• Bedrijven hebben door de coronacrisis razendsnel de omschakeling naar thuiswerken moeten maken. Daarbij kwam cybersecurity op de tweede plaats.
  • Thuis is er minder controle op beveiliging dan op kantoor. Zo zijn er vaak meerdere apparaten verbonden met hetzelfde netwerk.
  • Volgens security officer Greg Day van Palo Alto Networks kijken bedrijven nu naar nieuwe beveiligingsoplossingen die zijn ontworpen voor hybride werken.
  • Daarnaast is het volgens Day belangrijk dat bedrijven hun werknemers opnieuw instrueren. Wat doe je bijvoorbeeld met geprinte documenten met vertrouwelijke informatie?

Welke apparaten plug je in je werklaptop? Hoe bewaar je vertrouwelijke documenten die je thuis hebt geprint? En aan wie meld je het als je per ongeluk een fout hebt gemaakt?

Door de uitbraak van het coronavirus begin dit jaar moesten veel bedrijven in rap tempo digitaliseren. Daarbij kwam cybersecurity vaak op de tweede plek, zegt Greg Day. Hij is security officer van de Amerikaanse netwerkbeveiliger Palo Alto Networks.

Lees ook: Hoe de Nederlandse topmanager René Bonvanie bij Palo Alto Networks een gezonde cultuur neerzette

Nu thuiswerken steeds meer de norm is, kijken bedrijven hoe ze hun digitale beveiliging op de lange termijn in willen richten, aldus Day. “De pleisters zijn geplakt en tussentijdse oplossingen zijn uitgerold. Veel bedrijven die ik spreek zijn bezig met de volgende fase: hoe ziet cybersecurity eruit in een hybride werksituatie?”

Thuis minder controle dan op kantoor

Een zwakke plek in de beveiliging is de thuiswerksituatie zelf: daar heeft het bedrijf minder controle dan op kantoor. Soms is dat noodgedwongen.

Day hoort geregeld van bedrijven dat ze USB-poorten normaal gesproken hebben uitgeschakeld op werklaptops. Dat is nu teruggedraaid, omdat werknemers thuis moeten printen.

"Plotseling kunnen ze van alles inpluggen via de USB-poort", zegt Day. "Het mes snijdt aan twee kanten. Werknemers zijn flexibeler, maar de beveiliging neemt af."

Dat laatste komt ook doordat er thuis meer apparaten verbonden zijn via hetzelfde netwerk. Denk aan slimme deurbellen, alarmsystemen, smartspeakers, koffiezetapparaten en ga zo maar door.

"Veel van die apparaten zijn nauwelijks of soms helemaal niet beveiligd", aldus Day. "Als ze verbonden zijn met hetzelfde netwerk, of via een kabel met bijvoorbeeld de werklaptop, dan worden die apparaten de zwakke schakel waardoor criminelen toegang kunnen krijgen."

Nieuwe training voor werknemers

De oplossing voor dit probleem zal deels vanuit de technologie komen, verwacht Day. Maar het belangrijkste is volgens hem toch een helder beveiligingsbeleid en het goed instrueren van werknemers.

"De training moet absoluut veranderen", zegt Day. "Bedrijven wijzen hun werknemers nu vooral op phishing en wat voor websites ze mogen bezoeken. Dat is gebaseerd op een kantoorsituatie."

Bij thuiswerken zijn andere vragen belangrijk. Wat mag je inpluggen via USB? Als je vertrouwelijke gegevens print, wat doe je dan met de papieren? Moet je ze verbranden of door de papierversnipperaar halen? En kun je zomaar data kopiëren en op een ander, persoonlijk apparaat zetten?

Werknemers moeten fouten durven melden

Desalniettemin zullen fouten vaker voorkomen, denkt Day, ook omdat werknemers thuis soms lange dagen maken. En moeheid maakt onoplettend.

Als er eenmaal een fout is gemaakt, dan is de drempel om dat te rapporteren volgens Day hoger. "Op kantoor is iedereen bij elkaar. Dan is het makkelijker om naar iemand toe te stappen en te zeggen: hey, ik heb iets verkeerds gedaan."

Thuis zitten werknemers in hun eigen veilige omgeving. Een formele e-mail sturen of de baas bellen kan dan een hele opgave zijn.

"De uitdaging voor bedrijven is om werknemers duidelijk te maken dat het oké is om fouten te maken", zegt Day. "Ze moeten mensen het vertrouwen geven om fouten te melden."

Stormloop naar de cloud

Vanuit technisch oogpunt zullen bedrijven kijken naar nieuwe beveiligingsoplossingen die zijn ontworpen voor hybride werken: deels thuis, deels op kantoor.

Direct na de eerste lockdownmaatregelen was de belangrijkste prioriteit om thuiswerken mogelijk te maken voor meer werknemers. Dus kochten bedrijven extra VPN-licenties, zegt Day.

VPN staat voor virtual private network en is een extra communicatielaag tussen de gebruiker en het interne netwerk. Door gegevens via een beveiligde digitale tunnel te versturen, kunnen kwaadwillenden er niet bij.

Stap twee was een "stormloop naar de cloud", zoals Day het noemt. Door clouddiensten kunnen werknemers op afstand bij gegevens, maar de juiste beveiligingsmaatregelen zijn vaak niet vanaf dag één aanwezig. "Cybersecurity loopt daar achteraan", aldus Day.

De opkomst van SASE

Dat is iets waar bedrijven in 2021 naar gaan kijken, voorspelt Palo Alto Networks. Een van de ontwikkelingen waar de netwerkbeveiliger vaak met klanten over spreekt, is SASE. Deze nieuwe term, een afkorting van secure access service edge, is in 2019 door marktonderzoeker Gartner in het leven geroepen.

https://www.youtube.com/watch?v=sdSJfoY9KoA

Nu is cybersecurity grofweg opgeknipt in twee delen. Een verbinding wordt beveiligd met bijvoorbeeld een VPN die vaak via een centraal datacentrum loopt. En is er speciale software voor de beveiliging van bedrijfsdata in Office 365, Salesforce, Dropbox of andere cloudapplicaties.

SASE is een combinatie van netwerk- en cloudbeveiliging. De slimme technologie zorgt ervoor dat werknemers veilig kunnen werken met verschillende clouddiensten vanaf welke locatie dan ook.

"Een VPN is een uniforme tunnel waar van alles door moet", zegt Day. "Met SASE bouw je een tunnel gebaseerd op een specifiek bedrijfsproces."

Minder geld om te investeren

Day verwacht dat thuiswerken een blijvertje is. Veel klanten van Palo Alto informeren dan ook naar toekomstbestendige oplossingen als SASE.

Een ding baart hem echter zorgen: veel bedrijven verwachten de investeringen terug te schroeven in de komende een tot twee jaar, omdat er nu eenmaal minder geld binnenkomt. Dat is een potentieel gevaar.

"De natuurlijke reactie is: we gaan meer technologie gebruiken, zodat we efficiënter kunnen werken. Maar daardoor worden we ook afhankelijker van technologie. Als je dan tegelijkertijd minder uitgeeft aan cybersecurity, ontstaat er een gat."

En met zo'n gat weten cybercriminelen doorgaans wel raad.

Lees meer over cybersecurity: