Leestijd: 4 minuten

De verschuiving van informatiebeveiligingsrisico’s door digitale organisaties

Steeds meer organisaties leven alleen nog maar een digitaal bestaan waardoor een verschuiving van informatiebeveiligingsrisico's ontstaat. Dit vraagt om een aanpassing van de manier waarop informatiebeveiliging wordt ingericht.

CAN-Verschuiving-informatiebeveiligingsiricos-door-digitale-organisaties-2
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

Steeds meer organisaties leven alleen nog maar een digitaal bestaan. Remote werken is daarbij de standaard en het traditionele bedrijfspand bestaat niet meer. Zeker door de coronapandemie is deze manier van werken in een stroomversnelling geraakt. Met deze trend gaan een hoop verschuivingen van informatiebeveiligingsrisico’s gepaard. Dit vraagt om een aanpassing van de manier waarop informatiebeveiliging in organisaties wordt ingericht en welke maatregelen daarbij worden genomen.

Steeds meer virtuele organisaties

Remote werken bestaat al geruime tijd, maar door de coronapandemie is deze trend in rap tempo doorgezet. Organisaties werden geforceerd hun structuur aan te passen naar een virtuele(re) variant. Doordat we gewend zijn geraakt aan dit ‘nieuwe normaal’ zien we steeds vaker organisaties (voornamelijk in de dienstensector) die nog een stapje verder gaan en overstappen naar een compleet digitaal bestaan. Het kantoorpand is ingeruild voor een eigen (thuis)werkplek en de meeting ruimtes zijn veelal ingeruild voor een digitale omgeving. Deze beweging heeft invloed op de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.

Verschuiving van risico’s

Je kunt je voorstellen dat risico’s die voorheen op de kantoorlocatie plaatsvonden, zich verschuiven naar de remote/thuiswerkplek. In de ‘oude’ situatie werd bij een kantoorbezoek bijvoorbeeld gekeken of er geen gevoelige geprinte informatie rondslingerde op kantoor. Maar bij een organisatie zonder kantoorpand is dit natuurlijk geen risico meer. Dit betekent niet dat het ‘rondslingeren’ van gevoelige informatie helemaal geen risico meer is. Hoe gaan werknemers thuis om met gevoelige informatie? Volgen ze thuis een clean desk en clear screen beleid? De auditor zal in dit geval geen bezoek brengen aan werknemers die thuis aan het werk zijn om dit te toetsen. Wel wordt getoetst hoe je als organisatie werknemers stimuleert om zich ook thuis aan alle afspraken rondom informatiebeveiliging te houden.

Naast deze risico-verschuiving kun je ook denken aan je dataopslag. Normaal gesproken zou data worden opgeslagen in een afgeschermd datacenter op het kantoor. Veelal wordt nu gebruik gemaakt van clouddiensten die data opslaan. Dit heb je dus fysiek niet meer in eigen beheer.

Aanpassing informatiebeveilgingsnormen

Doordat risico’s met betrekking tot fysieke apparatuur en locaties steeds verder verdwijnen leveren diverse best practices in de bijlage van bijvoorbeeld ISO 27001 geen bijdrage meer. Uiteindelijk zullen dit soort trends leiden tot een aanpassing van informatiebeveiligingsnormen. Zo werd eerder dit jaar de nieuwe versie van de ISO 27002 gepubliceerd met meer aandacht voor clouddiensten.

Feit blijft wel dat er altijd ‘uitersten’ zullen blijven bestaan. Denk aan volledig fysieke organisaties en volledig digitale organisaties. Dit is uiteraard niet representatief voor alle organisaties. Het grootste deel zit momenteel namelijk in het ‘grijze gebied’: deels fysiek en deels digitaal. Ongeacht de mogelijke wijzigingen in zulke informatiebeveiligingsnormen blijft het belangrijk om de norm toegankelijk te houden voor iedere soort organisatie (en dus niet alleen voor volledig fysieke of volledig digitale organisaties).

Maatregelen die je als organisatie kunt nemen

Vanuit het Nationaal Cyber Security Center (NCSC) zijn er diverse basismaatregelen geadviseerd om zo informatieveilig mogelijk te werken met remote/thuiswerkers. Zo adviseren ze om een beveiligde verbinding in te stellen waarbij werknemers het bedrijfsnetwerk kunnen benaderen. Daarnaast adviseren ze om multifactorauthenticatie te verplichten en sterke wachtwoorden af te dwingen.

Een andere suggestie die zij geven is om extra monitoring op essentiële applicaties voor thuiswerkers in te stellen en voorbereid te zijn op mogelijke overbelasting of uitval van die applicaties. Daarnaast blijft het natuurlijk belangrijk om het beveiligingsbewustzijn binnen je organisatie zo hoog mogelijk te krijgen.

Een manier om het informatiebeveiligingsbewustzijn binnen je organisatie naar een hoger niveau te tillen is door een interactieve Security Awareness sessie te organiseren of extern te volgen met alle werknemers. In de Security Awareness sessie van onze CAN Academy maak je kennis met informatiebeveiliging en leer je meer over wachtwoorden, veilig internetten, social engineering, wet- en regelgeving én phishing door middel van een phishing simulatie.

Tot slot een aantal extra concrete maatregelen die het NCSC deelt:

  • Zorg ervoor dat alle benodigdheden van een thuiswerkplek getest en geüpdated zijn.
  • Houd rekening met een toename van phishingmails.
  • Zorg voor genoeg (netwerk)capaciteit om alle thuiswerkers te kunnen bedienen.
  • Zorg ervoor dat updates door iedereen worden uitgevoerd.
  • Maak een selectie van werknemers die op locatie moeten zijn ter ondersteuning van IT-voorzieningen voor thuiswerkers.

Maatregelen voor medewerkers

Naast concrete maatregelen voor organisaties heeft het NCSC ook adviezen opgesteld voor medewerkers:

  • Houd je aan de richtlijnen voor informatiebeveiliging die zijn opgesteld vanuit de organisatie.
  • Maak gebruik van een beveiligd en vertrouwd wifinetwerk.
  • Klik niet op linkjes in e-mails, vul geen gegevens in bij vage e-mails van onbekende afzenders en open geen onbekende bijlagen.
  • Vergrendel ook thuis altijd je scherm wanneer je van je werkplek wegloopt en zorg voor een opgeruimde werkplek (clear screen & clean desk).

Eens vrijblijvend sparren?

Wil jij eens vrijblijvend sparren met een van onze adviseurs over het opstellen en beheren van een nuttig informatiebeveiligingsbeleid? Neem dan gerust contact met ons op. We gaan graag met je in gesprek!

New call-to-action

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

Alles over ISO 27001!

Download de handige gids!

  • Alles over ISO 27001
  • Stap voor stap inzicht
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields