Zo breng je de IT-beveiliging op orde bij thuiswerken
De afgelopen maanden werkte een groot deel van Nederland al thuis en dat zal de komende tijd zo blijven. Voor ondernemers leidt deze trend tot extra veiligheidsrisico’s zoals malware die via thuiswerkplekken de bedrijfssystemen kan ontregelen. Outcome geeft daarom een aantal adviezen om het thuiswerken zo veilig mogelijk te maken.
Het aantal Corona-gevallen neemt nog steeds sterk toe en een nieuwe lockdown is helaas een feit. Premier Mark Rutte doet weer een nadrukkelijk beroep op ondernemend Nederland om medewerkers écht thuis te laten werken. Oftewel, de bedrijfslaptops moeten weer op de eettafel of op het bureau van het nieuw ingerichte thuiskantoor.
Alles uit de kast
Deze situatie kennen we van de eerste lockdown in maart. Toen waren veel bedrijven nog onvoldoende voorbereid om opeens hun medewerkers thuis te laten werken. Het leidde tot overuren voor alle interne en externe IT-medewerkers. Laptops moesten massaal ingekocht of uit de kast getrokken worden. Vervolgens moesten de bedrijfssystemen, applicaties, documenten en bedrijfsgegevens toegankelijk worden gemaakt voor de thuiswerkers. Het gevolg: de digitale poorten werden opengezet, de internetverbindingen opgehoogd, koptelefoons en oortjes werden het nieuwe thuiskantoor-accessoire en ‘zoomen’ en ‘teamen’ raakten ingeburgerd. Alles werd uit de kast gehaald om de tent draaiende te houden.
Beveiligingsrisico’s thuis
Nu 7 maanden later hebben de meeste medewerkers een modus ontwikkeld om het thuiswerken zo aangenaam mogelijk te maken. Door het vele thuiswerken worden bedrijven meer blootgesteld aan digitale gevaren afkomstig van hackers en andere ongenode gasten. In de traditionele kantooromgeving maakten cybercriminelen minder kans vanwege geavanceerde antivirussoftware, malware-beveiliging en firewalls. Maar bij medewerkers thuis is de IT-beveiliging vaak minder goed geregeld. Zo maken veel mensen thuis gebruik van de standaard modem en firewall van providers zoals KPN, XS4ALL of Ziggo. Deze hardware is echter minder goed beveiligd dan de (duurdere) hardware op kantoor. Daarnaast gebruiken ze mogelijk hun (kwetsbare) mobiele telefoon om toegang te krijgen tot cloud-diensten.
Beveiligingsrisico´s vloeien echter vooral voort uit medewerkers die onzorgvuldig of verkeerd gebruik maken van hun applicaties en hardware. Door het thuiswerken neemt de kans toe dat medewerkers wat slordiger omgaan met bedrijfsgegevens. Ze slaan werkbestanden bijvoorbeeld even snel op op hun eigen harde schijf. Deze bestanden zijn daar echter kwetsbaarder dan wanneer ze waren opgeslagen op de bedrijfsserver.
Phishing
Medewerkers kunnen thuis ook sneller trappen in de valstrikken van cybercriminelen die vertrouwelijke informatie proberen te bemachtigen. Denk bijvoorbeeld aan een email van Office 365 waarin een medewerker wordt gevraagd om opnieuw in te loggen op zijn account. De email is echter niet afkomstig van een officieel Microsoft domein. Het is een phishing email. Als de nietsvermoedende medewerker klikt op een link in de mail dan komt hij op een portaal dat verdacht veel lijkt op dat van Office 365. En hij of zij vult het wachtwoord in. Het gevolg: de cybercrimineel heeft toegang tot het bedrijfssysteem. Met alle schadelijke gevolgen van dien.
Aandacht vereist
Er zijn allerlei beveiligingssoftware en overige technische middelen die ervoor kunnen zorgen dat ongewenste gasten op afstand worden gehouden worden. Het grootste risico is echter de medewerker zelf. Outcome adviseert daarom de volgende vijf eenvoudige maatregelen:
1. Zorg voor bewustwording. Bespreek met medewerkers welke beveiligingsrisico’s er zijn en
wat de impact kan zijn voor jouw organisatie. Bijna alles hangt af van een goed beleid.
2. Implementeer een eenduidig wachtwoordbeleid of Multi-Factor Authenticatie (MFA). Laat
medewerkers niet zelf beslissen wanneer ze hun wachtwoord aanpassen maar laat het
wachtwoord automatisch vernieuwen. Zorg er dan voor dat het wachtwoord bestaat uit
meerdere verschillende karakters. Bij Windows 10 is er de instelling Windows Hello
waarmee er kan worden ingelogd met een gezichtsscan, vingerafdruk of een pincode.
3. Zorg ervoor dat bestanden of gegevens niet “lokaal” opgeslagen kunnen worden. Dit kan
soms wat omslachtig zijn maar zo voorkom je dat er (on)bewust gegevens op straat komen
te liggen. De bedrijfsschade is immers vele malen hoger dan een paar extra kliks om bij
een bestand te komen.
4. Zorg dat hardware en software in de thuiswerksituatie altijd up-to-date zijn. Installeer altijd
de laatste updates of patches. Dit kan eenvoudig centraal geregeld worden. Het update kan
ook vaak op de achtergrond plaatsvinden zodat een medewerker niet belemmerd wordt in
zijn of haar werkzaamheden.
5. Maak een recoveryplan. Welke stappen gaan we ondernemen zodra het bedrijfssysteem
gehackt is nadat een medewerker op bijvoorbeeld een phishing mail heeft geklikt?
Belangrijk aandachtspunt daarbij is de meldplicht datalekken bij de Autoriteit
Persoonsgegevens.
Bovenstaande maatregelen zijn uiteraard niet 100% preventief, maar kunnen wel wezenlijk bijdragen aan het verminderen van het “besmettingsgevaar” van de IT-infrastructuur. Medewerkers van Outcome gaan graag met je in gesprek om de IT-beveiliging voor jouw (thuis)medewerkers op orde te krijgen.
