De komst van auto’s heeft ons mensen veel flexibiliteit gebracht. Hetzelfde geldt voor hybride werken. Met mobiele devices zijn we in staat te werken waar en wanneer we maar willen. Maar waar gebruikers dit concept omarmen, ontstaan er op de securityafdeling zorgen.
De voorheen afgebakende werkomgeving heeft plaatsgemaakt voor gebruikers die vanaf allerlei locaties inloggen. Dat vraagt een andere manier van beveiligen. Hoewel alles dichttimmeren vanuit veiligheidsoogpunt de makkelijkste oplossing lijkt, komt dat de wendbaarheid van de organisatie niet ten goede. Gelukkig kan het ook anders. In deze blog vertel ik graag welke veiligheidsontwikkelingen nodig zijn voor het bieden van een veilige hybride werkplek, net zoals dat bij auto’s het geval is geweest.
Gordel
In de jaren zeventig kwamen de eerste auto’s op de markt met een gordel. In die tijd moesten automobilisten daar aan wennen en voelde het als een belemmering. Inmiddels is de gordel niet meer weg te denken en voelt het zelfs gek als je hem niet om hebt. Naast zichtbare beveiliging zijn auto’s inmiddels ook voorzien van onzichtbare veiligheidsmaatregelen. Denk aan een kooiconstructie, kreukelzones en airbags. Al deze maatregelen zijn er voor de veiligheid van de bestuurder en inzittenden van de auto, maar ze belemmeren het rijcomfort niet.
Zo is het ook met een online-werkplek. Gebruikers willen een optimale beleving binnen hun werkomgeving. Ze willen de plek inrichten naar hun eigen wensen en gemakkelijk toegang tot applicaties verkrijgen. Ook willen ze hun device gebruiken waar en wanneer ze maar willen. Natuurlijk is het belangrijk dat dit alles veilig gebeurt, anders is het als rijden zonder gordel. Vaak wordt echter gedacht dat veiligheid van de online werkplek ten koste gaat van het gebruiksgemak en daarmee de wendbaarheid van organisaties. Niets is minder waar. Veiligheid is juist een randvoorwaarde voor flexibiliteit. Ga daarom op zoek naar maatregelen waar gebruikers zo min mogelijk van merken.
Balans tussen vrijheid en veiligheid
In de zoektocht naar de juiste veiligheidsmaatregelen is het belangrijk om balans te vinden tussen zoveel mogelijk vrijlaten en alles dichttimmeren. Het eerste geval, waarin je zoveel mogelijk vrijlaat in iemands online werkplek, vraagt hoge eisen van de manier waarop je je backoffice inricht. Je moet er dan vanuit gaan dat de plek vanaf waar de gebruiker werkt, expliciet niet veilig is. Dat betekent dat er alsnog ergens een virtuele grens gecreëerd moet worden vanaf waar het wel veilig is. Dat geeft weer restricties op wat een gebruiker vanaf daar kan doen op zijn apparaat, zoals bestanden opslaan op het apparaat zelf. Het andere geval, waarin je alles dichttimmert, komt de gebruikerservaring niet ten goede omdat gebruikers hun device dan niet naar wens kunnen inrichten. De volledige controle vanuit security staat de flexibiliteit in de weg.
Een mix tussen deze twee scenario’s is voor de meeste organisaties de beste oplossing. Daarin zijn de basisapplicaties gescript geïnstalleerd op het device, hebben gebruikers de ruimte om SaaS-diensten van allerlei leveranciers te gebruiken en is er extra beveiliging toegepast op bedrijfskritische applicaties. Hoewel het geven van enige vorm van vrijheid aan gebruikers misschien niet veilig voelt, is het wel degelijk mogelijk. En wel door passieve veiligheidsmaatregelen te nemen, net zoals de kooiconstructie of airbag van een auto. Alleen indien nodig, wordt er actie ondernomen. Als binnen een bepaald account bijvoorbeeld een verdachte actie wordt gedetecteerd, krijgt de gebruiker de vraag om zijn identiteit opnieuw te bevestigen middels een additionele verificatie op zijn telefoon, of wordt een account automatisch geblokkeerd. Net als dat de auto een melding geeft bij een naderende file en ingrijpt met ABS bij een heftige remactie. Dit soort signalering en veiligheidsfuncties vergroten de veiligheid én het veiligheidsgevoel van gebruikers. Het is ook echt een misvatting dat gebruikers veiligheidsmaatregelen niet waarderen. Integendeel, tweefactorauthenticatie wordt vandaag de dag net zo geaccepteerd als het omdoen van onze gordel voor we wegrijden met de auto. Passende veiligheidsmaatregelen in combinatie met de juiste mate van vrijheid, zorgen ervoor dat de gebruikerservaring én flexibiliteit zijn gewaarborgd, terwijl veiligheid goed geregeld is.
Rijbewijs hybride werken
Welke strategie je uiteindelijk ook kiest, wees je bewust dat de mens altijd een belangrijke rol blijft spelen wat betreft veiligheidsrisico’s. Net als in de auto, moet je ook bij de online-werkplek blijven opletten. Met passende awareness-trainingen zorg je ervoor dat gebruikers bewust zijn van de risico’s en weten hoe ze veilig kunnen werken op hun mobiele device. Zie het als een soort rijbewijs. Een basiscertificaat waarmee je er zeker van bent dat gebruikers weten hoe ze veilig hybride werken. Dat ze niet klakkeloos van alles doen op hun apparaat, maar alert blijven in al hun handelingen en risico’s tijdig herkennen en hierop anticiperen
Veiligheid, gebruiksgemak en flexibiliteit gaan dus prima hand in hand. Door de juiste veiligheidsmaatregelen toe te passen en bewustwording onder gebruikers te verhogen, wordt je hybride werkomgeving zo comfortabel en wendbaar als een sportauto en zo veilig als een SUV.
(Auteur Dennis Pieterse is chief information security officer bij Conclusion Enablement.)
Nee, auto’s gaven mobiliteit en geen flexibiliteit als ik kijk naar de opstoppingen.