Veilig thuiswerken: 8 tips voor IT-afdelingen

Het verplichte thuiswerken is voor veel organisaties inmiddels gewoongoed geworden. De meeste thuiswerkers beginnen hun draai te vinden en hoewel het niet altijd even ideaal is, ‘werkt’ het thuiswerken wel. Maar gebeurt dat thuiswerken eigenlijk wel veilig genoeg? In dit artikel een aantal tips voor IT-afdelingen om veilig thuiswerken voor de thuiswerkers te stimuleren.

Lees ook: 6 veilig thuiswerken tips voor medewerkers

Wat is de rol van IT binnen veilig thuiswerken?

IT-afdelingen zijn bij uitstek de afdelingen die ervoor zorgen dat werknemers om een veilige en soepele manier kunnen thuiswerken. Dat veilige is ontzettend belangrijk, omdat iedere medewerker in potentie een zwakke schakel is.

Zoals we ook schreven in onze vorige blogpost, wordt er verwacht dat het aantal digitale aanvallen in deze periode toe zullen nemen. Veel daarvan zal ook plaatsvinden via zogenoemde ‘phishing mails’. Dat zijn mails waar het lijkt alsof ze van een betrouwbare bron komen, bijvoorbeeld een bank. In werkelijkheid zijn ze door een kwaadwillende nagemaakt en zit er een malafide link in verstopt. Als een werknemer op die link klikt wordt er ransomware op de computer geïnstalleerd of kan de kwaadwillende op het bedrijfsnetwerk. Het is aan de IT-afdeling om dit soort gevaren te voorkomen.

Tegelijkertijd is IT-afdeling ook verantwoordelijk dat de juiste applicaties worden gebruikt. Veel werknemers (met name de jongere medewerkers) willen deze regie van de IT-afdeling niet en installeren hippere apps op hun computer. Zo ontstaat er een wereld van ‘shadow IT’ – applicaties die buiten het zicht van IT worden geïnstalleerd en waar dus geen toeziend oog op is. Aan IT-afdelingen de taak om hier helder beleid op te krijgen en mensen bewust te maken welke security-risico’s er zijn. Gelukkkig is er veel tegen te doen.

Veilige thuiswerktips voor IT-afdelingen

Ook in Amerika werkt veel van de kantoorwerkende beroepsbevolking inmiddels vanuit huis. Daar adviseert overheidsorgaan de National Institute of Standards and Technology (NIST), de volgende stappen aan het bedrijfsleven om security naar een hoog niveau te brengen. We hebben een aantal van de tips van de NIST voor je verzamelt en samengevat.

1: Zorg voor een securitybeleid

Als je het nog niet gedaan hebt dan is dit wel hét moment. In een securitybeleid leg je de definities vast over wat je verstaat onder zaken als thuiswerken, remote access en bring your own device.

Volgens de NIST moeten daar in ieder geval de volgende onderwerpen in staan:

  • De vormen waarmee externen toegang is te krijgen
  • Welke apparaten toegang mogen
  • Het type toegang dat een thuiswerker krijgt
  • Administratie & richtlijnen voor het patchen en updaten van remote access servers

Er zijn natuurlijk nog tig andere zaken die je in een security-policy schrijft. Denk bijvoorbeeld aan het wachtwoordbeleid, het update- en patchbeleid, omgang met two-factor authentication en het vastleggen van trainingen waar medewerkers getraind worden om bewust te worden van de gevaren.

Overigens is dit ook een geschikt moment om het bestaande securitybeleid een flinke update te geven, want in deze situatie zijn er misschien wel wat zaken veranderd.

Lees ook: 5 tips om het security protocol van jouw organisatie te verbeteren

2: Blijf ook letten op fysieke security

Blijf ook letten op fysieke security-risico’s. Denk aan uitgeprinte brieven, post-it’s op je laptop met daarop een wachtwoord of foto’s delen op social media waar bedrijfskritische gegevens op staan.

Dit geldt met name als je werknemers bijvoorbeeld samenwonen met een aantal andere mensen. Omdat je de thuissituatie niet altijd weet is het belangrijk om medewerkers bewust te maken van de gevaren van rondslingerende wachtwoorden op post-it’s of andere fysieke securityrisico’s.

3: Limiteer opslag van gevoelige data

Een andere tip van de NIST is om de opslag van gevoelige data op thuiswerklaptops te limiteren. Geef die toegang alleen op apparaten die veilig zijn. Geef bijvoorbeeld alleen toegang tot het bedrijfsnetwerk als apparaten sterk versleuteld zijn en als ze sterke authenticatie ingesteld hebben.

Deze tip sluit aan op de tip om ‘risicogebaseerde beslissingen’ te nemen op basis van de mate waarin apparaten toegang hebben tot het bedrijfsnetwerk. Zo adviseert de NIST om de apparaten met de meeste controle (organisatie geëigende laptops) meer toegang te geven dan de ‘least controlled devices’ (denk aan persoonlijke smartphones).

4: Installeer anti-malwaresoftware

Bedrijven kunnen de organisatie beschermen tegen malware door bijvoorbeeld anti-malware technologie te installeren. Met deze software worden bijvoorbeeld phishing mails gesignaleerd.

CEO-fraude populair

Een populaire manier om phishing mails te sturen is uit naam van een bekend persoon binnen de organisatie. Bijvoorbeeld een directeur. Dit wordt ook wel CEO-fraude genoemd. Gelukkig is er ook veel tegen CEO-fraude te doen. Lees daarvoor bijvoorbeeld onderstaande blogpost.

Lees ook ons blog: ‘Alles wat je moet weten over CEO-fraude’

5: Update en patch remote servers regelmatig

Het NIST adviseert dat remote servers niet geconfigureerd moeten worden als ‘single point of entry’. Deze servees moeten te allen tijde volledig gepatcht zijn en alleen beheerd worden door geautoriseerde amdministrator, bijvoorbeeld van een hostingprovider.

6: Verscherp het toezicht

Het NIST adviseert in deze omstandigheden om de normale securityrichtlijnen aan te scherpen. Daarbij kun je denken aan het verplicht maken van automatische updates voor apparaten, het verwijderen van onnodige software, het gebruik van firewalls en anti-malware tools en het inschakelen van encryptie op apparaten.

Het NIST adviseert om ook eindgebruikers hierin te ondersteunen, door bijvoorbeeld handleidingen te delen waarin staat hoe zij dit kunnen doen.

7: Maak een veilig bedrijfsnetwerk mogelijk

Een veilig bedrijfsnetwerk betekent ook een veilig wifi-netwerk thuis. Het NIST adviseert dat medewerkers ook thuis veilig kunnen internetten, door in ieder geval WPA2 of WPA3 te gebruiken voor het wifi-netwerk en een moeilijk te raden wachtwoord op de router en modem.

Als IT-afdeling is informatievoorziening hiervoor vaak noodzakelijk. Hoe kan een werknemer er bijvoorbeeld achter komen dat er tenminste WPA2 wordt gebruikt?

Een tweede tip die ze geven is om een VPN in te laten stellen door de IT-afdeling, waarmee werknemers toegang kunnen krijgen tot het bedrijfsnetwerk. Kan dat niet, geef de medewerker dan een abonnement op een VPN-dienst. Dan wordt het websiteverkeer van de medewerker in ieder geval afgeschermd.

8: Geef regelmatig securitytrainingen

Security verandert continu, waardoor het ook belangrijk is om nieuwe gevaren tijdig te herkennen. Bovendien kun je er niet van uitgaan dat iedere werknemer het even serieus neemt of bewust is van elk securityrisico’s. Door regelmatig trainingen te geven vergroot je de kans dat medewerkers dit wel inzien en er ook naar zullen handelen.

Dit artikel is onderdeel van de special ‘Op afstand werken‘ van ons zusterbedrijf Broad Horizon. Op dit speciale platform vind je allerlei content die je al werknemer én organisatie helpt om het allerbeste te halen uit de huidige thuiswerksituatie. Ons eerste artikel gaat over wat thuiswerkers zelf kunnen doen om veilig thuis te werken.

Kilian Drewel
Techblogger

Security - 01.04.2020

De derde week van verplicht thuiswerken is voor een groot gedeelte van kantoorwerkend Nederland volop aan de gang. De meeste thuiswerkers beginnen hun draai te vinden en hoewel het niet altijd even ideaal is, ‘werkt’ het thuiswerken wel. Maar gebeurt dat thuiswerken eigenlijk wel veilig genoeg? In dit artikel een aantal algemene security-tips van de […]

Workspace - 24.03.2020

Door het coronavirus is een groot gedeelte van de wereldbevolking aangewezen om vanuit huis te werken, op onze helden in de vitale sectoren na en bij mensen waar het echt niet anders kan. Voor bedrijven die al enige tijd volledig remote werken, is werken vanuit een andere locatie dan kantoor de normaalste zaak van de […]

Workspace - 13.07.2020

Werk op afstand is het nieuwe normaal aan het worden. Hoewel veel mensen ook waarde hechten aan werken op kantoor, lijkt het erop dat remote werk (op afstand werken) maatschappelijk geaccepteerd is. Eindelijk, zou je bijna zeggen. Toch is nog niet iedere organisatie klaar om op afstand werken volledig te integreren. Met de vijf niveaus […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.