Thuiswerk en veilig vanop afstand werken

Thuiswerk in alle veiligheid: zo begin je eraan

Thuiswerk is here to stay. Los van de vraagstukken over leiderschap en motivatie, komt daar onvermijdelijk ook bezorgdheid rond security bij kijken. In deze blog schetsen we het bredere kader. Wat kun je als werkgever doen om je medewerkers vanop afstand veilig in te zetten?

Thuiswerk was de voorbije jaren in heel wat sectoren al flink ingeburgerd. Maar de echte doorbraak kwam er met de coronacrisis en de bijhorende lockdowns. De FOD Mobiliteit & Vervoer becijferde dat bijna vier op tien van alle Belgische werknemers minstens één dag per week thuiswerken. Nemen we daar ook de medewerkers bij die sporadisch aan thuiswerk doen, dan komen we bijna aan de helft van de werkende Belgische bevolking. Dat is een verdrievoudiging in vergelijking met vijf jaar geleden.

De coronacrisis draaiden de rollen om, met thuiswerk als standaard en een beperkte mogelijkheid om op kantoor te werken. Daar blijft ook straks heel wat van hangen. Terug naar het oude regime gaat wellicht niemand. De verwachting is dat we bij een nieuwe balans uitkomen, met gemiddeld drie dagen kantoorwerk en twee dagen thuiswerk.

Nieuwe risico’s

De stijging in thuiswerk is ook de cybercriminelen niet ontgaan. Met thuiswerk hangen nieuwe risico’s samen. Met name via phishing proberen malafide organisaties door te dringen in het netwerk van grote en kleine bedrijven. Naar schatting negen op tien cyberaanvallen zijn te herleiden tot phishing. Een medewerker die niet weet hoe hij of zij zo’n phishingbericht kan herkennen, vormt dan ook een reëel veiligheidsrisico.

Maar evengoed situeert het gevaar zich elders. Wat als thuiswerkers verbinding maken met je bedrijfssystemen via een onbeveiligd thuisnetwerk? Wat als ze dat doen met een laptop waarvan het besturingssysteem of de browser al in een eeuwigheid geen update hebben gekregen? Mogelijk slaan ze op dat toestel confidentiële bedrijfsinformatie op – en gebruiken de kinderen even later hetzelfde device om te gamen, te videochatten of op het internet te surfen.

Strategische keuzes

Om maar te zeggen: ja, iedereen werkt thuis, maar is ook iedereen zich bewust van de securityrisico’s die daaraan verbonden zijn? Helaas niet, blijkt dan al gauw. En neen, het gaat daarbij niet zozeer om nalatigheid of onwil, maar om onwetendheid – en dat is natuurlijk de zwakke plek waar cybercriminelen zo tuk op zijn.

Veilig thuiswerk verdient daarom een belangrijk hoofdstuk binnen de algemene securitystrategie van een bedrijf. Net zoals bij ieder securityvraagstuk komt het er ook hier op aan keuzes te maken, gebaseerd op basis van risico-appetijt en budget. Wat zijn de processen en data met de grootste waarde voor het bedrijf en wat zijn de grootste beveiligingsrisico’s die eraan verbonden zijn in het kader van thuiswerk?

Praktische ingrepen

Security blijft een oefening die een zekere afweging vraagt. Wie het risico helemaal wil uitschakelen, laat beter geen thuiswerk toe. Maar dat is geen optie. Je moet met andere woorden afwegen welke risico’s je wel wil afdekken en welke minder belangrijk zijn, in combinatie met de inspanningen die je daarvoor wil leveren. Daarna komt het erop aan die strategische keuze in praktische ingrepen te vertalen. We lijsten hier alvast enkele mogelijke pistes op.

Algemene hygiëne

Als werkgever bied je je medewerkers op kantoor een veilige werkomgeving aan. Uiteraard moet die medewerker ook thuis vlot en veilig kunnen werken. Dat begint met een goede basishygiëne, zoals een laptop die alle nieuwste updates meekreeg en een up-to-date veiligheidspakket met antivirus en firewall. Ook een beveiligde router behoort tot de basisuitrusting. En neen, het default paswoord van de fabrikant volstaat daarbij niet.

Tweefactorauthenticatie

Zoals de naam al laat vermoeden zorgt tweefactorauthenticatie ervoor dat de gebruiker zich veilig aanmeldt bij een netwerk of toepassing in twee stappen: een ‘klassieke’ aanmelding met een gebruikersnaam en een paswoord, gecombineerd met een zogenaamde one-time code die de gebruiker op een ander toestel ontvangt, bijvoorbeeld zijn smartphone.

Het is een methode die het risico op ongewenste bezoekers sterk terugdringt. Zelfs wanneer een hacker je paswoord in zijn bezit heeft, dan is de kans erg klein dat hij tegelijk ook de notificatie op je smartphone kan lezen. Om een zo groot mogelijk gebruiksgemak aan te bieden, verdient het de voorkeur om de tweede factor via een authenticatie-app te laten verlopen. Een code via sms, die de gebruiker daarna moet overtikken, is veel minder handig.

VPN

Een Virtual Private Network (VPN) laat toe data te versturen en te ontvangen zoals dat over een privaat, afgeschermd netwerk zou gebeuren, terwijl je in de praktijk van een publiek netwerk gebruik maakt. De sleutel is hier de geëncrypteerde verbinding waarover het dataverkeer verloopt. Via VPN kan je veilig connecteren met het bedrijfsnetwerk, zelfs al doe je dat bijvoorbeeld over publieke wifi. Dankzij VPN is het risico dat iemand je dataverkeer meeleest heel erg beperkt.

VDI

VDI is de afkorting voor Virtual Desktop Infrastructure. Het principe is eenvoudig: de gebruiker logt via het netwerk aan op een centraal beheerde dienst. De thuiswerker krijgt op die manier net dezelfde applicaties en data te zien als wanneer hij aanlogt op zijn pc op kantoor. Het voordeel ligt voor de hand. Al wat de thuiswerker nodig heeft is een toestel met een internetconnectie. De applicaties en data blijven in de centraal beheerde en beveiligde omgeving van de werkgever en komen dus niet lokaal op het toestel van de medewerker terecht.

Om dezelfde reden vermelden we hier ook samenwerkingsomgevingen in de cloud – op voorwaarde uiteraard dat toegang en dataopslag adequaat beveiligd zijn. Ze bieden de gebruiker het gemak van overal en met om het even welk toestel te kunnen aanloggen, zonder dat er risico’s ontstaan rond lokaal opgeslagen data of documenten die via mail over een weer gaan.

Wees voorbereid

Het is niet of je ooit het slachtoffer van cybercrime wordt, maar wanneer. Bereid je er dus op voor dat er zich altijd een incident kan voordoen. Bedenk een plan. Heeft de thuiswerker een link aangeklikt in een phishingbericht? Liet hij zijn toestel achter op de trein? Zorg ervoor dat hij weet aan wie hij dat kan rapporteren. Bij verlies of diefstal – of bij de verkoop van een oud toestel – is het bovendien handig om de inhoud van het device vanop afstand te kunnen wissen.

En bovenal: hou security hoog op de agenda. Investeer in de bewustmaking van je medewerkers. Wijs hen op de mogelijke gevaren. Voer campagne in je bedrijf, organiseer training en daag je medewerkers uit.

In onze volgende blogs gaan we dieper in op de verschillende aspecten van veilig thuiswerk.

Wil je meer weten over hoe jouw medewerkers veilig en performant van thuis uit kunnen werken? Contacteer ons via mail of telefoon.

Graag praktische tips en inzichten direct in je inbox? Schrijf je hieronder in voor de CyberStreet nieuwsbrief.

“No marketing fluff, only value”

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email