Steeds meer organisaties leven alleen nog maar een digitaal bestaan. Remote werken is daarbij de standaard en het traditionele bedrijfspand bestaat niet meer. Zeker door de coronapandemie is deze manier van werken in een stroomversnelling geraakt. Met deze trend gaan een hoop verschuivingen van informatiebeveiligingsrisico’s gepaard. Dit vraagt om een aanpassing van de manier waarop informatiebeveiliging in organisaties wordt ingericht en welke maatregelen daarbij worden genomen.
Steeds meer virtuele organisaties
Remote werken bestaat al geruime tijd, maar door de coronapandemie is deze trend in rap tempo doorgezet. Organisaties werden geforceerd hun structuur aan te passen naar een virtuele(re) variant. Doordat we gewend zijn geraakt aan dit ‘nieuwe normaal’ zien we steeds vaker organisaties (voornamelijk in de dienstensector) die nog een stapje verder gaan en overstappen naar een compleet digitaal bestaan. Het kantoorpand is ingeruild voor een eigen (thuis)werkplek en de meeting ruimtes zijn veelal ingeruild voor een digitale omgeving. Deze beweging heeft invloed op de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.
Starten met informatiebeveiliging
Wil je het informatiebeveiligingsniveau van je organisatie naar een hoger niveau tillen, maar weet je niet hoe of waar je moet beginnen? Dan kan een opstaptraject informatiebeveiliging een goede uitkomst bieden. Lees meer over het opstaptraject via de knop hieronder!
Verschuiving van risico’s
Je kunt je voorstellen dat risico’s die voorheen op de kantoorlocatie plaatsvonden, zich verschuiven naar de remote/thuiswerkplek. In de ‘oude’ situatie werd bij een kantoorbezoek bijvoorbeeld gekeken of er geen gevoelige geprinte informatie rondslingerde op kantoor. Maar bij een organisatie zonder kantoorpand is dit natuurlijk geen risico meer. Dit betekent niet dat het ‘rondslingeren’ van gevoelige informatie helemaal geen risico meer is. Hoe gaan werknemers thuis om met gevoelige informatie? Volgen ze thuis een clean desk en clear screen beleid? De auditor zal in dit geval geen bezoek brengen aan werknemers die thuis aan het werk zijn om dit te toetsen. Wel wordt getoetst hoe je als organisatie werknemers stimuleert om zich ook thuis aan alle afspraken rondom informatiebeveiliging te houden.
Naast deze risico-verschuiving kun je ook denken aan je dataopslag. Normaal gesproken zou data worden opgeslagen in een afgeschermd datacenter op het kantoor. Veelal wordt nu gebruik gemaakt van clouddiensten die data opslaan. Dit heb je dus fysiek niet meer in eigen beheer.
Aanpassing informatiebeveilgingsnormen
Doordat risico’s met betrekking tot fysieke apparatuur en locaties steeds verder verdwijnen leveren diverse best practices in de bijlage van bijvoorbeeld ISO 27001 geen bijdrage meer. Uiteindelijk zullen dit soort trends leiden tot een aanpassing van informatiebeveiligingsnormen. Zo werd eerder dit jaar de nieuwe versie van de ISO 27002 gepubliceerd met meer aandacht voor clouddiensten.
Artikeltip: ‘De impact van de nieuwe ISO 27002 voor een ISO 27001 gecertificeerde organisatie’
Feit blijft wel dat er altijd ‘uitersten’ zullen blijven bestaan. Denk aan volledig fysieke organisaties en volledig digitale organisaties. Dit is uiteraard niet representatief voor alle organisaties. Het grootste deel zit momenteel namelijk in het ‘grijze gebied’: deels fysiek en deels digitaal. Ongeacht de mogelijke wijzigingen in zulke informatiebeveiligingsnormen blijft het belangrijk om de norm toegankelijk te houden voor iedere soort organisatie (en dus niet alleen voor volledig fysieke of volledig digitale organisaties).
Maatregelen die je als organisatie kunt nemen
Vanuit het Nationaal Cyber Security Center (NCSC) zijn er diverse basismaatregelen geadviseerd om zo informatieveilig mogelijk te werken met remote/thuiswerkers. Zo adviseren ze om een beveiligde verbinding in te stellen waarbij werknemers het bedrijfsnetwerk kunnen benaderen. Daarnaast adviseren ze om multifactorauthenticatie te verplichten en sterke wachtwoorden af te dwingen.
Meer weten over het maken van een sterk wachtwoord? Lees dan: ‘Zo maak je eens sterk wachtwoord’
Een andere suggestie die zij geven is om extra monitoring op essentiële applicaties voor thuiswerkers in te stellen en voorbereid te zijn op mogelijke overbelasting of uitval van die applicaties. Daarnaast blijft het natuurlijk belangrijk om het beveiligingsbewustzijn binnen je organisatie zo hoog mogelijk te krijgen.
Een manier om het informatiebeveiligingsbewustzijn binnen je organisatie naar een hoger niveau te tillen is door een interactieve Security Awareness sessie te organiseren of extern te volgen met alle werknemers. In de Security Awareness sessie van onze CAN Academy maak je kennis met informatiebeveiliging en leer je meer over wachtwoorden, veilig internetten, social engineering, wet- en regelgeving én phishing door middel van een phishing simulatie.
Tot slot een aantal extra concrete maatregelen die het NCSC deelt:
- Zorg ervoor dat alle benodigdheden van een thuiswerkplek getest en geüpdated zijn.
- Houd rekening met een toename van phishingmails.
- Zorg voor genoeg (netwerk)capaciteit om alle thuiswerkers te kunnen bedienen.
- Zorg ervoor dat updates door iedereen worden uitgevoerd.
- Maak een selectie van werknemers die op locatie moeten zijn ter ondersteuning van IT-voorzieningen voor thuiswerkers.
Maatregelen voor medewerkers
Naast concrete maatregelen voor organisaties heeft het NCSC ook adviezen opgesteld voor medewerkers:
- Houd je aan de richtlijnen voor informatiebeveiliging die zijn opgesteld vanuit de organisatie.
- Maak gebruik van een beveiligd en vertrouwd wifinetwerk.
- Klik niet op linkjes in e-mails, vul geen gegevens in bij vage e-mails van onbekende afzenders en open geen onbekende bijlagen.
- Vergrendel ook thuis altijd je scherm wanneer je van je werkplek wegloopt en zorg voor een opgeruimde werkplek (clear screen & clean desk).
Eens vrijblijvend sparren?
Wil jij eens vrijblijvend sparren met een van onze adviseurs over het opstellen en beheren van een nuttig informatiebeveiligingsbeleid? Neem dan gerust contact met ons op. We gaan graag met je in gesprek!
