Voor sommige organisaties was de noodgedwongen overstap naar thuiswerken een radicale verandering. De voorzichtige opening van kantoren betekent echter geen terugkeer naar de situatie zoals die was voor de coronacrisis. En dat heeft gevolgen voor het securitybeleid.
Inmiddels zijn we bijna niet meer anders gewend, maar aan het begin van de coronapandemie was het voor veel bedrijven en werknemers nog behoorlijk omschakelen. In plaats van achter het bureau op kantoor werd er vanuit zolders, slaapkamers en van achter keukentafels gewerkt. En in plaats van persoonlijk met elkaar te overleggen, werd ‘zoomen’ een werkwoord.
Maar niet alleen voor werknemers en het management was het wennen, it-teams voelden de druk om ervoor te zorgen dat alle werkprocessen zo soepel mogelijk bleven verlopen. Werknemers verwachtten vanuit huis een even eenvoudige en snelle toegang tot bedrijfsgegevens en -applicaties zoals ze die op kantoor gewend zijn. Tegelijkertijd wilden ze die toegang in sommige gevallen via hun eigen laptop of smartphone, in plaats van de desktopcomputer die ze op kantoor gebruiken.
Vloeibaar onder druk
Organisaties waar thuiswerken reeds was ingeburgerd, stonden voor de uitdaging om snel op te schalen. Maar ook ondernemingen waar onder normale omstandigheden thuiswerken niet werd toegestaan, moesten hierin mee. Halsoverkop werden door de it-afdelingen faciliteiten opgezet die dit mogelijk maakten. Hierbij viel op te merken dat clouddiensten vaak beter bestand waren tegen onverwachte schokken als deze Covid-19-crisis. Dit omdat ze minder afhankelijk zijn van eigen infrastructuur of fysieke aanwezigheid van it-personeel. Onder druk wordt alles vloeibaar, zo bleek maar weer eens. Helaas gold dit vaak ook voor securitymaatregelen; niet alle thuiswerkoplossingen bleken even veilig. Eén van de in het oog springende voorbeelden hiervan was het fenomeen Zoom-bombing, veroorzaakt door het gebruik van een openbare Zoom-link in plaats van eentje beveiligd met een wachtwoord.
Maar toch, met wat vallen en opstaan lukte het uiteindelijk vrijwel alle it-teams om de bedrijfsprocessen aan te passen aan de nieuwe digitale realiteit. En dan verandert die realiteit nu nogmaals door het stapsgewijs opheffen van de ‘intelligente lockdown’ waardoor kantoren weer toegankelijk worden voor werknemers. Dit betekent echter niet dat we terugkeren naar de situatie voor maart van dit jaar. En dat biedt wederom kansen voor het werkplekbeleid van organisaties.
Nieuwe realiteit
Voorlopig is een massale terugkeer van werknemers naar kantoor uitgesloten omdat het in veel gevallen lastig blijkt om anderhalve meter afstand te houden. Maar naast deze praktische reden hebben veel werknemers ook geen behoefte om terug te keren naar de oude situatie. Ondanks de soms moeilijke zoektocht naar een evenwicht tussen werk en privé, heeft het verplichte thuiswerken hen de voordelen in laten zien, voordelen die ze niet zomaar op willen geven. Zo wil de meerderheid van werknemers ook in de toekomst de mogelijkheid hebben om op regelmatige basis thuis te werken.
We gaan dus toe naar een realiteit waarin werknemers afwisselend thuis en op kantoor aan het werk zijn. In deze balans zullen werknemers afwisselend met hun zakelijke devices en zeer waarschijnlijk ook hun privé-devices gebruikmaken van het bedrijfsnetwerk en toegang vragen tot bedrijfsdata. Dit levert risico’s op omdat persoonlijke devices een mogelijke bedreiging vormen en minder eenvoudig te overzien zijn dan zakelijke hardware. Werknemers moeten zich hier bewust van zijn, en bijvoorbeeld via trainingen extra op geattendeerd worden. Uit onderzoek blijkt dat sinds eind februari het aantal phishingmails met 600 procent is gestegen. Als werknemers niet opletten en op een link in een phishingmail klikken, kan het volledige bedrijfsnetwerk worden gecompromitteerd.
Uem-platform
Tegelijkertijd is het van belang om gebruiksgemak voorop te blijven stellen zodat werknemers zo eenvoudig mogelijk toegang blijven houden tot de applicaties en data die ze nodig hebben om hun werk te doen – ongeacht of ze thuis of op kantoor inloggen. De manier om dit voor elkaar te krijgen is het onderbrengen van alle devices (zowel zakelijk als persoonlijk) in een unified endpoint management (uem)-platform. Hierdoor krijgen it-securityprofessionals mogelijkheden om voor alle devices die toegang tot het bedrijfsnetwerk en -data vragen een veilige verbinding te realiseren en kunnen ze deze voor devices mogelijke bedreigingen voorkomen. De uitbreiding van het uem-platform met ‘mobile threat defense’ (mtd)-technologie maakt het daarnaast mogelijk om externe bedreigingen zoals phishing automatisch tegen te houden.
Met behulp van het zero trust-principe, waarbij een organisatie zeker kan stellen dat elk device en iedere gebruiker die toegang wil tot het netwerk voldoet aan de gestelde security eisen, wordt een extra laag aan bescherming toegevoegd. De zero trust-filosofie gaat er in de basis namelijk vanuit dat iedere login een mogelijke bedreiging kan vormen. Ook kan er op het persoonlijke mobiele device een zakelijk profiel worden gecreëerd, zonder hierbij het privégedeelte te raken. Dit is met name belangrijk om privacy te garanderen en de adoptiegraad te verhogen, zonder dat privé-activiteiten mogelijke schadelijke gevolgen hebben voor het zakelijke gedeelte van het device en het bedrijfsnetwerk.
Flexibiliteit
In de nieuwe situatie die nu ontstaat op kantoren zal flexibiliteit belangrijk worden. Werknemers zullen hun werkzaamheden afwisselend thuis en op kantoor uitvoeren. De gebruikerservaring tussen die twee plekken moet zo min mogelijk verschillen als het om de technologie en het netwerk gaat. Aan de it-afdeling de taak om ervoor te zorgen dat de gewenste functionaliteit altijd en overal geboden kan worden, zonder dat kwaadwillenden toegang kunnen krijgen tot het bedrijfsnetwerk en bedrijfsdata.
