7 tips om veilig hybride te werken
Hybride werken is steeds meer in opkomst, bijvoorbeeld bij gemeentes. Wanneer een organisatie besluit om over te gaan tot hybride werken, heeft het de uitdaging om een informatieveilige omgeving te creëren met aandacht voor cyberveiligheid en privacy. In de praktijk zien we dat de focus vaak ligt op het aanleveren van de juiste IT-middelen, maar daar slaan organisaties de plank mis. Dat is niet het hele verhaal. Een informatieveilige omgeving begint namelijk bij het veranderen van het gedrag van werknemers! In dit artikel leggen wij jou met 7 praktische tips uit hoe jij de medewerkers binnen jouw organisatie op een verantwoorde manier vanuit huis of op een andere locatie laat werken.
Ook na de coronacrisis is hybride werken een trend
Hybride werken… De ene organisatie zweert erbij en de ander moet er niks van weten. Voorstanders zien vooral het wegvallen van de reistijd en het werken vanuit de vertrouwde omgeving als de grootste voordelen. Uit onderzoek in oktober 2021 bleek dan ook dat bedrijven verwachten dat de mengvorm van thuis en op locatie werken blijft bestaan. Binnen het grootbedrijf verwachten ondernemers dit vaker dan binnen het midden- en kleinbedrijf (mkb). Dit melden het CBS, KVK, het Economisch Instituut voor de Bouw, MKB-Nederland en VNO-NCW op basis van de Conjunctuurenquête Nederland.
De rijksoverheid moedigt hybride werken dan ook fanatiek aan. “Hybride werken heeft de toekomst. Het is een van de leerpunten die we meenemen uit de coronacrisis. Nederland heeft laten zien dat thuiswerken werkt en veel mensen willen deels thuis blijven werken”, vertelt Minister Karien van Gennip op de website van de Rijksoverheid. Belangrijk is daarbij dat ze aangeeft dat het goed is om ‘blijvende heldere afspraken te maken met werkgevers, medewerkers of collega’s’. Wij sluiten ons daar helemaal bij aan. Stelt een organisatie zoals een gemeente of school geen heldere afspraken en regels op? Dan kan de schaduwzijde van hybride werken de kop op steken.
Hybride werken kent een schaduwzijde
Hybride werken kent duidelijk ook een schaduwzijde. Werken vanuit de eigen omgeving lijkt voor veel medewerkers geweldig, maar het brengt de nodige risico’s op het gebied van privacy en veiligheid met zich mee. Werknemers loggen in op een thuisnetwerk, werken misschien op een laptop waar de kinderen computerspelletjes op spelen én ze vergeten wellicht een papiertje met belangrijke gegevens weg te halen bij de printer. Ook heeft de werknemer geen collega’s om zich heen en is de sociale controle dus ver te zoeken.
Misschien vraag jij je nu af hoe je jouw werknemers op een veilige manier hybride laat werken. Om ook op afstand een informatieveilige omgeving te creëren, stelde ons team van experts een checklist op met 7 praktische tips!
1. Geef voorlichting over het gebruik van tools
Tools als Slack, Microsoft Teams en Webex zijn onwijs populair. Veel organisaties kunnen in de communicatie met collega’s en derden niet meer zonder. Kijk alleen al naar het enorme bereik van Microsoft Teams. De tool heeft inmiddels zo’n 250.000.000 actieve maandelijkse gebruikers. Toegegeven, de tools maken het makkelijker om met elkaar te communiceren vanuit huis. Alleen hoe werkt een medewerker veilig als hij/zij regelmatig gevoelige gegevens deelt of online persoonsgegevens verwerkt? Mag diegene bijvoorbeeld in systemen werken met privacygevoelige gegevens? Daarom is het noodzakelijk dat gemeentes goede voorlichting geven over het gebruik van online tools. Zo delen medewerkers op een veilige manier informatie en voorkom je als gemeente schadelijke incidenten.
2. Bouw aan een ‘menselijke’ firewall
De mens is de zwakste schakel als het gaat om cybersecurity. Het maken van kosten voor cybersecuritytools is alleen nuttig als medewerkers zich bewust zijn van hun rol omtrent het creëren van een informatieveilige omgeving. In onze ogen moet elke organisatie het personeel trainen om digitale bedreigingen zoals phishing, malware en CEO-fraude te herkennen. Op deze manier werkt iedere medewerker aan een informatieveilige omgeving. Natuurlijk zijn een goede firewall, SIEM/SOC oplossingen, end-point management en een antivirus aan te raden, maar dit is niet genoeg. Een risicobewuste werkplek is net zo belangrijk.
3. Laat Shadow IT niet toe
Wanneer werknemers andere keuzes maken dan de regelgeving op het gebied van IT voorschrijft, spreek je van Shadow IT. Denk ook aan het gebruik van WeTransfer bijvoorbeeld, omdat het doorsturen van een bestand niet lukt met een traditionele e-mail. Denk aan het communiceren via Whatsapp uit gemakzucht, terwijl het risico’s met zich mee kan brengen. De meeste IT-afdelingen zijn hier geen voorstander van, want het neemt zowel veiligheidsrisico’s als juridische risico’s met zich mee. De IT-afdeling moet daarom een proactieve servicecultuur aanmoedigen om het gebruik van Shadow IT te verminderen. Ook moet de desbetreffende afdeling de eisen van andere afdelingen en gebruikers gebruiken om op een veilige wijze aan de klantbehoefte te voldoen.
4. Maak afspraken over de werkplek op kantoor en op locatie
Bij thuiswerken is het verstandig om met werknemers af te spreken waar en wanneer ze werken. Zo doet een cybercrimineel zich niet eenvoudig voor als collega. Dit geldt ook voor werken op kantoor. Laat medewerkers bijvoorbeeld een keycord met daaraan een werkpas dragen.
5. Het netwerk
Wanneer werknemers het thuisnetwerk gebruiken, is het noodzakelijk om een VPN-verbinding te leggen tussen de organisatie en het thuiskantoor. Dit zorgt voor een beveiligde verbinding. Zo heeft de gebruiker een beveiligde toegang tot het bedrijfsnetwerk via een versleutelde, virtuele tunnel. Van buitenaf deze tunnel binnendringen is niet mogelijk. Dit is dus primair gericht op het beveiligen van het thuisnetwerk en niet op het netwerk van de thuiswerker.
6. UD Pocket
Laat de medewerkers werken met een UD Pocket. Dat werkt veilig en eenvoudig. Een medewerker stopt de UD Pocket in zijn/haar computer of laptop, start deze op, volgt de instructies en hij of zij werkt meteen vanuit een veilige online omgeving. Voorafgaand aan de levering is de stick al geïnstalleerd en ontvangt de organisatie een advies op maat. Verliest iemand de UD Pocket? Dan is er geen reden tot paniek. De medewerker heeft sowieso een naam, wachtwoord en pincode nodig om in te loggen. Ook staan er geen kantoordata meer op de laptop zelf, want alle gevoelige informatie ontsluit diegene via de UD Pocket.
7. Multi-Factor Authentication
Als organisatie wil je zeker weten dat degene die zich vanuit huis aanmeldt bij het bedrijfsnetwerk ook echt de persoon is die hij/zij claimt te zijn. Dit is te borgen via Multi-Factor Authentication (MFA). Hiermee creëer je een extra beveiligingslaag, waardoor het voor een kwaadwillende moeilijker is om de digitale omgeving binnen te dringen.
Bij Multi-Factor Authentication voert de medewerker als eerste stap zijn/haar gebruikersnaam en wachtwoord in. De tweede stap is dat de medewerker naast het ingeven van een inlognaam en wachtwoord zich nogmaals moet identificeren. Denk aan het ontvangen van een sms-code, het ontvangen van een aanmeldingsverzoek in een app op de smartphone of het overnemen van een gegenereerde code.
Verander nu het gedrag van medewerkers
De volgende punten komen allemaal samen in één punt; het gedrag van medewerkers! Wanneer medewerkers op een juiste manier werken, creëer je een informatieveilige omgeving. Dit doe je door het bewustzijn rondom het onderwerp ‘informatiebeveiliging’ te vergroten. Onze experts bieden jou een oplossing op maat in de vorm van bijvoorbeeld een E-learning.
Ben jij werkzaam voor een gemeente, een zorginstelling of overheidsinstelling?
Dan zijn wij jou graag van dienst. Neem direct contact op met adviseurs Eric en Remon via 085 06 08 419 of info@zcur.nl.