Vertrouwen is goed want controle heeft zijn grenzen…

Security professionals worstelen nu toch wel met de nieuwe werkelijkheid; de kantoorbastions zijn ontruimd; iedereen is verspreid over vele (thuis)locaties en het wordt echt nooit meer zoals het was. Prima voor de ‘containment’ van Covid-19 maar hoe controleer je als security professional dat informatiebeveiliging voldoende geborgd is in een omgeving waar je niets te vertellen hebt?

6 mei 2020   |   Blog   |   Door: Conclusion

Deel

Paul Oor Security Officer Conclusion

'De moeilijkheid, is dat het niet genoeg is volgens de regels te leven'

Michel Houellebecq

Security professionals kunnen goed omgaan met digitale én biologische virus uitbraken. Dat was het thema van mijn vorige blog ‘been there, seen that, done that’. In het algemeen leverde dat positieve reacties op. Tegelijkertijd werd vastgesteld dat diezelfde security professionals nu toch wel worstelen met de nieuwe werkelijkheid; de kantoorbastions zijn ontruimd; iedereen is verspreid over vele (thuis)locaties en het wordt echt nooit meer zoals het was. Prima voor de ‘containment’ van Covid-19 maar hoe controleer je als security professional dat informatiebeveiliging voldoende geborgd is in een omgeving waar je niets te vertellen hebt?

De ultrasnelle digitale transformatie heeft bewezen dat de infrastructuur en onze medewerkers er klaar voor waren. Thuiswerken en videoconferencing zijn een blijvertje. Veel managers en medewerkers die voorheen nog aarzelden, beginnen nu de voordelen van thuiswerken te ontdekken. Voordelen voor de bedrijfsvoering, voor het welzijn en voor de maatschappij. Na Covid-19 gaat deze manier van werken echt niet meer weg.

Thuiswerken en gebruik maken van eigen apparatuur was al aan een gestage opmars bezig. Maar in veel situaties hing de security professional aan de rem. Deze manier van werken faciliteren met een allesomvattend beleid is ingewikkeld. BYOD met allerlei ‘grijze’ eigendomssituaties en het gebruik van kantoorautomatisering (O365) op de eigen desktop thuis zijn lastig onder een sluitend securityregime te brengen. Maar ineens was thuiswerken het dominante scenario waarmee we de BV Nederland en onze bedrijfsvoering draaiend houden. Niet achter de bewaking en receptie, toegangspoortjes en op beveiligde kantoornetwerken. Gewoon massaal thuis achter de voordeur via de Wi-Fi router van jezelf of de buurman en via het internet naar kantoor.

Bij het uitbreken van de Covid-19 pandemie waren de veiligheid en gezondheid van onze medewerkers de eerste prioriteit, continuïteit van onze dienstverlening kwam daar direct achteraan. Thuiswerken en video vergaderen was direct voor iedereen actueel: learning-by-doing. Inmiddels zijn we letterlijk uit de korte termijn gerichte survivalmode en wordt het duidelijk dat voor veel organisaties deze manier van werken structureel wordt aangevuld met werken op kantoor, en niet meer andersom.

Bij #Conclusion waren de IT-afdeling en HRM al enige tijd samen met de security professionals bezig om plaats -en tijdonafhankelijk werken veel meer ruimte te geven. Het maken van afspraken over informatiebeveiliging bleek essentieel, niet in de laatste plaats omdat managers en de medewerkers zelf vroegen wat done en wat not done was. Afspraken over BYOD zijn al lastig genoeg, maar frequent werken in een omgeving waar niet collega’s maar huisgenoten met een andere agenda rondwaren is echt wel ingrijpend anders. De servicedesk en je collega’s die je even met raad en daad helpen lijken veel verder weg.

Vanuit beveiligingsperspectief is een vergelijking met doe-het-zelven misschien wel passend. Thuis klussend belanden er veel mensen in het ziekenhuis. Door het gebruik van verkeerd gereedschap maar vaker door het verkeerd gebruik van goed gereedschap en het ontbreken van veiligheidsmaatregelen. Maatregelen waar professionals op een bouwplaats elkaar op wijzen en scherp houden. Een factor die thuis ontbreekt terwijl afleiding doorlopend op de loer ligt en geen enkele vorm van toezicht, zelfs niet collegiaal, aanwezig is. Lijkt dat niet een beetje op thuis werken met goed IT-gereedschap?    

Bij massaal thuiswerken moeten security professionals een balans vinden tussen noodzakelijke maar tegelijkertijd acceptabele maatregelen. Die zo effectief mogelijk zijn in een omgeving waar ze niets te vertellen hebben; de persoonlijke levenssfeer van de medewerkers.

Techniek, beleid en schriftelijke afspraken bieden enig houvast. Maar met alleen technische maatregelen en formeel beleid gaan we het niet redden. Voor plaats- en tijdonafhankelijk werken zullen we ons als security professionals primair moeten richten op kennis en security awareness in combinatie met het verantwoordelijkheidsgevoel van de eindgebruiker; acceptable use.

Waarbij we afspreken dat beperkt gebruik voor privédoeleinden van de bedrijfsmiddelen is toegestaan en wij als werkgever beloven dat we de privégegevens van de medewerker - ook al staan die op ‘onze’ assets - zullen respecteren. Tegelijkertijd verwachten we dat huisgenoten niet van onze laptops, smartphone en user accounts gebruik mogen maken.  Laat staan dat we het acceptable zouden vinden - ook al schrijven we dat niet formeel op - dat huisgenoten op het scherm meelezen (shoulder surfing) met zakelijke informatie. Dat gold al voor documentatie maar in onze nieuwe wereld zijn daar videovergaderingen (meekijken) en concalls (meeluisteren) nadrukkelijk en massaal bijgekomen.

Als security professionals moeten we ons realiseren dat technische maatregelen en controle hun grenzen hebben, zeker in het privédomein. Terwijl er steeds zwaardere eisen worden gesteld aan informatiebeveiliging. Meer dan ooit moeten security professionals dus de dialoog en samenwerking met eindgebruikers opzoeken om samen te bepalen wat we onder ‘acceptable use’ verstaan.

Honderd procent beveiliging was al een illusie; maar zonder begrip en acceptatie van onze eindgebruikers wordt het percentage bij de nieuwe bedrijfsvoering al snel onacceptabel laag, ongeacht wat voor technieken we inzetten.

Kijk en luister meer dan ooit naar de populatie waarvoor je verantwoordelijk bent. Controle is fijn, maar om Rutger Bregman aan te halen; ‘de meeste mensen deugen’. Onze eindgebruikers willen op kantoor en thuis echt wel veilig werken maar vinden dat moeilijk. Daarbij moeten we ze helpen, zeker bij plaats- en tijdonafhankelijk werken.

Waar controle goed is, maar niet zonder vertrouwen kan.