IT Security Kompas: Handvatten en tools om het securityniveau te verhogen.
Veilig-Thuiswerken

Veilig thuiswerken

Business / Tips

Veilig thuiswerken

In de afgelopen periode zijn er veel onderzoeken uitgevoerd over het veilig thuiswerken. Uit deze onderzoeken bleek dat:

  • Thuiswerken blijvend is. Volgens het Centraal Planbureau werkt binnen de financiële sector en de zakelijke markt in de toekomst zelfs 41% van de tijd vanuit huis.
  • De risico’s op succesvolle cyberaanvallen bij thuiswerken groter zijn.

Hoeveel en wanneer we thuiswerken? De toekomst zal uitwijzen waar de balans komt te liggen. Verontrustend is dat 73% van de thuiswerkers (bron: Onderzoek Ministerie EZK sept 2020) aangeeft zich zeer weinig zorgen te maken over hun online veiligheid in een werksituatie. Dit percentage is in vergelijking met vorig jaar (66%) gestegen terwijl ook het aantal thuiswerkers enorm gegroeid is vanwege Corona. De conclusie vanuit security gebied is dan ook simpel: cybersecurity bij thuiswerken moet structureel aangepakt worden!

Hoe kun je veilig thuiswerken?

Het inrichten van een thuiswerkplek zit in verschillende aspecten. Dit zit niet alleen in de informatiebeveiliging. Maar in onze ogen ook bij het creëren van een ergonomische en rustige werkplek en het coachen en begeleiden van de medewerkers. Als deze zaken goed geregeld zijn, dan is het ook belangrijk om kijken naar de aspecten op het gebied van informatiebeveiliging.

Wat moeten je medewerkers weten?

Medewerkers zitten thuis in een vertrouwde omgeving. Hierdoor zijn ze onbewust minder voorzichtig. Ook kan men minder gemakkelijk even iets aan collega’s vragen of even iets laten controleren. Dit brengt extra security risico’s met zich mee. De eerste stap bij het creëren van een veilige thuiswerkplek is medewerkers bewust maken van de gevaren. Security Awareness is bij het structureel thuiswerken dus nog belangrijker. Maar hoe kun je dit bewustzijn creëren of verbeteren?

  1. Zorg voor een open cultuur zodat medewerkers zonder terughoudendheid vreemde of onverwachte gebeurtenissen kunnen melden.
  2. Communiceer regelmatig over informatiebeveiliging met je medewerkers. Dit kan per mail, in werkoverleggen of elk ander communicatiemiddel. Geef hierbij de gebruiker tips hoe ze gemakkelijk kunnen werken en voorbeelden waardoor de gevaren tastbaar worden.
  3. Zorg voor structurele aanpak door een awareness programma op te stellen. Dit hoeft geen uitgebreid plan te zijn, maar regelmatige aandacht voor cybersecurity is belangrijk voor medewerkers. Neem bij voorkeur een phishing test op in het programma. Meer weten over een awareness programma, of phising test? Vraag ons om partijen die hierbij kunnen helpen.
  4. Informeer medewerkers over welke securitymaatregelen er genomen zijn en wat daarvan het nut is. Hiermee creëer je draagvlaak en acceptatie.
  5. Maak afspraken over het gebruik van de zakelijke laptop (geen privégebruik) en van wachtwoorden. Gebruik overal verschillende wachtwoorden voor, ook aan te raden voor privé situaties ?.

Technische maatregelen en veilig thuiswerken

Naast het verhogen van de awareness. is het natuurlijk ook belangrijk om een aantal technische maatregelen te nemen om de cybersecurity te verhogen.

De thuiswerkplek bevindt zich in het netwerk waar de IT-afdeling geen controle over heeft. Behandel de werkplek daarom alsof het zich op een openbaar netwerk bevindt. Welke maatregelen moet je als organisatie dan treffen?

  • Zorg voor een up-to-date werkplek. Zet automatisch updates aan. Wordt de werkplek beheerd door een management omgeving in je eigen netwerk? Zorg dan dat ze altijd, maar minimaal 1 keer per week, verbonden zijn met het bedrijfsnetwerk.
  • Versleutel (encrypt) de harde schijf. Dit vraagt iets meer van het apparaat maar biedt veel meer bescherming.
  • Installeer een gerenommeerd Endpoint Protection programma met een FW en geavanceerde opties dat centraal beheerd en gemonitord kan worden.
  • Configureer een VPN die altijd verbinding heeft met het bedrijfsnetwerk (allways on VPN) en ook daadwerkelijk het verkeer via die VPN stuurt (route all trafic). Mag je medewerker gebruik maken van streamingdiensten zoals Netflix? Stel dan voor deze zaken een uitzonderingsregel in.
    Let op: RDP is welliswaar encrypted verkeer maar geen VPN oplossing. Aanvallen op RDP zijn in 2020 met 768% gegroeid (ESET’s Q4 2020 Threat Report).
  • Zorg voor een apart beheeraccount en een gebruikersaccount. Zo kan men niet per ongeluk een niet-vertrouwd programma installeren. Leg dat ook uit aan de betreffende gebruiker.
  • Zorg voor twee-staps-verificatie op de VPN en in de cloud.

Thuiswerken heeft daarnaast gevolgen voor centrale toepassingen, waaronder e-mail en het ERP systeem. Neem daarom in je IT Security en monitoring de belangrijkste applicaties onder de loep. Ook zorgt het thuiswerken voor meer internetverkeer. Zorg daarom voor voldoende internet bandbreedte en een goede bereikbaarheid van de helpdesk. Kijk hoeveel impact een storing op bijvoorbeeld de centrale internetverbinding heeft op het thuiswerken.

Wil je meer weten over het creëren van een veilige werkplek? Laat het me dan gerust weten.