Het hele bedrijf werkt ineens thuis – wat betekent dit voor cybersecurity?
Nu een groot deel van de wereld in lockdown is, moeten bedrijven plotseling hun thuiswerkcapaciteiten opvoeren. Dit levert tal van problemen op voor degenen die verantwoordelijk zijn voor IT-beveiliging.
Wat we geleerd hebben van de pandemie lees je hier.
In een ideale wereld …
… had je alle werknemers al voorzien van laptops en/of mobiele apparaten. Je zou al over alle benodigde tools en een passend security-beleid beschikken. Dit alles om te zorgen dat mensen toegang hebben tot de systemen en gegevens die ze nodig hebben om hun taken veilig uit te voeren. Denk aan:
-
- multi-factor verificatie om te zorgen dat de mensen en apparaten die inloggen, zijn wie ze zeggen dat ze zijn;
- VPN’s om het netwerkverkeer tussen centrale systemen en externe apparaten te allen tijde veilig te versleutelen;
- De mogelijkheid om apparaten van werknemers op afstand te beheren – MDM, VNC, enz.
- Hulpmiddelen om ervoor te zorgen dat je op afstand afwijkingen op het netwerk kunt detecteren en erop kunt reageren, activiteiten op externe apparaten kunt bewaken en bedreigingen op afstand kunt behandelen. Zoals EDR, MDR, EPP, externe logboekregistratie en dergelijke.
- Een duidelijke, goed gecommuniceerd beveiligingsbeleid met sterke procedures om de naleving van werknemers te garanderen.
Maar in die ideale wereld leven we niet
Sommige bedrijven lieten voor de crisis weinig of geen thuiswerken toe, terwijl werknemers alleen hun kantoordesktops mochten gebruiken om toegang te krijgen tot bedrijfsapplicaties en gegevens. Anderen omarmden al enthousiast werken op afstand (velen gebruiken bijvoorbeeld al routinematig goed beveiligde cloudgebaseerde samenwerkingsapplicaties zoals Office365). Anderen zitten nog steeds ergens tussenin, bijvoorbeeld om externe toegang tot zakelijke e-mail toe te staan, maar niet tot gevoelige systemen en gegevens.
Maar de ongekende, plotselinge behoefte van zoveel werknemers om op afstand te werken, biedt unieke uitdagingen voor alle Security Officers (CISO). Voor velen is bedrijfscontinuïteit het meest urgente probleem, dus op de korte termijn hebben ze misschien geen andere keus dan te leven met een hoger risico dan normaal. Als gebruikers bijvoorbeeld niet allemaal door het bedrijf beheerde apparaten hebben, heb je misschien geen andere keus dan hen toe te staan hun eigen apparaten te gebruiken.
Thuisapparatuur
Toch kun je het risiconiveau van je organisatie nog steeds aanzienlijk verlagen. Eerst moet je vaststellen hoe het bedrijf werkt en tot welke systemen en gegevens de gebruikers toegang moeten hebben vanaf hun thuisapparatuur. Probeer in kaart te brengen welke aanvullende tools en beleidsregels je nodig hebt om de veiligheid te maximaliseren, maar zonder barrières op te werpen die het vermogen van mensen om hun rol effectief uit te voeren onnodig belemmeren. Dit kan worden gedaan met de juiste tools en plannen om zichtbaarheid, detectie en respons te garanderen, maar de soorten tools waar we het hier over hebben – EDR en MDR – werken het beste samen met een sterk plan en een netwerk dat al een goed basisbeveiligingsniveau heeft.
Je moet natuurlijk de toegang tot de meest gevoelige systemen en gegevens beschermen. Dat doe je niet alleen met beveiligingstools, maar met een effectief bedrijfsbeleid en duidelijke richtlijnen. De toegenomen vraag naar netwerkbandbreedte als gevolg van wijdverbreid werken op afstand betekent bijvoorbeeld dat het gebruik van de bedrijfs-VPN voor onnodige, bandbreedtebeperkende activiteiten zoals het gebruik van Spotify of Netflix waarschijnlijk moet worden geblokkeerd.
Dat kan allemaal centraal, maar hoe kun je de persoonlijke apparaten van gebruikers beveiligen? En hoe zorg je ervoor dat bedrijfsdata niet kunnen lekken naar hun onveilige thuisnetwerken, waarover je geen controle hebt? Velen zullen instinctief reageren en erop staan dat degenen die toegang hebben tot bedrijfssystemen en -bronnen software moeten installeren waarmee je hun persoonlijke apparaten op afstand kunt bewaken en beheren. Maar wees je ervan bewust dat deze aanpak aanzienlijke juridische en privacy-belemmeringen kan hebben. Het kan echter verstandig zijn om ze op zijn minst tijdelijk een soort software voor apparaatbeheer op afstand te laten installeren. Zodat je ervoor kunt zorgen dat hun thuisapparaten effectieve firewalling, codering en malwarebescherming hebben, of stel het voor ze in als ze dat zelf niet doen. Ook wil je misschien bepalen welke consumenten-apps en -tools ze wel en niet kunnen gebruiken voor samenwerking op het werk.
Menselijk gedrag
Het grootste risico is echter menselijk gedrag. Duidelijke, tijdige, effectieve en regelmatige communicatie over securitybeleid, procedures en best practices is essentieel. Wellicht is het een idee om alle thuiswerkers een vorm van online training te laten volgen over effectieve cybersecurity-hygiëne, met een test aan het einde.
Zorg ervoor dat iedereen de gevaren van phishing, social engineering, telefonische oplichting enz. begrijpt en waar ze op moeten letten. Dat geldt ook voor de helpdesk, die een doelwit op zich kan zijn. Aanvallers zullen hun activiteiten opvoeren om de huidige verwarring te benutten, dus als je ervoor zorgt dat jouw gebruikers zo goed mogelijk zijn voorbereid, verlaagt dat de risiconiveaus aanzienlijk.
Hier moet je voortdurend op investeren. Terwijl iedereen doorgaat met thuiswerken, zullen er onvermijdelijk nieuwe problemen ontstaan. Je moet in staat zijn om met het onverwachte om te gaan als en wanneer het zich voordoet. Als er bijvoorbeeld een bepaalde dreiging is die de ronde doet, zorg dan dat je de mogelijkheid hebt om al je thuiswerkers daar snel over te waarschuwen, en zorg dat je weet dat ze het gehoord en begrepen hebben.
IT-security professionals worden al lang – en vaak onterecht – gekarakteriseerd als de controlefreaks van het bedrijf. Maar nu is het belangrijker dan ooit, om je werk, beleid en communicatie flexibel te ontwikkelen naargelang de omstandigheden daar om vragen. Alleen op die manier kun je zo veilig mogelijk blijven werken.
We gaan de komende weken dieper in op enkele van de problemen die in dit blog aan de orde komen, dus kom regelmatig langs.
Stay safe!
Categorieën