ORDINA BLOGT

Kan Het Nieuwe Werken veilig?

Het werken met eigen devices is tegenwoordig niet weg te denken uit het moderne leven en organisaties en medewerkers willen steeds meer het ‘Het Nieuwe Werken’ invoeren. (Co-auteur: Harld Röling)

  • Wouter-Bas van der Vegt
  • 6 september 2013

Mede door nieuwe samenwerkingsvormen, fileleed en prijzige kantoorpanden is ‘Het Nieuwe Werken’ en meer in het bijzonder plaats- en tijdonafhankelijk werken, hip en hot geworden. Zodoende willen organisaties ‘Het Nieuwe Werken’ en onderdelen daarvan inzetten. De behoefte van medewerkers om daarbij eigen apparaten met eigen voorkeuren te mogen gebruiken voor zakelijke doeleinden, het zogenaamde Bring Your Own Device (BYOD) en Choose Your Own Device (CYOD), versterkt de mogelijkheden van 'Het Nieuwe Werken'.

Wat zijn de beveiligingsuitdagingen?

Plaats- en tijdonafhankelijk werken heeft veel voordelen, maar ook de nodige uitdagingen. Op de risico’s die deze uitdagingen met zich meebrengen willen we in dit blog kort ingaan.

Organisaties zijn richting hun klanten, en in een aantal gevallen ook wettelijk, verplicht om hun data, zoals persoonsgegevens, te beveiligen om er voor te zorgen dat deze niet toegankelijk zijn voor onbevoegde derden, zoals bijvoorbeeld hackers en media. Dit verdient bij BYOD extra aandacht aangezien het risico groot is dat gevoelige informatie, zoals persoonsgegevens, op een privé-apparaat van een medewerker terechtkomen en bij verlies van dat apparaat in verkeerde handen kunnen vallen.

Het BYOD-principe is een mooie toevoeging aan ‘Het Nieuwe Werken’, maar informatiebeveiliging is moeilijk in te regelen op een apparaat dat niet door de organisatie wordt beheerd. Het is naïef te denken dat alles wat je opslaat op je telefoon of tablet, niet voor anderen toegankelijk is (“Treat your phone like social media; what you put on there is available to everyone”).

Maar bedrijven willen wel graag de apparaten van medewerkers inzetten; het bedrijf hoeft dan geen apparatuur te kopen en de medewerkers werken vanaf hun eigen laptop, tablet of telefoon met hun eigen voorkeuren. En hoe ga je om met onveilige en mogelijk met malware besmette privé-apparatuur waarop medewerkers met bedrijfsgegevens werken? Daarnaast wordt dat privé-apparaat vaak ook door andere familieleden gebruikt en die zouden geen toegang tot die bedrijfsgegevens moeten hebben.  

Daarnaast zetten bedrijven en medewerkers gegevens in de cloud om het delen van informatie eenvoudig te organiseren en toegang vanaf verschillende apparaten makkelijk mogelijk te maken. Maar men weet  vaak niet altijd wie er achter de cloudoplossing zit, of deze oplossing ook echt beveiligd is en wie er mogelijk nog meer toegang hebben tot de informatie die in de cloud is gezet. 

Gezien deze risico’s is het van belang dat  men de juiste maatregelen heeft genomen, want anders is het dus niet de vraag of het fout gaat, maar wanneer?

Oplossingen voor veilig werken met BYOD

De oplossing voor de beveiligingsrisico’s met betrekking tot BYOD ligt bij de bedrijven zelf. Die kunnen er voor zorgen dat er een ICT-omgeving wordt neergezet waarbij de gegevens het bedrijf niet of alleen gecontroleerd verlaten, maar op afstand werken toch mogelijk maakt. Door bijvoorbeeld documenten niet te bewaren op de onveilige privé laptops, tablets of smartphones maar een remote werkplek te maken, met een virtuele desktop en een verbinding naar een eigen server of een'private' of gecontroleerde cloud, kan informatie veilig worden bewerkt. Daarbij is een veilige verbinding uiteraard wel randvoorwaardelijk.

Een andere mogelijke oplossing is om documenten beveiligd op het apparaat op te slaan. In dat geval moet echter ook het apparaat beheerd worden, wat vanuit het medewerkersperspectief beter past bij door het bedrijf in eigendom zijnde apparaten. In ieder geval is het uitgangspunt gebruikersvriendelijke ontsluiting van die bedrijfsinformatie met maatregelen om te zorgen dat  binnen de muren van het bedrijf  blijft wat binnen moet blijven, zodat medewerkers vanaf elke plek op internet veilig mobiel kunnen werken.

Om te komen tot een dergelijke oplossing moet men in ieder geval de volgende aspecten in ogenschouw nemen:

  • Uitvoeren van een risico-analyse waarmee op basis van de te bereiken doelen voor Het Nieuwe Werken de afhankelijkheden en kwetsbaarheden vooraf in kaart worden gebracht;
  • Het bepalen van het bij de risico-analyse passende beleid op het gebied van beveiliging in het kader van het Veilige Nieuwe Werken;
  • De data en het gebruik daarvan centraal stellen en een dataclassificatiebeleid opstellen;
  • Op basis van de bestaande infrastructuur en de beleidsuitgangspunten kiezen voor passende organisatorische en technische uitgangspunten voor het Veilige Nieuwe Werken;
  • Tijdens het uitrollen van de gekozen oplossing ook bewustwording van de medewerkers op het gebied van informatiebeveiliging binnen Het Nieuwe Werken expliciet meenemen;
  • Gebruikersvriendelijkheid meenemen in de te maken keuzes en implementatie van maatregelen.

Conclusie

Om veilig het werken met BYOD in te regelen, is het bekend zijn met de risico’s randvoorwaardelijk. Op basis daarvan kan gekozen worden voor de passende oplossing. Gegevens zoveel mogelijk binnen de bedrijfsmuren houden, is in ieder geval de meest veilige oplossing, maar vanuit de samenwerking met anderen zijn de juiste maatregelen gewenst om dat toch op een goede manier te faciliteren.

Aanvullende maatregelen op de PC’s of tablets zijn beperkt nodig als de gegevens wel toegankelijk worden gemaakt maar niet op het apparaat worden opgeslagen. Wel zijn altijd aanvullende organisatorische en technische maatregelen gewenst. Voor elke organisatie kan een passende oplossing worden gerealiseerd. In de praktijk blijkt dat hier ook mogelijkheden liggen om kosten te besparen, waarover meer is te vinden onder Secure Mobile DataSamen Slimmer Werken en Het Nieuwe Samenwerken op de website van Ordina.