Al meer dan een jaar zijn werkplekken in gebruik die voorheen niet bestonden en daarom buiten elk security draaiboek vielen. Iedereen begrijpt dat die situatie onwenselijk is, maar wat is de beste aanpak?
Thuiswerken betekent meer risico’s
Tientallen marktanalisten en honderden security vendors roepen al geruime tijd dat thuiswerken gelijk staat aan meer risico’s. Het is volgens hen de optelsom van bestaande security risico’s die alleen fysiek van plek zijn veranderd toen de keukentafels werkplekken werden. Daarbij zijn nieuwe risico’s gekomen omdat een thuisnetwerk anders is dan een kantoorinfrastructuur. Het beheer is ook anders, beter gezegd veel lastiger.
Privé omgeving
Daarmee is niet gezegd dat een thuisnetwerk remote controleren een eenvoudige opgave is. Los van de technische uitdaging is er het weinig belichtte punt van de privé omgeving. De IT beheerder moet zich goed realiseren dat zijn wens elke laptop te controleren een brug te ver kan zijn. Als hij daarbij data vergaart over de overige huisbewoners of van evident andere activiteiten op andere devices dan de kantoor laptop is het proces in strijd met de wet.
Over het inrichten van een proces dat die fouten voorkomt wordt betrekkelijk weinig geschreven. Waarschijnlijk komt dat vooral omdat veel IT beheerders – in Nederland althans – de bui al zien hangen. Zij gaan met een ruime boog om het vraagstuk heen. Zolang de data binnen de eigen omgeving maar goed wordt gemonitord en beveiligd is er geen reden precies te weten wat er gebeurt in het thuisnetwerk van de medewerkers die remote werken.
Er komen echter meer vendors op de proppen met het verhaal dat dit uitgangspunt niet juist is. Het zou wel nodig zijn de laptops thuis beter te controleren. Het is immers de eerste beveiligingsring om de bedrijfsdata. Op zich is voor dat punt wel wat te zeggen. Meer lagen van security kunnen effectief zijn tegen aanvallen, pogingen tot inbraak en diefstal.
Dubbele inbreuk
Moeilijkheid is dat software tooling die de laptop op de keukentafel in de gaten houdt makkelijk leidt tot een dubbele inbreuk. Bijhouden of de werknemer geen grijze applicaties installeert kan als een inbreuk worden ervaren. Vergeet daarbij niet dat de werknemer ook op eigen hardware kan werken! Die andere inbreuk heeft alles te maken met de productiviteit. Veel tools maken het mogelijk bij te houden hoeveel uur de collega’s de applicaties en hardware gebruiken of ingelogd staan op het kantoornetwerk. Formeel heet het dat dit alles de veiligheid dient. Werknemers zien het in de eerste plaats al spionage van de werkgever die precies wil weten hoeveel uur iedereen werkt.
Het vinden van de juiste balans is in dit geval niet makkelijk. Meer security is wenselijk en nodig. Maar niet alles dat technisch mogelijk is ook wenselijk en toegestaan. Het is een flinke valkuil en een die garant staat voor veel persaandacht en imagoschade als het fout gaat.