Hoe security verandert in tijden van thuiswerk

Nu bedrijven door de uitbraak van het coronavirus massaal op thuiswerk zijn overgeschakeld, verandert ook de manier waarop ze aan security moeten doen. Werknemers verbinden veel meer extern met het bedrijfsnetwerk dan voorheen, terwijl organisaties minder controle hebben en sneller het overzicht dreigen te verliezen. Wie zijn netwerk té goed dichttimmert, riskeert evenwel klachten van werknemers die hinder en tijdverlies ondervinden. Het juiste evenwicht vinden tussen goede beveiliging en gebruiksgemak is noodzakelijk.

Het moest plots snel gaan. Toen onze regering half maart strenge maatregelen afkondigde om de verspreiding van het coronavirus in te dammen, werden heel wat bedrijven genoodzaakt om met de hele organisatie op telewerk over te stappen. Van de ene op de andere dag belandden we in een nieuwe realiteit, waarin werken vanop afstand voor iedereen de regel in plaats van de uitzondering is.

Dat heeft ook gevolgen voor de manier waarop bedrijven hun security moeten organiseren. Techzine schoof virtueel aan tafel bij netwerksecurityspecialist Fortinet. Yves Lemage, Manager Systems Engineering, en Robby Cauwerts, Systems Engineer, delen hun ervaringen en tips om een goed cybersecuritybeleid te voeren ten tijde van de corona-lockdown.

Dat begint hoe dan ook bij een analyse van de riscio’s en de vereiste beveiliging, indien dat nog niet gebeurd is. “Er bestaat ook zoiets als te veel security”, weet Lemage. “Als je op een kleine oppervlakte tien bewakingsagenten laat patrouilleren, lopen die elkaar in de weg en hinderen ze de bezoeker. Wanneer security in de weg staat van gebruikers, gaan ze wegen daar omheen zoeken. Dat is natuurlijk niet de bedoeling.”

Wanneer security in de weg staat van gebruikers, gaan ze wegen daar omheen zoeken.

Bewustwording

“Het allerbelangrijkste is daarom dat je awareness creëert bij werknemers”, vult Cauwerts aan. “Daar worden we geholpen door een paar recente serieuze gebeurtenissen. Het besef is er nu wel dat security een impact heeft op je business.” Het creëren van bewustwording begint bij regelmatige trainingen. Zorg dat je werknemers op de hoogte zijn van je securitybeleid, de tools die je gebruikt en wat de impact van hun acties kan zijn.

Specifiek voor thuiswerk is het belangrijk dat je werknemers er toe aanspoort om hun apparaten up-to-date te houden en hun wifi-netwerk thuis te beveiligen met een wachtwoord, voor ze een VPN-verbinding opzetten.  Bovendien zorgt een crisis altijd voor kapers op de kust, die van de situatie willen profiteren. “In periodes zoals nu is het extra opletten voor phishingmails rond COVID-19”, merkt Lemage op. “Mensen zijn ongerust en op zoek naar informatie. Dan kijken ze minder waar ze op klikken. Train daar dus ook zeker op.”

Maar ook zonder op verdachte links te klikken, kunnen werknemers onbedoeld gegevens lekken. Zeker in het begin van dit grote thuiswerkexperiment kon je LinkedIn of Facebook niet open doen zonder foto’s te zien van mensen die thuis achter hun laptop of in een videocall zitten. “Let daar mee op”, waarschuwt Lemage. “Je weet nooit wat er van bedrijfskritische informatie open staat op je scherm of misschien hangt er wel een post-it met je wachtwoord in beeld.”

In crisisperiodes zoals nu is het extra opletten geblazen.

Opportuniteit

Het belang van sensibilisering mag niet worden onderschat, maar aan de andere kant blijft technologie natuurlijk ook onmisbaar en moet je de juiste beveiliging implementeren in je netwerk en op de apparaten van werknemers. Daarbij is het vooral belangrijk dat het op een zo eenvoudig mogelijke manier gebeurt voor de eindgebruiker. “Veel bedrijven hebben hier op voorhand al over nagedacht, zeker grote organisaties waar al af en toe van thuis uit werd gewerkt. Dan is het maar een kwestie van de bestaande infrastructuur op te schalen”, vertelt Lemage. “Als je er nu pas mee bent begonnen om alles te implementeren en uit te leggen, is het natuurlijk wel een uitdaging.”

Die uitdaging kan ook als een opportuniteit worden gezien om security te optimaliseren, zodat het minder in de weg staat van werknemers en thuiswerken ook in de toekomst eenvoudiger wordt. “We hebben een klant waarvan de meer dan 10.000 werknemers allemaal thuiswerken. Die gebruiken nu allen verplicht onze VPN-client om op het bedrijfsnetwerk in te loggen. Voorheen moesten ze tientallen wachtwoorden onthouden voor verschillende diensten. Nu melden ze één keer aan op de VPN en hebben ze dezelfde toegang tot alle applicaties, alsof ze op het bedrijfsnetwerk zouden zitten”, illustreert Cauwerts. “Als je er goed over nadenkt, kan je security tot een kleine interactie van de eindgebruiker reduceren.”

Soms kan het evenwel niet anders dan dat security in de weg gaat zitten van de gebruiker. Denk bijvoorbeeld aan streng gereguleerde sectoren, zoals het bankwezen, waar de hardware van medewerkers volledig wordt dichtgetimmerd. “We gebruiken veel verschillende conferencingtools door elkaar, maar een bankmedewerker kan niet zomaar eender welke software op zijn laptop installeren om de meeting van een klant bij te wonen, waardoor security toch een beperking vormt”, geeft Lemage als voorbeeld. “De oplossing is dan om zelf de meeting op te zetten via de eigen conferencingtool die reeds geïnstalleerd is, maar mensen testen meestal niet op voorhand, dus stoten ze de eerste paar keren tegen problemen aan.” Ook dat is uiteindelijk weer een probleem van sensibilisering, in plaats van technologie.

Als je er goed over nadenkt, kan je security tot een kleine interactie van de eindgebruiker reduceren.

Eenvoud

Bij de keuze voor technologie doe je er tot slot goed aan om oplossingen te implementeren die makkelijk met elkaar integreren, in plaats van voor losstaande producten te kiezen, zoals vroeger de richtlijn was. Dat maakt het niet alleen eenvoudiger om te beheren voor je IT-team, maar zorgt er ook voor dat je een compleet beeld krijgt van wat er in je netwerk gebeurt. Bovendien is het ook makkelijker voor de eindgebruiker.

Zo begint bij Fortinet alles bij de FortiGate NGFW (next-generation firewall), die de poort vormt naar je netwerk. Daarnaast biedt het bedrijf ook clientsoftware aan, die een VPN met onder meer een antivirus en webfiltering combineert. “Het voordeel is dat een onbeheerd toestel van een werknemer thuis zo ook meteen van degelijke security wordt voorzien”, verduidelijkt Lemage. Het minste dat je daarnaast volgens de experts best nog doet, is het implementeren van een vorm van single sign-on en tweefactorauthenticatie voor toegang tot de VPN en ander apps.

“Veel van die componenten zijn ook beschikbaar als cloudoplossing. Kleine ondernemingen hoeven niet langer alles zelf on-premises te installeren, maar kunnen het gewoon als een dienst activeren”, geeft Cauwerts nog als laatste tip.