Anywhere-ken: leuk, maar hoe beveilig je het?

Computable Expert

ir.drs. Jurgen van der Vlugt

Senior auditor

Expert van Computable voor het topic Beleid

Meer

Het lijkt wel of het winter is in Nederland; iedereen is plotseling bang geworden om naar buiten te gaan en collectief hebben we de oplossing gevonden voor het fileprobleem: een beetje sneeuw op de weg! Dat we daar nou niet eerder op waren gekomen? Waarom wist men er in alle omringende landen al zo veel eerder raad mee...? Prompt kwamen er ook weer allerlei vragen over telewerken en waarom dat eigenlijk nog niet van de grond is gekomen.

Vroeger, toen we nog echte winters hadden, was dit allemaal geen probleem. Niemand wist wat er over de lijn ging, dat er überhaupt iets over een lijn ging of waar die lijn lag. ISDN stond voor 'It Still Does Nothing' en ADSL was nog onbekend. Juist toen werkten we ook allemaal (?) op kantoor. Lekker bij elkaar social networken rond de koffieautomaat.

Tegenwoordig zitten jouw data en applicaties in India of ergens in de cloud, who cares waar precies, en de draadloze bandbreedte is zo groot dat die geen echt knelpunt meer is. Jij zelf zit ook niet meer op kantoor, dat is alleen voor saaie afdelingsvergaderingen met saaie on-creatieve collega's. Het creatieve, interessante, echte ‘werk' gebeurt op netwerksites op jouw mobieltje, ultraportable netbook of iPad, waar je je ook bevindt. Dat is bij voorkeur dichtbij huis, want dan kan de qua bouw milieuonvriendelijke maar (in de praktijk helemaal niet zo) zuinigrijdende leaseauto voor de deur blijven, hoef je geen ecotax op de kilometers te betalen of zit je midden in het rekeningrijden-circus. Blackberries zijn er voor onder tafel tijdens de saaie vergaderingen.

Maar wacht, dat anywhere-ken mag eigenlijk niet van jouw baas, want die is niet van gisteren en weet dat er beveiligingsproblemen zouden zijn. Of niet? Staat jouw baas groen werken terecht in de weg? Er zijn eigenlijk drie redenen waarom anywhere-ken nog niet kan.

Reden één. Een béétje systeembeheerder weet heus wel een strak schema met vpn's, tokens en NAP/NAC neer te zetten waarmee je transparant maar geëncrypt naar jouw ver-SOA'de SAML-aware toepassingen kunt. Of zo. Alleen kreeg of gaf de ict-manager geen budget voor een deugdelijke oplossing van de technische beveiligingsissues. Voor niks gaat de zon op. En de kosten zullen lager zijn dan men denkt, als we maar eens het geneuzel 'sorry projectmanagement-overhead' zouden kunnen overslaan. En wat wordt er niet bespaard op huisvesting als al die kantoren vol saaie papierschuivers kunnen worden ingekrompen? Technisch en economisch komt de business case dus heus wel rond.

Reden twee. Jouw baas is bang dat hij door de mand valt. Er was eens een tijd, in een land ver van hier, waar de baas de baas was en in een hiërarchische structuur leiding gaf. En hij was de baas omdat... nou ja, omdat hij de baas was en het dús beter wist. En oogtoezicht moest houden op z'n ondergeschikten, ik bedoel collega's, want die zijn per definitie lui.

Natuurlijk, de neiging ís er om in de eerste weken van de thuiswerkpilot wat extra tijd te besteden aan de koffie, omdat die heel wat lekkerder is dan die automaat op kantoor en aan een boodschapje tussendoor. En de pilot duurt niet lang genoeg om weer terug op normaal werkpatroon te komen. Maar alles moet wennen. Probeer het gewoon eens wat langer; succesverhalen te over. En dan blijkt inderdaad dat Nederland zeer productief blijft en creatiever; waar moesten we het in dit land na alle offshore outsourcing ook alweer van hebben...? We komen met z'n allen heus wel vaak genoeg terug naar kantoor; we vinden het gezellig genoeg en anders zijn we te eenzaam thuis. Dus het idee dat de ideeënuitwisseling zou stokken, klopt ook niet. En de baas, die gaat wel mee als blijkt dat het beleid van nee-zeggen tegen thuiswerken en zo doorwerkt in de productiviteit en dus ook in zijn bonus.

Waarmee de drie punten van Harm Wesseling genoegzaam zijn opgelost. Enne, beleid is nodig ja, maar laten we dan wel beleid maken dat sturend, stimulerend en ruimtegevend is, niet beleid als dwangbuis van pietluttige voorschriftjes.

Reden drie. Anders / Geen mening / Weet niet. Althans, dat is waar het op neerkomt als we kijken naar de invulling van het nieuwe werken. Anywhere-ken is eigenlijk maar een halve stap of minder op weg naar wat we allemaal zouden moeten willen: als vrije kenniswerker onszelf verkopen, als ‘free agent' de kennis brengend waar wij zelf verkiezen de bijdrage te leveren. Niks vast contract, alles in losse ad hoc tijdelijke samenwerkingsverbanden; ‘managers' moeten leuren om de juiste talenten te betrekken. Niks administratiefabrieken met intensieve menshouderij, geen massaproductie, maar ambachtelijke enkelstukfabricage in klein gezelschap. En op maat voor de vraag.

De grote organisaties die we kennen waren er immers alleen om de ‘transactiekosten' (coa-se) zo laag mogelijk te houden. De massa vond het niet erg dat er niet op maat werd geleverd maar slecht gestandaardiseerde gemiddelden werden geproduceerd; als het maar goedkoop was. Wie het betalen kon, liet alsnog (semi)maatwerk maken. Maar we moeten iets anders. De bureaucratieën lopen vast in een poging alle medewerkers plat te slaan tot radertjes in ‘processen'. De (Westerse) mens heeft helaas nog een restje creativiteit en, better be safe than sorry, we moeten er dus vanuit gaan dat alle medewerkers onbetrouwbaar zijn waardoor we iedereen op de vingers moeten kijken. Nog meer regeltjes, nog meer meer inproductieve toezichtmannetjes.

Niet voor niets hanteren organisaties ‘old world' wetgevingstrucs om onze kennis tot hun eigendom te verklaren. De muziekindustrie en anderen leren wel dat de wetgever, als altijd, achter de muziek aanloopt en dus op de rem trapt, in plaats van ruimte en voorwaarden te scheppen voor economische groei volgens andere inzichten in mijn en dijn. Of hoe weet mijn werkgever zometeen nog of hij wel het intellectuele eigendom kan claimen over in zijn tijd bedachte, baanbrekende ideeën, terwijl onduidelijk is wat ‘zijn' tijd is en wat de mijne. Met al dat los-vaste thuiswerk vervaagt de werktijd toch? Of is het eerder terug naar vroeger, toen voor de prestatie werd betaald? Macht maakt nog steeds recht... Tijd om met de voeten te gaan stemmen en collectief voor onszelf te beginnen.

Want alles wat ‘massa' heet, qua productie, is verhuisd naar landen waar arbeidskracht goedkoop is. Ja, na handarbeid, machines en ict ook de informatieverwerking, hoewel we dat misschien nog niet zo door hebben. Wat blijft er voor ons over, wat zijn de ideeën die ons uit de crisis trekken? Alles onder de noemer ‘creativiteit' zullen we maar zeggen. Alleen nog even een profitabel businessmodel daaronder gelegd.

Nu we in het informatietijdperk veel meer informatie kunnen verwerken, zijn de transactiekosten drastisch omlaag en hoeven we in ieder geval niet meer bij elkaar te kruipen in hiërarchische, op totaaltoezicht ingerichte, bureaucratische organisaties, maar kunnen we die informatie opnemen, gebruiken en produceren waar en wanneer we maar willen. Een van de middelen, meer is het niet, die we nu al kennen maar nog zo weinig inzetten, is (social) networking. Wat zou het zijn om mini flash mobs te vormen om iets te maken waar we op dat moment aan willen werken? Of neem mash-ups: de facto een ad hoc samenstelling van applicaties. Die zijn ook niet bedoeld om dag in dag uit decennialang ongestoord batches te verwerken, maar zijn even aardig voor nu tot de lol ervan af is. Google Apps en Docs: alles kan. Dit stukje is geschreven vanaf Barbados. Althans, dat had ik wel gewild en het kán tegenwoordig ook makkelijk. Maar waar is nou dat businessmodel...? Waar zijn de organsiaties die echt voluit inzetten op de nieuwe wereld, met het nieuwe werken? Die hadden m'n cv toch allang gevonden? Of ze hebben mijn cv inderdaad al gevonden en ze hebben me niet gebeld. Hmm.

Aan de andere kant, hoe staat het met de beveiliging van de intellectuele prestaties die ik ‘ergens' heb opgeslagen? Hoe zorg ik ervoor dat de leverancier van mijn favoriete social-networkingsite netjes de beveiliging op peil houdt zodat mijn foto's van wat minder nuchtere feestjes niet voor jan en alleman te zien zijn? Hoe voorkom ik dat mijn EPD na alle outsourcing en onbeheerste toegang door ‘belanghebbenden' gaat zwerven en bij een verzekeraar c.q. kwaadwillenden terechtkomt? Moeten we dan maar vertrouwen op alle mooie verhalen over de toegepaste beveiliging? Terwijl om de haverklap de mooie verhalen worden doorgeprikt en dan is ‘sorry' het maximale wat we ooit horen? ‘Ja, nee we outsourcen heus niks hoor!' Natuurlijk, en welke brugklasser doet het onderhoud aan de pc van jouw huisarts?

Lastig. We hebben dus informatie over onszelf verre van zelf in de hand. Terwijl de huidige houders slechts bewaarders zijn ervan, niet bezitters. Dat zijn wij, toch? Bij een bank kan je online al je data inzien. De bank(site) biedt je slechts het platform voor je geldopslag en het ‘zelf' doen van transacties. Waarom krijg ik van de Rijksoverheid niet een jaaropgaaf van alle informatie over mij die bij de Rijks-, semi- en lagere overheden aanwezig is? Het maakt voor de burger (wat een lelijke term ter onderscheid, alsof ‘ambtenaren' een beter soort burger zou zijn) niets uit welke overheidsdienst hij/zij mee van doen heeft; dat er überhaupt onderscheid is tussen departementen, diensten, etc., etc. is ook alleen maar om de interne informatiebehoeften te kanaliseren. Dus kom op; één overzicht moet makkelijk kunnen. Of niet en willen we juist helemaal geen koppelingen...? Erger wordt het wanneer we bekijken welke informatie er bij allerlei private partijen rondgaat.

Oftewel, we hebben nog weinig idee over wat voor informatie we het voor het zeggen zouden willen hebben. En vervolgens hebben we geen idee welke informatie we op welke wijze in de wereld zouden willen loslaten, oftewel vrijgeven. Of ga ik nu te ver?

Mijn antwoord is dus vooral 'ik weet niet'. Niet als argument tegen het nieuwe werken, maar hoe en wat we ermee moeten laat staan wat we moeten beveiligen en hoe dan. Vast staat dat we met z'n allen toch weer een beetje aan het afwachten zijn en dat is jammer. Afwachters zijn per definitie (te) laat en dan rest ons weer niks anders dan achter de feiten aanlopen, niet zelf kiezen en niet de vruchten plukken. Dan hebben we zo weer alle vrije tijd, maar geen cent te makken.

Of zijn er nog lezers die niet afwachten maar de oplossing hebben?

Michiel Broekhuijsen, 04-02-2010 13:13

Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je niet door het bezitten van kennis maar door deze te delen en daardoor bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet in alleen in Web 2.0 fenomeen als WikiPedia, maar ook in het Nieuwe Werken waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar wel een zorgpunt. Momenteel wordt er (terecht) veel aandacht besteed aan de vertrouwelijk en privacy van informatie, maar we moeten er ook voor zorgen dat kennis gebaseerd is betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekend dat we de komende tijd technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.

Eric Biemans, 04-02-2010 13:56

Anytime, anyplace, anywhere (het Martini gevoel) is blijkbaar cyclisch. Steeds popt het weer op onder een andere naam. tegenwoordig heet het "het nieuwe werken". Waar het in de praktijk echt op neer komt is het meer efficient inzetten van medewerkers. En welk bedrijf wil dat niet?. Om het nieuwe werken te ondersteunen zijn er ook "nieuw beleid" en "nieuwe oplossingen" en nodig. Het nieuwe beleid moet zich richten op werken buiten de fysieke grenzen van een origanisatie, rekening houdend met gevoeligheid van informatie, tijd plaats (omgeving) en bedrijfsgericht samenwerken. Nieuwe oplossingen dienen zich te richten op het beveiligen van informatie, documenten etc. i.p.v. het beveiligen van netwerken en computers. Voorts dienen nieuwe oplossingen waar nodig de echte samenwerking tussen de telewerkenden te faciliteren.

Eric Biemans MSc RI
Principle consultant
ArchiXL

Jurgen, 04-02-2010 14:13

In Michiel's en Eric's reacties (dank beide) zie ik 'het'/een probleem terugkomen, wat ik misschien niet voldoende duidelijk aanstipte: Kennisdelen levert een netwerkeffect ja, maar hoe vangen we dat..? En dan 'we' in de zin van wij werknemers, niet de Baas. Uiteindelijk hebben we allemaal (i.e., de meerderheid van ons) een hypotheek af te betalen en hoe doen we dat als we alleen maar voor onszelf twitteren (of beyond twitter). Zelf dacht ik ook aan ad hoc mini-producties al of niet met 3D-printtechnieken. Nu nog in de kinderschoenen ja, maar dat was de ICT ook nog pak 'm beet twee decennia geleden. Hoe deed men vroeger ook alweer z'n werk, zonder mobieltje, fax, telex, mainframes en zo? Hoe ver zijn we 'dus' nog weg van ad hoc syndicalisatie?

Marco Mulder, 04-02-2010 20:58

Hoe beveilig je het nieuwe werken? Dat is lastig te bepalen als je niet weet wat je moet gaan beveiligen en waarom en wat het risico is als men het niet doet. Er zijn niet voor niets security standaarden als ISO27001 gedefinieerd die al dit soort aspecten meenemen.

Het telewerken zou je daarom niet als losstaande manier van beveiliging moeten zien, het is een verlengstuk van het kantoor werken waarbij de beveiliging van de algehele kantooromgeving (internationaal) de basis is van de beveiliging van telewerken.

PaVaKe, 04-02-2010 22:58

Gaat deze vraag niet veel verder dan alleen het thuiswerken:
- hoeveel medewerkers nemen geen werk mee naar huis op een geheugenstick?
- hoeveel mensen mailen niet even een documentje naar huis om daar 's avonds nog aan verder te werken
- hoeveel mensen gebruiken hun zakelijke laptop 's avonds thuis ook voor privé doeleinden
- hoe beveilig ik al m'n data die ik over het wereldwijde web verspreid in die wazige wolk, eeuh cloud

Kortom: is databeveiliging niet een issue op zich aan het worden (als het dat al niet is) ?

Wat dat betreft was het oude mainframe zo slecht nog niet. Thuis werken met een terminal-emulator op een 486 over een ISDN lijntje....liep als een tierelier hoor!
Alles centraal op het rekencentrum in Nederland, backup 500 km verderop in een ander land.
Alles top down gedefinieerd, alles over dedicated lijntjes. Hacken werd daardoor vrijwel onmogelijk.

Grafisch kon het niet tippen aan wat we vandaag de dag zien, maar een dunnere client-server heb ik nog niet vaak gezien, de stabiliteit van 20 jaar geleden wordt nu met veel moeite benaderd, en de beveiliging.....

Het nieuwe werken; 15 jaar geleden deed ik het al op mainframe (heeft me heel wat nachtelijke ritjes naar het werk bespaard); dus zo nieuw is het niet.

Maar door alle nieuwe technieken en mogelijkheden is de beveiliging er wel drastisch op achteruit gegaan.

Zo gek is het dus niet dat grote banken, multinationals etc. op het good old mainframe blijven zitten.

Hans Kroon, 05-02-2010 9:27

Zolang men wat te verbergen heeft, of vermoedt dat informatie gevoelig is (wat maakt informatie eigenlijk zo gevoelig dat anderen die niet mogen zien?) zullen beveiligingsissues een rol spelen.
Zolang men werkt voor het geld, en niet omdat het zo leuk is en al helemaal niet op de juiste plek, zullen mensen de kantjes eraf lopen. Managers weten dat en vertrouwen daarom hun mensen niet.
Zolang er sprake is van scheve verhoudingen, ongelijkwaardigheid en graaicultuur zullen er mensen zijn die op moreel minder verantwoorde wijze op zoek gaan naar middelen om hun kapitaal te vergaren.

Kortom, het issue is niet de techniek, noch de mogelijkheden of de middelen. Het issue is de mens zelf. Zolang die niet wezenlijk veranderen wil en op het niveau van beschaving zijn eigen technologische ontwikkeling bij lange na niet kan bijhouden lossen we het niet op.

Thimo Keizer, 05-02-2010 10:08

Anywhere-ken kan net zo veilig (of onveilig) als met zijn allen op kantoor. Het lijkt misschien onveiliger maar met de juiste middelen (hard- en software maar ook procedures en awareness) kan het zelfs vele malen veiliger. Het gaat om fysieke aanwezigheid versus resultaatsturing ( 40 uur aanwezig zijn is zo 1980). Als resultaten zichtbaar worden gaan de bazen medewerkers vertrouwen en gaan we anywhere-ken. Dan zullen organisaties ook meer aandacht besteden aan de risico’s daarvan.

We kunnen anywhere-ken stimuleren door juist de (gewijzigde) risico’s en positieve beveiligingsaspecten te benadrukken. Dan krijgen beveiliging en anywhere-ken de eer die ze verdienen.

Jos Struik, 05-02-2010 10:29

Een essentieel onderdeel van de geschetste problematiek is de vraag: wat is de waarde van kennis en informatie? Uitgaande van het concept: kennis is macht, is het vasthouden/beschermen van kennis/informatie heel belangrijk en daarmee verlammend voor het nieuwe werken. Als we ons echter, als onderdeel van het nieuwe werken, ook realiseren dat kennis en informatie vluchtig zijn, dan betekent dat het verkrijgen en/of hebben van macht alleen kan door continu nieuwe te vergaren. Het gaat dan ook niet meer om de informatie zelf, maar wat je ermee doet. De toegevoegde waarde. Als je niets te verbergen hebt, hoef je ook niet bang te zijn dat informatie over jou openbaar beschikbaar is. Als je kennis en informatie continu vergaart en deelt, worden we er allemaal beter van. Natuurlijk blijft het voorlopig wel van belang het een en ander goed te beveiligen en af te dichten omdat onze maatschappij nog niet leeft volgens het concept van het nieuwe werken of misschien zelfs beter: "het nieuwe leven". Vroeger moest je op school ook alles van buiten kennen en mocht je geen hulpmiddelen (anders dan een rekenmachine) gebruiken. Nu is het heel normaal dat voor een werkstuk Google/het Internet wordt gebruikt. Ook daar gaat het niet meer om de inhoud zelf, maar wat de leerling/student ermee doet. Het nieuwe werken staat nog in de kinderschoenen maar zal uiteindelijk toch echt wel leiden naar het nieuwe leven.

PaVaKe, 05-02-2010 13:35

@Jos \ Hans

Wat kennis\informatie gevoelig maakt in sommige sectoren is de concurrentie.

Ik denk niet dat men bij Oce blij wordt als HP hun broncode in handen krijgt, of dat men bij Philips HealthCare blij wordt als Siemens of GE de broncode in handen krijgt.
Ook in de beleggings-sector zal men niet blij worden als de concurrent hun voorspellings-algorithme in handen krijgt.

Bij software in de openbare sector ligt dat wellicht wat minder gevoelig.

Carlo van Wordragen, 08-02-2010 10:46

Het grote aantal thuiswerkplekken die uit het zicht van de IT-afdeling zijn, vormen een grote bedreiging voor de beveiliging voor de totale organisatie.
Maar we focussen onszelf te vaak op de techniek. Als we kijken naar de totale business case en alle kosten van kantoorruimten,parkeerplaatsen, filetijden en netwerkkosten meerekenen, dan zou de prijs per werkplek wel eens aanzienlijk hoger kunnen zijn, dan die van een thuiswerkplek. Zelfs als de medewerker tijdens het nieuwe werken even een brood bij de bakker gaat halen.
En van de andere kant: thuis worden we niet door collega’s bij de koffieautomaat van ons werk gehouden en wordt er niet overloos vergaderd. Thuis werk ik thuis vaak veel efficienter als op kantoor.

Carlo van Wordragen
Adviseur, Aranea Consult

PaVaKe, 08-02-2010 17:59

@Carlo

Ook hier geldt weer dat het niet zo zwart wit is als geschetst wordt.
Als ik een ontwerp uit moet werken, of plannen moet schrijven, gaat dat inderdaad het beste thuis (vermits de kinderen naar school zijn).

Maar discussies over strategie, implementaties, de dagelijkse gang van zaken, 2e- en 3e lijns ondersteuning gaan weer veel makkelijker op kantoor tussen de rest van m'n collega's.

En niet te vergeten, de informatievoorziening bij de koffieautomaat is een niet te onderschatten bron van informatie.

Dat mis je dan weer als je thuis werkt.

Floris van den Dool, 09-02-2010 11:50

De randvoorwaarden voor het nieuwe werken kunnen voor een deel technisch worden opgelost, maar er zal een steeds belangrijker nadruk komen te liggen op het security bewustzijn van de moderne werkers én de support organisatie. De beveiligings organisatie verstrekt de middelen en zorgt voor adequate opleiding en beleid; de werkers moeten zich bewust zijn van hun verantwoordelijkheid bij het remote werken met de gevoelige assets van het bedrijf en daaraan ook gehouden (kunnen) worden. Dat is een prima ruil voor de medewerker en voor bedrijven een noodzakelijke schakel in de beveiliging.
Bewustzijn, beleid en technische middelen zijn daarbij allemaal onderdeel van een proces, dat continu moet zorgen voor op risico gebaseerde maatregelen.

Jan Van Haver, 09-02-2010 14:05

Dat de productiviteit van thuiswerkers hoog genoeg ligt om gunstig tegenover anywhere-ken te staan, daarvan ben ook ik overtuigd. Het security-dilemma dat wordt aangestipt, is naar mijn idee een veel lastiger thema.

Het gevaar voor dataverlies komt mijns inziens uit twee hoeken. Enerzijds zijn er de technische onvolkomenheden, waardoor de informatie niet adequaat wordt beschermd. Het risico hiervan neemt toe bij hogere mobiliteit van de werknemers, omdat de informatie dan met meerdere onderdelen van de infrastructuur en vaak met meerdere soorten hardware in aanraking komt. Anderzijds is er de onwetendheid van de werknemer. Deze realiseert zich in veel gevallen niet voldoende hoe belangrijk het is om bepaalde informatie goed te beschermen, of denkt dat wel te doen, maar slaat de plank hierin mis. Deze onwetendheid is op kantoor, onderweg of thuis aanwezig en altijd bedreigend. Gelukkig zijn deze beide gevaren redelijk goed in te perken door goede IT security-oplossingen en voldoende training van werknemers op het gebied van security policies.

Echt lastig wordt het qua security wanneer een onderneming de controle over haar gegevens uit handen geeft aan een derde partij, zoals op grote schaal gebeurt bij cloud-oplossingen. Het gebrek aan toezicht en controle vereist een blind vertrouwen in de leverancier. En als je al twijfelt of je zelf de twee gevaren van dataverlies wel goed hebt afgedicht, hoe kun je er dan zonder meer vanuit gaan dat een bedrijf dat je nauwelijks kent alles wel prima op orde heeft?

Jan Van Haver
Country Manager Benelux
G Data Software

Tini Schuurmans, 09-02-2010 16:17

De zorgen die men zich maakt over de beveiliging van telewerken worden grotendeels veroorzaakt doordat ons we de afgelopen decennia gefocust hebben op de beveiliging van het netwerk. De gedachte was dat we met een goed afgeschermd netwerk onze kroonjuwelen goed konden beschermen. De firewall was lange tijd de belangrijkste beveiligingsmaatregel, maar steeds vaker worden daar gaten in geslagen om mogelijkheden te bieden voor samenwerking buiten de muren van het kantoor.

Het wordt dan ook tijd dat we anders tegen de beveiliging van telewerken aan gaan kijken en ons gaan afvragen wat we eigenlijk willen beschermen. Zeer waarschijnlijk is het antwoord niet altijd en alleen maar het interne netwerk, zelfs niet de data, maar de informatie die in de data is opgeslagen. Deze informatie vertegenwoordigt waarde voor de organisatie in kennis, kunde, ontwikkeling en historie. De waarde van de informatie varieert ook in de tijd. Beursgevoelige informatie is vaak slechts voor korte tijd geheim. Binnen enkele uren of dagen is het publieke informatie en is het niet meer nodig de vertrouwelijkheid ervan te beschermen.

De industrie is al op vele fronten bezig technologie te ontwikkelen die het mogelijk maakt de informatie zelf te beveiligen op vertrouwelijkheid en integriteit. We zijn er nog niet, maar het is al wel van belang om het bedrijfsleven hierop voor te bereiden. Zij zullen een begin moeten maken met het structureel classificeren van informatie binnen de organisatie.

Tini Schuurmans
Principal Security Consultant
BT Benelux

John, 10-02-2010 0:45

Anywhere-ken deed ik vroeger met 24k modems, PC-Anywhere en terminal emulatie. Het Nieuwe Werken is op zich niet erg nieuw, alleen begint het nu pas met een duidelijke maar nog steeds langzame opgang.

De redenen van de groei zijn; dat Nederland steeds meer kennisland is en juist dit werk mee naar huis genomen kan worden, werknemers steeds vaker vanzelf werk mee naar huis nemen om iets af te ronden of voor te bereiden, (mobiel) internet is steeds beter, goedkoper en sneller, de werknemers hebben vaak meerdere apparaten waarmee thuiswerken mogelijk is, thuis is er vaak een studie/werkplek, applicaties zijn steeds vaker web-based, et cetera.
Het wordt dus steeds gemakkelijker om als bedrijf de mogelijkheden van Het Nieuwe Werken te benutten en het werk anders te organiseren. Technisch zijn er heel veel mogelijkheden bijgekomen en de werknemers weten dit. Het is gelukkig geen hype.

De beveiliging bij thuiswerken of werken in hotels en tijdelijke kantoorruimte, is in wezen niet anders dan bij de oude kantoorsituatie waarbij regelmatig werk mee naar huis genomen wordt. Wat betreft de gebruikerprocedures hoeft er weinig te veranderen als het al goed geregeld is. Ook bij de oude kantoorsituatie kan gevoelige bedrijfsinformatie bijvoorbeeld via laptops, dossiermappen, uitdraaien, CD’s en memory sticks daar terechtkomen waar je niet wilt. Dus moet je regels stellen, voorlichting geven en indien nodig sancties treffen. Heb je dit nog niet geregeld, dan loop je nu al onnodig risico’s.

Natuurlijk de techniek verandert steeds, dus ook de technische beveiliging moet steeds aangepast worden. Maar dat is op kantoor niet anders. Ook daar worden netwerken steeds meer aan elkaar geknoopt met alle voordelen en gevaren. Als gevoelige bedrijfsinformatie verwerkt wordt op een laptop met een slecht beveiligde wireless aansluiting, dan kan het misgaan, thuis of op kantoor.

Dus blijft over hoe je het werk anders verdeelt bij het Nieuwe Werken. Dat is geen zaak voor ICT-ers. Het Nieuwe Werken moet niet, maar kan wel. Toch zal de gemiddelde ondernemer of non-profitorganisatie een niet adequate ICT-voorziening als excuus willen gebruiken om niet over te gaan op het Nieuwe Werken. Aan ons om die ballon door te prikken.

Abbe Zwaal, 16-02-2010 10:36

De omgeving van organisaties veranderen door de mensen die leven in de maatschappij. Zij creëren een nieuwe wereld waarin we leven, met elkaar omgaan en hoe we communiceren. De nieuwe generatie, die zich kenmerkend anders gedraagt dan de oude generatie mensen, zijn het talent en de nieuwe managers van morgen. De bedrijven die de komende jaren dit begrijpen zullen deze nieuwe talenten aantrekken. Daarnaast zullen ze er ook voor moeten zorgen dat deze nieuwe talenten zich kunnen manoeuvreren niet alleen binnen dit bedrijf maar met name in het netwerk van organisaties waarmee je als bedrijf verbonden bent om succesvol zaken te kunnen doen.
Deze nieuwe generatie vereist open grenzen Ze denken veel meer in kennis en contacten delen met elkaar dan het bezit ervan. De vraag rijst of dit goed te beveiligen is. Vergelijk het met de ontwikkeling bij het open stellen van de grenzen in Europa. Vele mensen waren huiverig hiervoor en verwachten dat de criminaliteit enorm zou toenemen bij het open stellen van de grenzen en minder toezicht bij de grens. Het tegendeel is waar. Landen zijn zich succesvol veel meer per gebied gaan concentreren op beveiliging en zijn veel meer met elkaar gaan samenwerken waardoor grotere criminele netwerken eenvoudiger zijn op te sporen.

Zo zal het waarschijnlijk ook gaan voor de beveiliging van Het Nieuwe Werken. De oude gedachte van bescherm het bedrijf als een fort, het perimetermodel genoemd, waar het moeilijk binnen komen is voldoet straks niet meer. Als gebruiker is het wel makkelijk om hier binnen te manoeuvreren maar naar buiten toe communiceren wordt veel lastiger en daarmee staat of valt het succes van Het Nieuwe Werken.

Een nieuw beveiligingsbeleid is derhalve nodig die uitgaat van beveiliging per individu en haar gegevens. Die het makkelijker maakt om buiten de grenzen te manoeuvreren. Hoe het nieuwe technische concept van Het Nieuwe Werken eruit komt te zien staat nog niet vast maar zal zich waarschijnlijk richten op Saas - en Cloud Computing concepten. Er zal een verdere ontwikkeling plaats vinden van DigiD binnen de zakelijke wereld. Certificaten zullen een nieuw leven krijgen. Een certificaat fungeert als een digitaal paspoort voor de eigenaar van dat bestand en wordt veelal gebruikt binnen de Public Key Infrastructure (PKI). Er zal een toename komen van partijen die deze certificaten uitreiken en beheren. Dus open grenzen en ieder individu een eigen paspoort met persoonlijke toegang tot gegevens die van jou zijn maakt het grens overschrijdend reizen in Europa mogelijk. Maar de acceptatie van deze open grenzen kon nog wel eens even op zich laten wachten.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Opinie / Beleid

Anywhere-ken: leuk, maar hoe beveilig je het?

10-02 Het einde van het begin van cloud en virtualisatie

10-02 De windwakken van de cloud-sector

09-02 Citoto

09-02 Lang leve de hackers!

09-02 Modder gooien in ICT-land

08-02 Reseller verliest slag om het groene huishouden

08-02 Hadoop lijkt een alleskunner

07-02 Hou zicht op de informatie bij HNW

07-02 Eigen werknemer kan ook een vijand zijn

06-02 Krachtenbundeling NGI en TestNet is goede zaak

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Veenman en 20/20 vision adviseren samen klant

09-02 ERP-traject Eigen Haard krijgt forse directiesteun

08-02 Sogeti ontslaat nog eens 110 medewerkers

07-02 Western Digital haalt hard uit naar Stellar Data

07-02 Verhuurder Capgemini-pand vecht verhuizing aan

06-02 'Marktwaardering Facebook is kwart te hoog'

06-02 Delta Lloyd verlengt contract met Human Inference

06-02 Krachtenbundeling NGI en TestNet is goede zaak

03-02 De kracht van 'niet moeten, maar willen'

15-02-10 Op veilige manier kunnen anywhere-ken

Probleemloos ontwikkelen voor een hybride cloudmodel