Back to office? Neem je maatregelen!

Vorig jaar werden bedrijven genoodzaakt een abrupte en ongeplande beslissing te nemen door op afstand te gaan werken. Hoewel thuiswerken reeds bij veel bedrijven usance is, heeft de snelheid van de overgang naar ‘werken op afstand’ iedereen verrast. De meeste bedrijven beschikten (logischerwijze) niet over een noodplan in het geval van een corona-uitbraak: grootschalige sluitingen van kantoren alsmede een groot deel van de IT- en beveiligingsinfrastructuur moesten snel worden opgezet.

Kwesties over voldoende VPN-capaciteit, het uitvoeren van software-updates via het eigen Wifi-netwerk en welke laptop met wie naar huis ging: voorheen nooit gestelde vragen werden plots hoofdbrekens. Hoewel organisaties in staat bleken snel een strategie voor thuiswerken uit te stippelen, volgden weinigen de ideale aanpak van bijvoorbeeld zero trust networking.

Wanneer we onze collega’s weer zien en onze hardware laten ‘re-integreren’ op kantoor, moet een aantal maatregelen genomen worden. Terugkeren naar kantoor mag namelijk geen risico’s met zich meenemen. Sterker nog – elk nadeel heeft zijn voordeel: gebruik back to office om achterstallige beveiligingsupdates aan te grijpen. In mijn optiek zijn er drie zaken die je moet inzetten om de terugkeer naar kantoor succesvol te maken.

Quarantainenetwerk

Als eerste is het opzetten van een ‘quarantainenetwerk’ voor het updaten van apparatuur geen overbodige luxe. Niemand kon regelmatige (en noodzakelijke) update-installaties op afstand uitvoeren. Laptops, tablets en dergelijke zullen in de komende periode ‘gewoon’ weer op het zakelijke netwerk worden aangesloten zonder in de afgelopen periode te zijn bijgewerkt. En hoe ironisch: nu we uit quarantaine komen, kan een ander soort quarantainemaatregel cruciaal zijn. De kans is aanwezig dat hardware in de coronaperiode binnen een gezin van hand tot hand is gegaan, en meerdere gebruikers verhoogt de kans op blootstelling aan kwetsbaarheden – bezochte sites, gedownloade programma’s, etc. Wanneer deze apparatuur zonder update aan het bedrijfsnetwerk wordt gekoppeld, brengt dit beveiligingsrisico’s met zich mee. Beschouw updates via met quarantainenetwerk als een vaccinatie, zij het voor de zakelijke hardware.

IT-auditprogramma

Ten tweede: in de afgelopen periode is veel van eenieder geëist. Niet alleen met kinderen 24/7 thuis, maar medewerkers waren ook op zichzelf aangewezen bij het installeren van programma’s als Slack en Google Docs. Echter: applicaties die niet zijn goedgekeurd door IT rollen een rode loper uit voor beveiligingsrisico's. Bedrijven moeten daarom een IT-auditprogramma opzetten om te bepalen welke tools zijn gedownload. Tevens goed om IT beter inzicht te geven in waar gevoelige gegevens op bedrijfsapparaten moeten worden beschermd en beheerd.

Onveilig bestanden delen

Medewerkers die geen zakelijke VPN-toegang hadden, hebben mogelijk persoonlijke clouddiensten of (in het ergste geval) USB-sticks gebruikt om bestanden te delen. Dit moet meteen stoppen. Bestanden die via persoonlijke clouds of USB’s worden gedeeld, laten zich moeilijk versleutelen. Daarnaast raak je een USB-stick makkelijk kwijt. Liever gisteren dan vandaag moeten IT-afdelingen ondersteuning bieden bij de datamigratie van de persoonlijke naar de zakelijke cloudomgeving.

Zoals Johan Cruijff al eerder werd aangehaald: met een coronavrijer leven in het vooruitzicht en back to office in aantocht is deze periode dé gelegenheid voor bedrijven om het securitybeleid te optimaliseren. Een beleid dat niet alleen beter werkt bij het beveiligen en moderniseren van hardware, maar ook grotere veranderingen aanbrengt in strategieën voor werken op afstand die een nog hoger niveau van beveiliging en toegang faciliteren.