"Voor futureproof ondernemen in flex"
SLUIT MENU

Veilig thuiswerken een zaak van werknemer èn werkgever

Edwin Stokvis
Edwin Stokvis

Veilig thuiswerken een zaak van werknemer èn werkgever

Blog door Edwin Stokvis, specialist Privacy en Informatiebeveiliging

Nu thuiswerken normaal is geworden en straks wellicht zelfs in de wet wordt verankerd (als het aan D66 en Groen Links ligt), is het tijd om eens even te kijken wat je als werkgever moet doen om ervoor te zorgen dat de medewerker veilig thuis kan werken. Let op! Dit is dus niet alleen de verantwoordelijkheid van de medewerker!

Bewustwording
Hou je medewerkers op de hoogte van dreigingen. Leer ook van wat er bij anderen fout gaat. Vertaal nieuws op het gebied van privacy en security voor de eigen organisatie. Zou een hack zoals bij Wehkamp en Didi ook bij ons kunnen plaatsvinden? Wat kan je ervan leren? Heb je naar de procedures gekeken?

Nogmaals, hou je medewerkers op de hoogte van de laatste trucs die hackers uithalen en help ze eraan herinneren dat ze hun virusscanner up-to-date houden.

Toename phishing
Er wordt enorm gewaarschuwd voor phishing mails. Dit zijn mails waarvan je denkt dat het betrouwbaar is, maar als je op een link klikt, wordt aan jou allemaal informatie gevraagd, waardoor men achter jouw gegevens komt. Zeker door corona is er een enorme toename. Een heel bekende phishing mail is de volgende:

Mail - phishing voorbeeld
Voorbeeld phishing mail

Let op, het komt niet alleen binnen via de mail, maar ook via andere media. Wat te denken van deze SMS:

SMS - phishing voorbeeld
Voorbeeld phishing SMS

Je werknemers bewust maken over dit soort zaken is ook echt een rol van de werkgever. Je kan niet verwachten dat iedereen dit soort nieuws volgt.

Gebruikersrichtlijnen
Zorg voor goede richtlijnen voor gebruikers. Waar moet je je als medewerker aan houden? Denk aan internet en e-mail gebruik en social media. De organisatie moet deze regelgeving opstellen en de medewerkers moeten weten waar ze zich aan te houden hebben. Heb je nog geen richtlijnen opgesteld, dan zeg je eigenlijk “maak zelf maar uit hoe je met je mail en het internet omgaat”.

In de richtlijnen kan je bijvoorbeeld aangeven waar een computer aan moet voldoen om mee thuis te kunnen werken. Velen van ons gebruiken immers onze privé computer thuis. Zit daar een virusscanner op? Is Windows 10 geïnstalleerd? Zijn alle updates gedraaid? Zit er een wachtwoord op de computer en zit er een wachtwoord op de Wifi?

Allemaal zaken die je in de richtlijnen kan meenemen. Realiseer je wel dat de medewerker bij jou terugkomt als een van deze zaken ontbreekt, met het argument: “wij moeten thuiswerken, zorg dan ook maar voor veilige apparatuur”. En daar is veel voor te zeggen. Kortom je kan verwachten dat je naast de kosten voor een werkplek op kantoor ook kosten krijgt voor de werkplek thuis.

Gelukkig krijg je er ook veel voor terug. Uit recent onderzoek van de Stanford University blijkt dat thuiswerkers 13% productiever zijn. Met die cijfers kan er makkelijk een computertje vanaf…

Ondersteuning op afstand
Wie denkt dat elke medewerker een halve beveiligingsspecialist is, heeft het goed mis. Men weet het niet en hoeft het ook niet te weten. De meesten van ons stappen ook in een auto zonder te weten wat er onder de motorkap allemaal gebeurt. Dat heeft het merendeel van ons ook met computers en beveiliging. Het spul moet gewoon werken. In dit geval is het niet de vraag of de computer werkt, maar of de computer veilig werkt. Vertaald naar autotermen: zit er een rem op? Zijn er veiligheidsriemen? Doen de airbags het? Zijn de kreukelzones goed geregeld et cetera? De eerste twee beveiligingen in een auto kunnen wij als leken nog zien. Voor de laatste twee hebben wij specialisten nodig. Vertaald naar het gebruik van computers zijn die specialisten uw ICT medewerkers die de thuiswerkers kunnen ondersteunen.

Zorg voor updates ook op afstand
De computers waarmee wordt gewerkt dienen de juiste updates te hebben, zowel van applicaties die op de lokale computer zelf staan als van de systeemsoftware. Ook daar moet je als werkgever iets van vinden en het laten inregelen.

Overige hulpmiddelen
Overige hulpmiddelen zoals VPN en multi factor authentication heb ik al meerdere keren besproken in mijn blogs. Die zijn belangrijk om de communicatie veilig te houden; ze zorgen ervoor dat onbevoegden minder kans hebben om jouw netwerk binnen te dringen. De regelgeving vanuit de gebruikersrichtlijnen kunnen er vervolgens voor zorgen dat je niet toestaat dat medewerkers lokaal documenten opslaan.

Monitoring
Een platform als bijvoorbeeld Office 365 heeft verschillende monitoring functies. Hierbij zie je of er aanvallen waren met malware of dat er phishing mails zijn gedetecteerd. Op basis hiervan kun je je beleid aanpassen en indien nodig extra maatregelen nemen. Hieronder zie je een voorbeeld van de monitoring binnen Office 365.

Office 363 monitoring voorbeeld
Office 363 monitoring voorbeeld

Blijf veilig en gezond.

Edwin Stokvis

Edwin Stokvis is specialist op het gebied van Privacy (AVG) en Informatiebeveiliging. Op dit gebied is hij adviseur en trainer voor vele organisaties.