke gegevens. Dring er bovendien op aan dat alle werknemers antivirussoftware installeren, al is het slechts een gratis systeem. Het beste is om alleen toe te staan dat zulke apparaten verbinding maken met bedrijfsnetwerken nadat er is gecontroleerd of er een beveiligingssysteem is geïnstalleerd en of het besturingssysteem up-to-date is.
Toegang tot uitrustingen
U kunt nooit zeker weten waar en met wie uw werknemers wonen. U weet bijvoorbeeld niet wie hun scherm kan zien als ze even een kop koffie zijn gaan zetten. Het is één ding dat uw werknemers thuis werken waar ze normaal gesproken de hele dag alleen zijn, maar het is iets anders als ze besluiten om naar een café of coworking-ruimte te gaan waar de risico’s op een lek veel groter zijn.
Oplossing: u kunt de meeste van deze problemen aanpakken met een veiligheidsbeleid waarin het gebruik van een wachtwoord en automatische schermvergrendeling worden verplicht. En net als bij andere cybersecurity-problemen die gerelateerd zijn aan telewerken helpt bewustzijnstraining bij het op peil houden van de algemene waakzaamheid.
Webinar
Onze experts zijn van plan om op 18 maart een webinar te houden over veilig thuiswerken. We nodigen u uit om aan deze discussie deel te nemen door u op BrightTalk aan te melden.