Zorgwekkend! Medewerkers hebben weinig oog voor informatiebeveiliging als ze thuiswerken

Vanwege de coronapandemie heeft het thuiswerken afgelopen maanden een vlucht genomen. Wereldwijd werd (en wordt er nog steeds), uit noodzaak, ineens massaal thuisgewerkt. Voor sommige mensen was dat een totaal nieuwe ervaring, voor anderen, die er al ervaring mee hadden, ging vooral de frequentie omhoog. Al met al hebben Nederlanders het (vele) thuiswerken als positief ervaren. Dat neemt niet weg dat thuiswerken ook risico’s met zich meebrengt met betrekking tot informatiebeveiliging, waar helaas (nog) veel te weinig bij stil wordt gestaan. Uit de Unisys Security Index van 2020 blijkt namelijk dat slechts 9 procent van de Nederlanders zich zorgen maakt over een datalek of cyberaanval als men thuiswerkt (bron: Securitymanagement.nl). Een kwalijke zaak, zeker als je bekijkt dat uit analyses van 2019 blijkt dat het aantal (geautomatiseerde) cyberaanvallen juist aan het toenemen is (bron: Dutch IT Channel) en dat de cybercriminaliteit door de coronacrisis nog eens vervijfvoudigd is (bron: Securitymanagement.nl). Aangezien thuiswerken niet meer weg te denken is, is het voor organisaties dus tijd om actie te ondernemen!

Nederlanders maken zich weinig zorgen over internetveiligheid, zoals is gebleken uit de Unisys Security Index. Dat is zorgelijk. Uit data en analyses van diverse instanties blijkt namelijk dat de cybercriminaliteit juist aan het stijgen is. Enkele uitkomsten:

Die verminderde bezorgdheid van Nederlanders en daarmee gepaard waarschijnlijk ook lagere alertheid met betrekking tot veilig werken, biedt kansen voor cybercriminelen. Zij weten hier handig op in te spelen. Zo vonden er tijdens de covid-19 crisis bijvoorbeeld veel phishing-aanvallen plaats. Omdat mensen veel bezig waren met het onderwerp corona waren ze eerder geneigd om een daaraan gerelateerde mail te openen. Cybercriminelen gingen vervolgens aan de haal met wachtwoorden en persoonlijke gegevens.

Waar thuiswerken voor veel Nederlanders voorheen een leuke bijkomstigheid was lijkt het nu steeds meer de norm te worden. De verwachting is dat de Nederlander ook na de coronacrisis massaal thuis blijft werken. Thuiswerken heeft immers veel voordelen voor zowel organisaties als medewerkers. Denk o.a. aan verhoogde motivatie, efficiëntere communicatie, minder reistijd en -kosten, meer flexibiliteit, minder CO2-uitstoot en ga zo maar door. Uiteraard zijn er ook nadelen. Denk daarbij o.a. aan een verstoring van de werk-privé-balans, verminderd teamgevoel, dure kantoorpanden die nagenoeg leeg staan en natuurlijk risico’s met betrekking tot informatiebeveiliging. Want hoe borg je dat medewerkers thuis ook informatieveilig werken?

Informatieveilig (thuis)werken begint uiteraard met aandacht besteden aan informatiebeveiliging binnen je organisatie. Dat kan op vele manieren. Zo kun je bijvoorbeeld aan de slag gaan met het opstellen van een informatiebeveiligingsbeleid, al dan niet in combinatie met de implementatie van de ISO 27001 norm (de norm voor informatiebeveiliging). In een dergelijk beleid kun je ook een thuiswerkbeleid opnemen en daarvoor allerlei maatregelen treffen waarmee je borgt dat thuiswerken zo veilig mogelijk wordt uitgevoerd.

Het opstellen van een beleid, het treffen van maatregelen en richtlijnen in het leven roepen zijn een goede eerste stap. De grootste uitdaging rondom informatiebeveiliging, al dan niet in combinatie met thuiswerken, zit hem echter in het bewust maken van medewerkers. Wanneer je namelijk kijkt naar de driehoek procedures, systemen en mensen, dan zie je dat de mens vaak de zwakste schakel is in het hele informatiebeveiligingsverhaal. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligingsincidenten binnen organisaties het gevolg is van verkeerd handelen van medewerkers (bron: CBS). Het is voor organisaties dus van belang om aan de slag te gaan met het verhogen van security awareness onder medewerkers.

Medewerkers moeten de hedendaagse risico’s en gevaren (op het menselijk vlak) van informatiebeveiliging en privacy aanleren. Zo worden ze bewust(er) van hun handelen en zien ze de nut en noodzaak van informatieveilig werken in. Het is dus belangrijk om mensen te trainen, zodat ze (mogelijke) incidenten gaan herkennen en daarop actie ondernemen. Geef medewerkers bijvoorbeeld periodiek een beveiligingsbewustzijn workshop. Zo leren medewerkers wat de ‘regels’ zijn en wat de achterliggende gedachte (het waarom) van die regels is. Gericht op thuiswerken kan er een specifieke workshop of sessie gehouden worden. Er is vanalles mogelijk om medewerkers bewuster om te laten gaan met informatieveilig thuiswerken. Zorg er in elk geval voor dat je het periodiek onder de aandacht houdt en het bewustzijn continu blijft verbeteren.

Zoals hierboven al benoemd is het verstandig om, wanneer je dat nog niet hebt, een informatiebeveiligingsbeleid op te stellen en daarin het onderdeel thuiswerken op te nemen. Op die manier maak je de organisatierichtlijnen rondom veilig thuiswerken bekend en weten medewerkers hoe ze te werk moeten gaan. Update dit beleid ook als er nieuwe ontwikkelingen zijn en breng je medewerkers hiervan ook weer op de hoogte (bijvoorbeeld door een training of workshop). Dat neemt niet weg dat je heel duidelijk moet maken dat alle regels die op kantoor gelden ook voor thuis(werken) gelden. Thuiswerken betekent immers niet dat de maatregelen die normaal op kantoor vanzelfsprekend zijn, nu ineens niet meer relevant zijn.

Met het oog op thuiswerken kun je als organisatie je IT-infrastructuur onder de loep nemen. Indien mogelijk kun je daarbij het gebruik van een veilige verbinding naar het bedrijfsnetwerk, bijvoorbeeld via VPN, afdwingen. Train je medewerkers dan ook in het opzetten van zo’n veilige verbinding vanuit thuis. Daarnaast is het in elk geval van belang dat medewerkers gebruik maken van een vertrouwd (wifi)netwerk dat beveiligd is met een sterk wachtwoord. Medewerkers moeten erop letten dat ze connecten met het eigen beveiligde netwerk en niet met een openbaar netwerk, het netwerk van de buren of een fake-netwerk. Een tip voor alle thuiswerkers: pas het wachtwoord van je (wif)netwerk regelmatig aan!

Aangezien medewerkers vanaf meerdere locaties werken (op kantoor, thuis, bij de klant), is het zaak dat je als organisatie afdwingt dat medewerkers de inlog van apparaten en online omgevingen goed beveiligen. Dus niet enkel met een simpel wachtwoord, maar met extra beveiligingsopties zoals mobiele apps met QR-codes, MFA of biometrische mogelijkheden zoals een vingerafdruksensor. Dat is betrouwbaarder en veiliger dan inloggen met alleen een wachtwoord. Dat wachtwoord zelf dient overigens ook te bestaan uit een combi van hoofdletters, kleine letters, cijfers en overige symbolen.

Tot slot nog een opmerking over het werken op eigen (privé) devices. Bij organisaties waar medewerkers thuiswerken zie je namelijk regelmatig dat er dan gebruik wordt gemaakt van de eigen laptop, mobiel en/of tablet. Vaak zijn deze apparaten verouderd, niet uitgerust met een virusscanner en eigenlijk ‘zo lek als je een mandje’. Waar organisaties dan echter bij stil moeten staan is dat de bedrijfsinformatie op wordt gehaald via die slecht beveiligde devices, met alle risico’s van dien. Als organisatie heb je dan totaal geen controle meer over de beveiliging van je eigen data. Ons advies: niet doen dus! De risico’s en eventuele gevolgen qua schade zijn groter, en dus duurder, dan de aanschafprijs van zakelijke devices.

Zoals eerdergenoemd in dit artikel is informatieveilig werken niet enkel gericht op het thuiswerken zelf, maar dien je het als organisatie breder aan te pakken. Het thuiswerkbeleid moet onderdeel zijn van een groter informatiebeveiligingsbeleid. Daarin staan algemene maatregelen, die voor iedere locatie waar gewerkt wordt gelden. Als organisatie regel je bijvoorbeeld in dat er gewerkt wordt in een beveiligde cloudomgeving met back-up functie. Een dergelijke toepassing wordt natuurlijk niet alleen thuis, maar ook op kantoor of op locatie bij een klant gebruikt. Datzelfde geldt voor het locken van een scherm; dat doe je net als op kantoor thuis ook, maar ook op elke andere locatie waar je werkt.

Het is dus zaak dat je als organisatie naar het totaalplaatje kijkt met als doel je informatiebeveiliging naar een hoger niveau te tillen. Je kunt dan specifieke maatregelen opnemen die gericht worden op het thuiswerken en je medewerkers daarvan bewust maken. Wil je met jouw organisatie informatieveiliger thuiswerken? Of juist aan de slag met informatiebeveiliging of een security awareness programma in het algemeen? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!