De verschuiving van informatiebeveiligingsrisico’s door digitale organisaties

Steeds meer organisaties leven alleen nog maar een digitaal bestaan. Remote werken is daarbij de standaard en het traditionele bedrijfspand bestaat niet meer. Zeker door de coronapandemie is deze manier van werken in een stroomversnelling geraakt. Met deze trend gaan een hoop verschuivingen van informatiebeveiligingsrisico’s gepaard. Dit vraagt om een aanpassing van de manier waarop informatiebeveiliging in organisaties wordt ingericht en welke maatregelen daarbij worden genomen.

Remote werken bestaat al geruime tijd, maar door de coronapandemie is deze trend in rap tempo doorgezet. Organisaties werden geforceerd hun structuur aan te passen naar een virtuele(re) variant. Doordat we gewend zijn geraakt aan dit ‘nieuwe normaal’ zien we steeds vaker organisaties (voornamelijk in de dienstensector) die nog een stapje verder gaan en overstappen naar een compleet digitaal bestaan. Het kantoorpand is ingeruild voor een eigen (thuis)werkplek en de meeting ruimtes zijn veelal ingeruild voor een digitale omgeving. Deze beweging heeft invloed op de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.

Je kunt je voorstellen dat risico’s die voorheen op de kantoorlocatie plaatsvonden, zich verschuiven naar de remote/thuiswerkplek. In de ‘oude’ situatie werd bij een kantoorbezoek bijvoorbeeld gekeken of er geen gevoelige geprinte informatie rondslingerde op kantoor. Maar bij een organisatie zonder kantoorpand is dit natuurlijk geen risico meer. Dit betekent niet dat het ‘rondslingeren’ van gevoelige informatie helemaal geen risico meer is. Hoe gaan werknemers thuis om met gevoelige informatie? Volgen ze thuis een clean desk en clear screen beleid? De auditor zal in dit geval geen bezoek brengen aan werknemers die thuis aan het werk zijn om dit te toetsen. Wel wordt getoetst hoe je als organisatie werknemers stimuleert om zich ook thuis aan alle afspraken rondom informatiebeveiliging te houden.

Naast deze risico-verschuiving kun je ook denken aan je dataopslag. Normaal gesproken zou data worden opgeslagen in een afgeschermd datacenter op het kantoor. Veelal wordt nu gebruik gemaakt van clouddiensten die data opslaan. Dit heb je dus fysiek niet meer in eigen beheer.

Doordat risico’s met betrekking tot fysieke apparatuur en locaties steeds verder verdwijnen leveren diverse best practices in de bijlage van bijvoorbeeld ISO 27001 geen bijdrage meer. Uiteindelijk zullen dit soort trends leiden tot een aanpassing van informatiebeveiligingsnormen. Zo werd eerder dit jaar de nieuwe versie van de ISO 27002 gepubliceerd met meer aandacht voor clouddiensten.

Feit blijft wel dat er altijd ‘uitersten’ zullen blijven bestaan. Denk aan volledig fysieke organisaties en volledig digitale organisaties. Dit is uiteraard niet representatief voor alle organisaties. Het grootste deel zit momenteel namelijk in het ‘grijze gebied’: deels fysiek en deels digitaal. Ongeacht de mogelijke wijzigingen in zulke informatiebeveiligingsnormen blijft het belangrijk om de norm toegankelijk te houden voor iedere soort organisatie (en dus niet alleen voor volledig fysieke of volledig digitale organisaties).

Vanuit het Nationaal Cyber Security Center (NCSC) zijn er diverse basismaatregelen geadviseerd om zo informatieveilig mogelijk te werken met remote/thuiswerkers. Zo adviseren ze om een beveiligde verbinding in te stellen waarbij werknemers het bedrijfsnetwerk kunnen benaderen. Daarnaast adviseren ze om multifactorauthenticatie te verplichten en sterke wachtwoorden af te dwingen.

Een andere suggestie die zij geven is om extra monitoring op essentiële applicaties voor thuiswerkers in te stellen en voorbereid te zijn op mogelijke overbelasting of uitval van die applicaties. Daarnaast blijft het natuurlijk belangrijk om het beveiligingsbewustzijn binnen je organisatie zo hoog mogelijk te krijgen.

Tot slot een aantal extra concrete maatregelen die het NCSC deelt:

Naast concrete maatregelen voor organisaties heeft het NCSC ook adviezen opgesteld voor medewerkers:

Wil jij eens vrijblijvend sparren met een van onze adviseurs over het opstellen en beheren van een nuttig informatiebeveiligingsbeleid? Neem dan gerust contact met ons op. We gaan graag met je in gesprek!