Werknemers voegen waarde toe aan een bedrijf, maar maken het ook kwetsbaar. Nieuwe it-trends maken dat alleen maar erger. Kortom, werknemers vormen vaak een bedreiging die bedrijven niet langer kunnen negeren.
Stel: je moet je familie beschermen. Het eerste wat je dan doet is naar een veilige locatie gaan – een zogeheten ‘gated community’. Als dat niet lukt, dan is het tweede waar je aan denkt de beveiliging van je huidige omgeving: deuren, ramen en andere toegangswegen voorzie je van een alarm, camera’s en bewegingssensoren. Als dat allemaal is aangesloten en werkt, weten we zeker dat ons huis in ieder geval veilig is. Maar: dan ga je er wel vanuit dat je familie zich aan de veiligheidsmaatregelen houdt. Zelfs voor de allerbeste beveiligingssystemen is het lastig om inbrekers van bewoners te onderscheiden. Want wat gebeurt er als iemand een sleutel onder de deurmat verstopt voor een verwachte bezoeker? Of wanneer een raam per ongeluk open blijft staan?
Bij zo’n gated community is de beveiligingsstrategie met name gericht op bescherming van in- en uitgangen, en gaan we er gemakshalve vanuit dat bewoners niets zullen doen waar het alarm door afgaat. In de meeste gevallen leidt het ook niet tot problemen – maar bij onze huizen liggen dan ook niet voortdurend inbrekers op de loer die hopen dat we een keer de sleutel in het slot laten zitten.
Veilige medewerkers
It-afdelingen worden geacht werknemers te voorzien van apparaten die zowel voor het bedrijf als de veeleisende werknemer een logische keus zijn. Of het nou gaat om toegang tot apps en diensten, of byod: de moderne werkplek is volledig gedigitaliseerd en daardoor kwetsbaar – zeker in vergelijking met vroeger, toen elke werknemer een eigen desktop gebruikte die hij of zij enkel vanaf kantoor kon gebruiken. Naarmate it de ondersteuning voor flexwerken uitbreidt, zullen veiligheidsrisico’s toenemen, ook van binnenuit.
In een tijd waarin meer met minder moet, is het voor it-afdelingen al lastig genoeg om goede beveiliging tegen malware, ransomware en spyware te bieden, en voor firewalls te zorgen die aanvallen van buitenaf afslaan. Er is daardoor niet genoeg aandacht voor wie ze het meest moeten kunnen vertrouwen, hun eigen werknemers.
Deze interne dreiging is niet nieuw. In een recent onderzoek van Kensington, getiteld ‘Voice of IT‘, worden de volgende zaken als grootste pijnpunten van it-verantwoordelijken genoemd: menselijke fouten, gebrek aan procedures en werknemers die zich niet aan de regels houden. Wat kunnen bedrijven doen om deze processen beter te stroomlijnen? Binnen de ‘gated community’ vormt de gebruiker namelijk de laatste verdedigingslinie.
Groot gat om te overbruggen
Eén van de grootste discussies over de digitale werkplek in de afgelopen jaren gaat over hoe het gat tussen gebruiksvriendelijkheid en goede beveiliging overbrugd kan worden. Het is hét aloude probleem binnen de it: er wordt continu nieuwe technologie aan de bestaande infrastructuur toegevoegd, maar er wordt haast nooit iets weggegooid. Het gevolg: een mengelmoes van hybride technologieën die allemaal hetzelfde probleem willen oplossen. En dit blijft niet onopgemerkt bij gebruikers, die voortdurend tussen apps of fysieke en virtuele werkplekken moeten switchen. Het doet hen alleen maar nog meer verlangen naar de simpliciteit van de oplossingen die ze thuis gebruiken
Beveiliging is daarbij misschien nog wel de grootste boosdoener. Overstelpt jouw organisatie zijn werknemers met te veel controlelijsten en updates om te installeren? Werken je huidige beveiligingssystemen wel samen? En zo ja, is die samenwerking wel naadloos?
Organisaties kunnen niet anders dan een veiligheidsnet om hun werknemers heen spannen, want het risico op een cyberaanval is nu eenmaal erg groot. Maar het moet wel op een manier die niet ten koste gaat van hun productiviteit. Werknemers moeten kunnen werken waar en wanneer ze maar willen, op de apparaten die ze het handigst vinden. En dat allemaal met de juiste veiligheidsmaatregelen, die ervoor zorgen dat ze niet – bewust of onbewust – de aanstichters van een beveiligingsprobleem zijn.
Oplossingen
De it-afdeling moet werknemers én infrastructuur beschermen tegen eenvoudig te maken, maar mogelijk onherstelbare vergissingen. Het goede nieuws: er zijn meerdere belangrijke stappen die een organisatie kan nemen om beter beveiligd te zijn, zonder dat werknemers daarbij voortdurend worden lastigvallen.
Maak gebruik van geautomatiseerde, contextbewuste toegangsmogelijkheden
Automatiseer de processen en workflows die uitmaken tot welke apps, databases en diensten een werknemer via zijn werkplek toegang heeft. Er is technologie beschikbaar die:
1) Bepaalt welke diensten toegankelijk zijn voor wie op basis van de huidige context (het apparaat waarop ze werken, wanneer ze dat doen en waar ze zich bevinden);
2) Automatisch de diensten levert en eventueel intrekt op basis van de context;
3) De toegangsgegevens bijhoudt voor eenvoudige audits.
Eenvoudige whitelisting door middel van automatisering
Menselijk gedrag is het grootste beveiligingsrisico en moderne cybercriminelen worden steeds creatiever in hun pogingen om onoplettendheid te misbruiken. Contextgevoelige white- en blacklisting zorgen ervoor dat enkel toegestane apps kunnen worden uitgevoerd; de lijst met apps kan door it worden aangepast aan de wensen van het bedrijf.
Veel organisaties maken al gebruik van whitelisting, maar traditionele oplossingen kunnen nogal onderhoudsintensief zijn. Nieuwe toepassingen worden geautomatiseerd beheerd en bieden extra beveiliging voor gebruikers in de vorm van unieke bestandskenmerken. Daardoor zijn de bestanden die worden uitgevoerd authentiek en worden werknemers niet verleid tot het openen van verschillende geïnfecteerde bestanden.
Automatiseer het on- en offboarden van werknemers
Meer dan 13 procent van de werknemers heeft nog steeds toegang tot systemen van hun vorige werkgever – met hun oude inloggegevens. En het wordt nog erger: in een onderzoek naar heimelijke toegang stelde Intermedia vast dat wel 89 procent van de werknemers tenminste toegang behoudt tot één app van hun vorige werkgever. Inloggen op een account waar ze eigenlijk geen toegang meer toe zouden moeten hebben doet 49 procent, terwijl 45 procent toegang tot vertrouwelijke data houdt.
Werknemers vormen de grootste bedreiging voor een organisatie op het moment dat ze uit dienst gaan. De it-afdeling moet daarom de uitdiensttredingsprocessen vastleggen in hrr-apps en projectmanagementsystemen, zodat de toegang van werknemers automatisch gemanaged en aangepast wordt. Door een meer holistische benadering van identiteitsmanagement kunnen organisaties productiviteit, compliancy en beveiliging significant verbeteren én ze voorkomen dat voormalige werknemers data en systemen van een organisatie blootstellen aan allerlei risico’s.
Maak een einde aan ‘schaduw IT’
De werknemers van vandaag zijn productiever dan ooit, dankzij de ongelooflijke technologie die de moderne digitale werkplek hen biedt. Maar deze productiviteit zorgt ook voor een “ik heb het nu nodig”-houding ten aanzien van nieuwe technologie. En als IT er niet meteen voor kan zorgen? Vaak is de oplossing dan slechts een inlog of creditcard verder.
De risico’s daarvan zijn enorm. It moet ervoor zorgen dat werknemers het heft niet in eigen handen nemen in het geval van it-problemen. Maar is zogenoemde ‘schaduw it’ wel te voorkomen door een leger van alerte it-professionals in te huren, die 24/7 beschikbaar zijn? Of is er een makkelijkere en goedkopere oplossing? Het antwoord is ja. Door automatisering kan it zorgen voor on-demand selfservice toegang tot de apps en diensten die werknemers nodig hebben én voorkomen dat zij de regels ontwijken. Daaronder vallen wachtwoordmanagement, toegang tot een nieuwe harde schijf, of een verzoek om een specifieke applicatie. De beste manier om te voorkomen dat werknemers de regels aan hun laars lappen is ze een directe, traceerbaar en betrouwbare manier te bieden die hen geeft wat ze verwachten van it. Geen gedoe. Geen tickets. Geen overtredingen.
Conclusie
Beveiliging moet voor een organisatie logisch zijn, maar zal voor veel werknemers nooit natuurlijk worden. Thuis worden we omringd door een gevoel van veiligheid. En het maakt niet uit of we dat ook echt zijn, of ons alleen maar zo voelen. Velen van ons denken pas na over veiligheid als deze merkbaar in het gedrang is. It-afdelingen moeten daarom zorgen voor een krachtige beveiliging van systemen, data en werknemers. Als ze automatisering en selfservice goed gebruiken om beveiligingsprocessen te versimpelen, stellen ze werknemers in staat te focussen op hun verantwoordelijkheden – en vormen ze geen bedreiging van de veiligheid.
Een ding is duidelijk: geen enkele oplossing is perfect. Maar we zijn het aan onze bedrijven en collega’s verplicht ons best te doen dit wel na te streven.