En nu wij het er toch over hebben:
beveiliging. De risicoanalyse behoort niet tot de onderwerpen van dit blog. Toch is van het grootste belang dat u zich realiseert dat
beveiliging voornamelijk tussen de oren zit. Goede beveiliging
balanceert tussen begrip en gevoel. Aan uw medewerkers moet u
duidelijk maken waarom de procedures zo zijn opgezet.
In een kantoorsituatie mag verwacht
worden dat de werkgever zorgt voor adequate beveiliging en de
noodzakelijke voorzorgen neemt. In een telewerksituatie ligt dat even
anders en wel veel strikter. U moet onder meer zorg dragen dat 1) de
werknemer adequate voorzieningen heeft om zijn werk veilig te stellen
en 2) dat gevoelige gegevens altijd versleuteld worden opgeslagen. Er
is een hele reeks van eenvoudige tot zeer complexe oplossingen en het
ligt voor de hand met de ICT-afdeling af te stemmen wat hun plannen
zijn. Daarbij zijn er drie elementen die u in uw overwegingen moet
betrekken:
- De directe kosten voor de vervanging van verloren gegane hardware en software.
- De indirecte kosten door het verloren gaan van werkuren, zowel door het verloren werk (en geen back-ups) als door het werk dat niet verricht kan worden wegens het ontbreken van de spullen. Daarbij moet u optellen de tijd die verloren gaat met aangiftes en dergelijke. Denk ook aan de schade door virussen.
- De indirecte kosten doordat mogelijk schadelijke informatie beschikbaar komt voor derden. Dat zijn de ‘bedrijfsgeheimen’. Dat kan een toevallig resultaat zijn van een diefstal maar ook van een resultaatgerichte actie en daarbij hoeft de computer niet eens gestolen te worden.
Diefstal van draagbare computers, uit
auto’s - al dan niet stilstaand! – of uit huizen en zelfs vanaf
de schouder van de drager is dermate gemeengoed dat u niet moet
bouwen op het voorkomen daarvan. Kijk daarom in eerste instantie naar
de volgende aspecten:
- Kan de medewerker frequent back-ups maken, bijvoorbeeld met een back-up drive, een CD brander of een tape-unit? Heeft de telewerker ook de beschikking over de nodige kennis om die apparaten te gebruiken en hoe kan hij of zij nieuwe dragers (Cd’s, tapes) kopen of vergoed krijgen?
- Kan de computer, ook in huis, beveiligd worden tegen fysieke diefstal, zoals door een anti-diefstal kabel? Vertrouw hier niet te veel op, zeker niet als de computer ook per auto vervoerd wordt.
- Is de computer tegen onbevoegd gebruik beveiligd door een wachtwoord? Daar gaan we hieronder verder op in.
- Worden gevoelige gegevens extra beveiligd, door encryptiesleutels?
- Wordt de computer beschermd tegen aanvallen ‘van buitenaf’, met name door virussen en aanverwante gevaren? Zorg voor een bedrijfslicentie van een als goed bekendstaande virusscanner en lever uw medewerkers regelmatig nieuwe updates.
- Is de telewerker bekend met de extra risico’s, welke netwerkgebruik (internet) met zich meebrengt? Welke beveiligingen brengt u zelf aan?
- Zijn er procedures afgesproken in geval van diefstal, verlies, falende werking (kapotte schijf), inbraak in de computer (virus, trojan, fishing)? Past de medewerker die procedure ook toe?
- Is de computer verzekerd en onder welke condities?
- Welke afspraken zijn er gemaakt met de helpdesk over het ondersteunen van telewerkers?
- Kan en mag de medewerker zelf aan zijn computer sleutelen, bijvoorbeeld door het aansluiten van eigen randapparatuur en plaatsen van insteekkaarten?
- Wat gaat u doen aan BYOD - Bring Your Own Device - een nabije toekomst waarin medewerkers hun eigen internettelefoon, netbook en laptop naar kantoor meenemen of thuis inzetten voor het thuiswerk?
Maak afspraken welke maatregelen de
medewerker moet nemen en hoe u dat kunt controleren – het bezit van
sleutels of back-ups bijvoorbeeld.
We wijden enkele woorden speciaal aan
de beveiligde toegang tot de computer. Als een medewerker zijn of
haar wachtwoord(en) laat slingeren, dan is het tijd voor een goed
gesprek (beveiliging zit tussen de oren!). Er is een aantal vaste
plekken waar u wachtwoorden van medewerkers aan kunt treffen:
- Op notitiebriefjes die op de rand van het scherm geplakt zitten (als u dat bekend voorkomt, dan heeft u een beveiligingsprobleem)
- Op de eerste of laatste bladzijden van de agenda
- In een apart bestand, dat u aan kunt treffen op de vaste schijf van de computer zelf.
Kies daarbij altijd een
besturingssysteem dat niet gemakkelijk te omzeilen is, dus in de
Windows omgeving liever de nieuwste versie. Een gemengde omgeving heeft, net als akkers, minder last van plaagdieren dan een monocultuur. Laat door de ICT-afdeling
uitzoeken wat een adequate beveiliging geeft, ook voor andere
systemen. Combineer Apple, Microsoft en Linux bijvoorbeeld. Minder makkelijk maar dat geldt ook voor de aanvaller.
Beveiliging zit in de cultuur: het moet tussen de oren zitten!
Geen opmerkingen:
Een reactie posten