60 procent van de Europese medewerkers werkt weleens thuis. Het percentage thuiswerkers blijft nog steeds stijgen. Met het toenemende thuiswerk, verlaten papieren documenten en digitale gegevens meer-en-meer ongestoord het pand. Toch hanteert slechts 18 procent van de werkgevers een doordacht en formeel beleid voor thuiswerken. Veruit de meeste werkgevers bieden zelfs geen enkele ondersteuning en begeleiding. Daarmee vergroot de thuiswerktrend de risico’s op datalekken aanzienlijk. Dit blijkt uit onderzoek van leverancier van datamanagement Iron Mountain.
Thuiswerkers zijn zich zelden bewust van de risico´s. Zo verstuurt 50 procent van de respondenten werkdocumenten via het persoonlijk e-mailabonnement. Daarnaast laten thuiswerkers bedrijfsgegevens regelmatig in en om het huis slingeren (29 procent). 19 procent van hen gooit werkgerelateerde documenten weg met het huisafval. Een op de tien (11 procent) werkt weleens vanuit een horecagelegenheid of maakt gebruik van een onbeveiligd Wi-Fi-netwerk om werkgerelateerde documenten te versturen (7 procent). Elk van deze gedragingen stelt informatie bloot aan risico’s van dataverlies of privacyovertreding.
Het onderzoek wijst uit dat de aantallen thuiswerkers sterk variëren per bedrijfsfunctie. Thuiswerken komt het meest voor onder managers of binnen directies. Een derde (32 procent) van hen geeft aan elke dag vanuit huis te werken en nog eens 22 procent zegt twee tot vier keer per week thuis te werken. Marketingmedewerkers komen op een tweede plaats (35 procent): zij werken twee tot vier keer per week thuis. Van de it-medewerkers werkt 21 procent twee tot vier keer per week thuis. Medewerkers van personeelszaken en de administratie werken zelden of nooit vanuit huis.
“Thuiswerkers zijn zich zelden bewust van de risico´s….” Deze uitspraak kan nog wel wat genuanceerd en in perspectief worden gezet. Veel van deze medewerkers hebben werkgevers die uitermate veilige gegevensuitwisselingsprogrammatuur voorschrijven. Deze veilige programma’s vergen echter zoveel (voor)werk en maken het delen van gegevens op die manier zo omslachtig dat mensen uit noodzaak (“ik wil het werk vandaag wel af, ja?!”) de gegevens dan maar gaan mailen.
Ik wil het probleem van gegevens lekken niet bagetaliseren (dat probleem is er nu eenmaal en is niet mals), maar er zijn meer facetten aan deze materie die wel heel eenvoudig niet zijn genoemd. Een uiteenzetting van de redenen waarom deze mensen (grappig genoeg statistisch juist die mensen die de macht hebben om het eenvoudig te maken: de directeurs en managers) de gegevens zo onveilig uitwisselen.
Al die mensen hebben natuurlijk niets te verbergen en zien dus het probleem niet zo.
Maar dit is natuurlijk een zeer mooi moment om te innoveren naar makkelijk én veilig. Als IT’ers kunnen wij hier ons voordeel mee doen qua gebruikers maar ook als leveranciers.
In principe is het een werkgevers verantwoordelijkheid om te zorgen dat de thuiswerkplek op orde is. Daarmee moet ook het beveiligingsaspect afgetikt zijn. Dat is ook zo bij veel bedrijven.Het is ook zeker geen “rocket science” meer. Los hier van zijn er nog tal van facetten die zinvol zijn om in te vullen. Bijvoorbeeld de telefonische breekbaarheid door ze onderdeel van de telefonie infrastructuur en functies die bijvoorbeeld vallen onder het container begrip Unified Communications.
Op die manier wordt een thuiswerkplek ook beheersbaar en veilig.
Ik begrijp het issue eigenlijk niet helemaal zo. Wanneer er hiaten zitten in dit soort processen, dan heeft men nog een slag te slaan. Mijns insziens is het nog altijd zo, tenminste waar IT bij is betrokken, dat men eerst een test en pilot uit voert voor men tot implementatie over gaat.
Deze eerste basale stap over slaan of domweg veronachtzamen, is vragen om problemen. ‘Proofs’ een beetje ‘my point’ telkens weer. Wanneer je cruciale stappen overslaat in en met IT, loop je tegen problemen aan.
Een wetmatige garantie.
Ik begrijp het probleem eerlijk gezegd niet zo. Iron Mountain is een Amerikaans bedrijf, dat betekend dat als zij iets voor je onderneming doen op het gebied van hun beveiligde cloud-service, je data per definitie gedeeld wordt met de Amerikaanse overheid.
Dus als je niets doet, loop je een risico (heb je kans op) op een data-lekkage, kies je voor hun cloud service, dan heb je met zekerheid een data-lekkage.
In het artikel wordt er wel veel op een hoop geveegd. Remote en thuis zijn verschillend en niet alles is ‘staatsgeheim’.
Ten eerste zul je een informatieclassificatie moeten doorvoeren binnen je bedrijf. Hiermee kun je onderscheid maken welke informatiedata bereikbaar zijn vanuit een veilige en minder veilige thuiswerkplek of andere remote werkplek (terras van een café/hotel).
Ten tweede kan remote werken veilig(er) worden ingericht in lijn met de informatie classificatie. Te denken valt aan maatregelen zoals:
– Remote werken vanaf een gecertificeerd BYOD systeem op een virtuele bedrijfsdesktop (draait in een beveiligde bedrijfsomgeving).
– Altijd werken via een veilige opgezette VPN tunnel. Gebruik van tokens en eventueel een locatiecheck uitvoeren, b.v. acceptatie van gebruikte remote IP adres als er beperkingen zijn aan de remote locatie (terras niet toegestaan).
Het is mooi om te zien hoe de reacties op het artikel toch weer heel erg technisch van aard zijn. Informatiebeveiliging is echter niet per definitie een technisch onderwerp.
In mijn ogen is de groep thuiswerkers het grootste probleem. Ze zijn over het algemeen minder technisch onderlegd en zich daardoor ook niet bewust van problemen die ze kunnen veroorzaken. Dit kunnen technische problemen zijn, natuurlijk, maar welke directeur van een MKB bedrijf staat er werkelijk bij stil dat zijn vuilniszak doorzocht mag worden en dat je daar dan wellicht niet plan xyz in moet gooien? Hoeveel managers sjouwen niet iedere dag een dikke tas vol papier mee naar huis om dossiers door te kunnen werken? Deze papieren gaan thuis echt niet de kluis in, en is er een dossiertje weg, dan is er geen haan die er naar kraait.
Kortom, het zijn niet de tokens, tunnels of kabels. Dat is maar een deel. Mensen beseffen nog steeds niet wat het lekken van data voor een onderneming kan betekenen en hoe makkelijk het lekken van die data eigenlijk is.