Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter werken', 'beperken reiskosten' en 'terugdringen fileleed' worden te pas en te onpas gebruikt, maar ict-technisch hoor je niet zo veel. Hoe zit het bijvoorbeeld met de beveiliging bij het nieuwe werken? Experts van verschillende Computable-topics laten zich hierover uit.
Jurgen van der Vlugt, senior manager audit en advies, Noordbeek
Een beetje sneeuw en drukte op de weg en prompt zijn er vragen over telewerken en waarom dat eigenlijk nog niet van de grond is gekomen. Vroeger wist niemand wat er over de lijn ging, dat er überhaupt iets over een lijn ging of waar die lijn lag. ISDN stond voor 'It Still Does Nothing' en ADSL was nog onbekend. Juist toen werkten we ook allemaal op kantoor. Lekker bij elkaar social networken rond de koffieautomaat.
Tegenwoordig zitten jouw data en applicaties in India of ergens in de cloud en de draadloze bandbreedte is zo groot dat die geen echt knelpunt meer is. Jij zelf zit ook niet meer op kantoor, dat is alleen voor saaie afdelingsvergaderingen met saaie on-creatieve collega's. Het creatieve, interessante, echte 'werk' gebeurt op netwerksites op jouw mobieltje, ultraportable netbook of iPad, waar je je ook bevindt. Dat is bij voorkeur dichtbij huis, want dan kan de qua bouw milieuonvriendelijke maar (in de praktijk helemaal niet zo) zuinigrijdende leaseauto voor de deur blijven, hoef je geen ecotax op de kilometers te betalen of zit je midden in het rekeningrijden-circus. Blackberries zijn er voor onder tafel tijdens de saaie vergaderingen.
Maar wacht, dat anywhere-ken mag eigenlijk niet van jouw baas, want die is niet van gisteren en weet dat er beveiligingsproblemen zouden zijn. Of niet? Staat jouw baas groen werken terecht in de weg? Er zijn eigenlijk twee redenen waarom anywhere-ken nog niet kan, te weten het gebrek aan budget voor een deugdelijke oplossing van de technische beveiligingsissues en de angst om door de mand te vallen.
Hoe staat het met de beveiliging van de intellectuele prestaties die ik 'ergens' heb opgeslagen? Hoe zorg ik ervoor dat de leverancier van mijn favoriete social networkingsite netjes de beveiliging op peil houdt zodat mijn foto's van wat minder nuchtere feestjes niet voor jan en alleman te zien zijn? Hoe voorkom ik dat mijn EPD na alle outsourcing en onbeheerste toegang door 'belanghebbenden' gaat zwerven en bij een verzekeraar c.q. kwaadwillenden terechtkomt? Moeten we dan maar vertrouwen op alle mooie verhalen over de toegepaste beveiliging? Terwijl om de haverklap de mooie verhalen worden doorgeprikt en dan is 'sorry' het maximale wat we ooit horen?
We hebben dus informatie over onszelf verre van zelf in de hand. Terwijl de huidige houders slechts bewaarders zijn ervan, niet bezitters. Dat zijn wij, toch? Bij een bank kan je online al je data inzien. De bank(site) biedt je slechts het platform voor je geldopslag en het 'zelf' doen van transacties. Waarom krijg ik van de Rijksoverheid niet een jaaropgaaf van alle informatie over mij die bij de Rijks-, semi- en lagere overheden aanwezig is? Het maakt voor de burger niets uit welke overheidsdienst hij mee van doen heeft. Eén overzicht moet makkelijk kunnen. Of niet en willen we juist helemaal geen koppelingen…?
We hebben nog weinig idee over wat voor informatie we het voor het zeggen zouden willen hebben. En vervolgens hebben we geen idee welke informatie we op welke wijze in de wereld zouden willen loslaten, oftewel vrijgeven. Of ga ik nu te ver? Mijn antwoord is dus vooral 'ik weet niet'. Niet als argument tegen het nieuwe werken, maar hoe en wat we ermee moeten laat staan wat we moeten beveiligen en hoe dan. Vast staat dat we met z'n allen toch weer een beetje aan het afwachten zijn en dat is jammer. Afwachters zijn per definitie (te) laat en dan rest ons weer niks anders dan achter de feiten aanlopen, niet zelf kiezen en niet de vruchten plukken. Dan hebben we zo weer alle vrije tijd, maar geen cent te makken.
Michiel Broekhuijsen, security consultant, Andarr
Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je niet door het bezitten van kennis, maar door deze te delen en daardoor bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet alleen in een web 2.0-fenomeen als Wikipedia, maar ook in het nieuwe werken, waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar wel een zorgpunt. Momenteel wordt er (terecht) veel aandacht besteed aan de vertrouwelijkheid en privacy van informatie, maar we moeten er ook voor zorgen dat kennis gebaseerd is op betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekent dat we de komende tijd technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.
Eric Biemans, principle consultant, ArchiXL
Anytime, anyplace, anywhere (het Martini-gevoel) is blijkbaar cyclisch. Steeds weer duikt het op onder een andere naam, tegenwoordig heet het 'het nieuwe werken'. Waar het in de praktijk echt op neer komt is het meer efficiënt inzetten van medewerkers. Welk bedrijf wil dat niet? Om het nieuwe werken te ondersteunen, zijn er ook 'nieuw beleid' en 'nieuwe oplossingen' nodig. Het nieuwe beleid moet zich richten op werken buiten de fysieke grenzen van een organisatie, rekening houdend met gevoeligheid van informatie, tijd/plaats (omgeving) en bedrijfsgericht samenwerken. Nieuwe oplossingen dienen zich te richten op het beveiligen van informatie, documenten, etc. in plaats van het beveiligen van netwerken en computers. Voorts dienen nieuwe oplossingen waar nodig de echte samenwerking tussen de telewerkenden te faciliteren.
Jan Van Haver, country manager Benelux, G Data Software
Dat de productiviteit van thuiswerkers hoog genoeg ligt om gunstig tegenover anywhere-ken te staan, daarvan ben ik overtuigd. Het securitydilemma dat wordt aangestipt, is naar mijn idee een veel lastiger thema. Het gevaar voor dataverlies komt mijns inziens uit twee hoeken. Enerzijds zijn er de technische onvolkomenheden, waardoor de informatie niet adequaat wordt beschermd. Het risico hiervan neemt toe bij hogere mobiliteit van de werknemers, omdat de informatie dan met meerdere onderdelen van de infrastructuur en vaak met meerdere soorten hardware in aanraking komt. Anderzijds is er de onwetendheid van de werknemer. Deze realiseert zich in veel gevallen niet voldoende, hoe belangrijk het is om bepaalde informatie goed te beschermen, of denkt dat wel te doen, maar slaat de plank hierin mis. Deze onwetendheid is op kantoor, onderweg of thuis aanwezig en altijd bedreigend. Gelukkig zijn deze beide gevaren redelijk goed in te perken door goede ict-securityoplossingen en voldoende training van werknemers op het gebied van securitypolicies.
Echt lastig wordt het qua security wanneer een onderneming de controle over haar gegevens uit handen geeft aan een derde partij, zoals op grote schaal gebeurt bij cloudoplossingen. Het gebrek aan toezicht en controle vereist een blind vertrouwen in de leverancier. En als je al twijfelt of je zelf de twee gevaren van dataverlies wel goed hebt afgedicht, hoe kun je er dan zonder meer vanuit gaan dat een bedrijf dat je nauwelijks kent alles wel prima op orde heeft?
Tini Schuurmans, principal security consultant, BT Benelux
De zorgen die men zich maakt over de beveiliging van telewerken worden grotendeels veroorzaakt doordat we ons de afgelopen decennia gefocust hebben op de beveiliging van het netwerk. De gedachte was dat we met een goed afgeschermd netwerk onze kroonjuwelen goed konden beschermen. De firewall was lange tijd de belangrijkste beveiligingsmaatregel, maar steeds vaker worden daar gaten in geslagen om mogelijkheden te bieden voor samenwerking buiten de muren.
Het wordt dan ook tijd dat we anders tegen de beveiliging van telewerken aan gaan kijken en ons gaan afvragen wat we eigenlijk willen beschermen. Zeer waarschijnlijk is het antwoord niet altijd en alleen maar het interne netwerk, zelfs niet de data, maar de informatie die in de data is opgeslagen. Deze informatie vertegenwoordigt waarde voor de organisatie in kennis, kunde, ontwikkeling en historie. De waarde van de informatie varieert ook in de tijd. Beursgevoelige informatie is vaak slechts voor korte tijd geheim. Binnen enkele uren of dagen is het publieke informatie en is het niet meer nodig de vertrouwelijkheid ervan te beschermen.
De industrie is al op vele fronten bezig technologie te ontwikkelen die het mogelijk maakt de informatie zelf te beveiligen op vertrouwelijkheid en integriteit. We zijn er nog niet, maar het is al wel van belang om het bedrijfsleven hierop voor te bereiden. Zij zullen een begin moeten maken met het structureel classificeren van informatie binnen de organisatie.
Floris van den Dool, security lead EALA, Accenture
De randvoorwaarden voor het nieuwe werken kunnen voor een deel technisch worden opgelost, maar er zal een steeds belangrijker nadruk komen te liggen op het securitybewustzijn van de moderne werkers én de supportorganisatie. De beveiligingsorganisatie verstrekt de middelen en zorgt voor adequate opleiding en beleid; de werkers moeten zich bewust zijn van hun verantwoordelijkheid bij het remote werken met de gevoelige assets van het bedrijf en daaraan ook gehouden (kunnen) worden. Dat is een prima ruil voor de medewerker en voor bedrijven een noodzakelijke schakel in de beveiliging. Bewustzijn, beleid en technische middelen zijn daarbij allemaal onderdeel van een proces, dat continu moet zorgen voor op risico gebaseerde maatregelen.
Marco Mulder, senior consultant, Orange Business Services
Hoe beveilig je het nieuwe werken? Dat is lastig te bepalen als je niet weet wat je moet gaan beveiligen en waarom en wat het risico is als men het niet doet. Er zijn niet voor niets securitystandaarden als ISO27001 gedefinieerd die al dit soort aspecten meenemen. Het telewerken zou je daarom niet als losstaande manier van beveiliging moeten zien, het is een verlengstuk van het werken op kantoor, waarbij de beveiliging van de algehele kantooromgeving (internationaal) de basis is van de beveiliging van telewerken.
Thimo Keizer, managing en senior consultant, Northwave
Anywhere-ken kan net zo veilig (of onveilig) als met zijn allen op kantoor. Het lijkt misschien onveiliger, maar met de juiste middelen (hard- en software, maar ook procedures en awareness) kan het zelfs vele malen veiliger. Het gaat om fysieke aanwezigheid versus resultaatsturing (veertig uur aanwezig zijn is zo 1980). Als resultaten zichtbaar worden, gaan de bazen medewerkers vertrouwen en gaan we anywhere-ken. Dan zullen organisaties ook meer aandacht besteden aan de risico's daarvan. We kunnen anywhere-ken stimuleren door juist de (gewijzigde) risico's en positieve beveiligingsaspecten te benadrukken. Dan krijgen beveiliging en anywhere-ken de eer die ze verdienen.
Carlo van Wordragen, adviseur, Aranea Consult
Het grote aantal thuiswerkplekken die uit het zicht van de ict-afdeling zijn, vormen een grote bedreiging voor de beveiliging voor de totale organisatie. Maar we focussen onszelf te vaak op de techniek. Als we kijken naar de totale business case en alle kosten van kantoorruimten, parkeerplaatsen, filetijden en netwerkkosten meerekenen, dan zou de prijs per werkplek wel eens aanzienlijk hoger kunnen zijn, dan die van een thuiswerkplek. Zelfs als de medewerker tijdens het nieuwe werken even een brood bij de bakker gaat halen. En van de andere kant: thuis worden we niet door collega's bij de koffieautomaat van ons werk gehouden en wordt er niet oeverloos vergaderd. Thuis werk ik vaak veel efficiënter als op kantoor.
Jos Struik, directeur, Dataccent
Een essentieel onderdeel van de geschetste problematiek is de vraag: wat is de waarde van kennis en informatie? Uitgaande van het concept 'kennis is macht' is het vasthouden/beschermen van kennis/informatie heel belangrijk en daarmee verlammend voor het nieuwe werken. Als we ons echter, als onderdeel van het nieuwe werken, ook realiseren dat kennis en informatie vluchtig zijn, dan betekent dat het verkrijgen en/of hebben van macht alleen kan door continu nieuwe te vergaren. Het gaat dan ook niet meer om de informatie zelf, maar wat je ermee doet. De toegevoegde waarde.
Als je niets te verbergen hebt, hoef je ook niet bang te zijn dat informatie over jou openbaar beschikbaar is. Als je kennis en informatie continu vergaart en deelt, worden we er allemaal beter van. Natuurlijk blijft het voorlopig wel van belang het een en ander goed te beveiligen en af te dichten, omdat onze maatschappij nog niet leeft volgens het concept van het nieuwe werken of misschien zelfs beter 'het nieuwe leven'. Vroeger moest je op school ook alles van buiten kennen en mocht je geen hulpmiddelen (anders dan een rekenmachine) gebruiken. Nu is het heel normaal dat voor een werkstuk het internet wordt gebruikt. Ook daar gaat het niet meer om de inhoud zelf, maar wat de leerling/student ermee doet. Het nieuwe werken staat nog in de kinderschoenen, maar zal uiteindelijk toch echt wel leiden naar het nieuwe leven.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer experts, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts op de volgende vakgebieden:
eHRM: ehm@computable.nl
Loopbaan: loopbaan@computable.nl
Storage: storage@computable.nl
ECM: ecm@computable.nl
Virtualisatie: virtualisatie@computable.nl
Ben jij expert op een van bovengenoemde vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar het bijbehorende e-mailadres.