Het coronavirus en de bijbehorende maatregelen hebben veel invloed op het kantoorleven. Door het coronavirus moest een heleboel werk opeens vanuit thuis gedaan worden. Deze veranderende situatie bracht verscheidene risico’s met zich mee. Veranderende omstandigheden betekenen namelijk veranderende risico’s. Om deze risico's te ondermijnen is het belangrijk om in deze tijd extra aandacht te besteden aan de informatiebeveiliging.
Het afgelopen jaar zijn verschillende risico's geïdentificeerd of groter geworden door de coronacrisis. Om deze risico's te beheersen, moe(s)ten maatregelen worden ingezet. Welke risico’s dit zijn, de maatregelen die worden ingezet en wat we hebben geleerd over informatiebeveiliging in thuiswerksituaties leest u hieronder.
Overbelasting of uitval van het bedrijfsnetwerk
De impact van de risico’s die de beschikbaarheid van het bedrijfsnetwerk beïnvloeden is door de thuiswerksituatie sterk verhoogd. Door het thuiswerken zijn veel medewerkers immers nog sterker afhankelijk van de netwerkverbinding naar het kantoor dan voorheen. Daarnaast wordt het bedrijfsnetwerk meer belast, waardoor de waarschijnlijkheid dat er iets misgaat groter wordt.
Maatregelen: Zorg, met name op piekmomenten, voor de benodigde (netwerk)capaciteit om het grotere aantal thuiswerkers te kunnen bedienen. Denk hierbij zowel aan de IT-infrastructuur als aan de telecominfrastructuur.
Schaduw-IT en eigen apparaten
Medewerkers zijn bij thuiswerken meer geneigd om gebruik te maken van schaduw-IT, systemen en applicaties buiten het zicht van de werkgever. Schaduw-IT zorgt voor risico’s met betrekking tot vertrouwelijkheid en integriteit van gegevens, omdat je als werkgever geen grip hebt op de beveiligingsmaatregelen op deze systemen en applicaties. Is de software up-to-date? Is er een antimalware of antivirusprogramma met een recente set aanwezig? Wordt voorkomen dat op het systeem risicovolle software wordt gebruikt?
Maatregelen: Creëer een duidelijk up-to-date beleid. De organisatie moet de regels rondom het thuisgebruik van hard- en software en eventuele privé IT-voorzieningen goed duidelijk maken aan haar medewerkers. Om te borgen dat het beleid wordt nageleefd, kunnen tools als Microsoft Intune worden ingezet. Hiermee zorg je ervoor dat informatie alleen op geregistreerde apparaten kan worden geraadpleegd.
Phishing
Cybercriminelen spelen met phishing-campagnes in op de ontwikkelingen van corona, waardoor medewerkers steeds meer phishingmails en sms’jes ontvangen. Een voorbeeld is de malafide app ‘COVID19 Tracker’ waarmee CovidLock ransomware op Android-apparaten wordt geïnstalleerd. Wanneer er vermoeden is van phishing, moet dit worden gemeld bij de verantwoordelijke security officer.
Maatregelen: Zet in op het bewustzijn over informatie beveiliging bij medewerkers. Je kunt hierbij denken aan aandacht voor informatie beveiliging tijdens meetings, intranetberichten, e-learnings of game based learning (GBL). Verder voorkomt Multifactor-authenticatie in grote mate misbruik van inloggegevens die onverhoopt toch in verkeerde handen zijn gevallen.
Gezin en huisgenoten
Niet alleen de medewerkers van een organisatie, maar ook hun gezinsleden of huisgenoten werken of volgen onderwijs vanuit huis. Afhankelijk van de thuissituatie en de faciliteiten die iemand thuis tot zijn beschikking heeft, kan het zijn dat vertrouwelijkheid van informatie (bijvoorbeeld telefoongesprekken en documenten) minder goed is gewaarborgd dan op het kantoor. Er is een groter risico dat gesprekken worden afgeluisterd of dat geheime informatie op computerschermen wordt gezien.
Maatregelen: Dit risico kun je alleen zo goed mogelijk proberen te beheersen door bewustzijn te creëren. Het management moet extra aandacht besteden aan de thuiswerksituatie en moet extra inzetten op de eerdergenoemde manieren om bewustzijn te kweken.
Overige risico’s en maatregelen
De kans op ziekteverzuim van medewerkers is uiteraard door het Coronavirus zelf, maar ook door de maatregelen groter. Zorg er daarom voor dat kennis voldoende wordt gedeeld en dat sleutelpersonen een achtervang hebben.
Wanneer gebruik wordt gemaakt van een niet-versleutelde verbinding, is er een risico dat internetdiensten, inlichtingen en cybercriminelen informatie over de internetactiviteiten inwinnen. Zeker wanneer onbekende wifinetwerken worden gebruikt is een VPN noodzakelijk. Wanneer een versleutelde verbinding wordt gebruikt, wordt dit risico beheerst.