Topicpagina, Computable 1-2 2008

Telewerken groot beveiligingsprobleem

Je hoeft maar een willekeurige security-expert te vragen wat het meest populaire onderwerp in beveiliging is en termen als 'telewerken', 'nomadisch werken' of 'mobiel werken' vliegen je om de oren. Leuk die mobiliteit, maar blijkbaar hangt hier een zwaar beveiligingsvraagstuk aan.

Op het weblog van het Topic Security op Computable.nl schrijft expert Remce Bakker van irC2 over het grootste probleem van telewerken; de telewerker zelf. Hij is van mening dat de mens het grootste struikelblok is in security en dat daardoor telewerken maar moeilijk van de grond komt. Ons Expert Panel legt uit wat er moet gebeuren om telewerken te laten slagen en geven tips om beleid op te stellen om de beveiligingsrisico's zoveel mogelijk in te dammen.

Dennie Spreeuwenberg
Dealer manager
Avnet Technology Solutions

"Vroeger werden er misschien niet zulke hoge eisen aan een ict'er gesteld, als hij maar zijn MCSE-diplomaatjes en wat werkervaring had was het al gauw goed. Tegenwoordig werkt het echter meestal niet meer zo. Een beetje ict'er moet ook goed kunnen communiceren en zich verplaatsen in de situatie van de klant. Waarom zou iemand van de ict-afdeling dus niet als securitymanager kunnen optreden in deze?"

Erik Westhovens
Adjunct-directeur/cio
DeltaIsis

"Telewerkers zijn de zwakste schakel als de ict-voorziening niet juist is ingericht. Het is heel gemakkelijk om de beveiliging te verhogen, door opslaan van documenten lokaal onmogelijk te maken, inloggen met behulp van random tokens en alleen die applicaties faciliteren die nodig zijn. Bij veel omgevingen is toegang tot remote e-mail, Word en Excel wel mogelijk, maar bijvoorbeeld niet toegang tot SAP. Dit soort securityaspecten kun je niet bij een gebruiker leggen."

Bernhard van der Feen
Product solution manager security
Microsoft

"Een rol van securitymanager zou uit hoofde van conflict of interest bij voorkeur niet bij de ict-manager moeten liggen, dat is indirect ook het uitgangspunt van normeringen. Als een bedrijf echter een formaat heeft waarbij het zakelijk niet verantwoord is om deze functies te scheiden, dan is een combinatie onder voorwaarden mogelijk.
Voordat een gebruiker in de gelegenheid gesteld wordt om te gaan telewerken moeten zijn hulpmiddelen daarvoor toereikend zijn. Technische mogelijkheden zoals schijfencryptie, strong authentication, ssl-vpn, end-point checks, application level firewalls en wat niet meer, is allemaal redelijk gemeengoed en stellen je in staat het risiconiveau voor de telewerker gelijk te trekken aan de binnenwerker. Dus wat dat betreft is het nu een kwestie van afweging van kosten versus opbrengsten."

Rhett Oudkerk Pool
Oprichter en ceo
Kahuna

"De telewerker is absoluut niet een zwakkere schakel dan een medewerker bij datzelfde bedrijf. De meeste organisaties zijn zich zeer bewust dat de remote werkplek meer risico's met zich mee brengt, dus staan ze telewerken niet toe of implementeren ze maatregelen. En niet toestaan komt nog erg vaak voor, ondanks dat Nederland topscorer is qua percentage telewerkers.
Beter is te stellen dat er organisaties goed met hun beveiligingsbeleid bezig zijn en andere organisaties (nog) achterlopen. In een slecht beveiligd bedrijf is een telewerker net zo risicovol als een medewerker binnen de bedrijfsmuren. Immers vanaf beide werkplekken is de organisatie niet 'in control'. In een beter beveiligd bedrijf zijn er vaak meer maatregelen genomen voor de telewerker (meestal 2 factor authenticatie en meer applicatie/data toegangsbeperkingen) dan voor medewerkers binnen de bedrijfsmuren."

Marinus Kuivenhoven
Oracle technology specialist
Sogeti Nederland

"Voor het gebruikte systeem zal een 'Deny all access except...'-policy al veel kunnen beperken, maar het is van net zo groot belang dat de eindgebruiker zich bewust wordt van de mogelijkheden die de gebruiker heeft op een systeem. Een brochure alleen zal daar niet veel aan bijdragen. Door aan te tonen wat een indringer met verworven rechten voor elkaar zou kunnen krijgen, zal het verantwoordelijkheidsgevoel van de gebruiker stijgen. En gaan we van onbewust onbekwaam naar bewust bekwaam handelen. Deze awareness-training zou ook een terugkerend ritueel moeten worden aangezien bedreigingen wijzigen."

Lex Borger
Principal consultant
LogicaCMG

"Eindgebruikers hebben, net zoals ICT medewerkers, de securitymanager, diverse eigenaren (systeem-, proces-, informatie-, ...) en de directie, hun rol te spelen in de informatiebeveiliging. Deze rol moet ze wel verteld en geleerd worden. De rol van de securitymanager is vooral om zeker te stellen dat de anderen hun rol goed genoeg invullen en ze daarbij te helpen waar nodig. Het is zeker niet zijn of haar taak om goede initiatieven zoals telewerken tegen te houden of op eigen houtje te bepalen wat wel en niet mag.
In de discussies wordt er naar telewerken gekeken alsof het per definitie zo'n onveilige activiteit is. Bij telewerken zijn de kwetsbaarheden anders dan vanaf kantoor werken. 'Anders' betekent niet per se groter. De thuisomgeving kan juist een vrij eenvoudig maar effectief beveiligde omgeving zijn. De eindgebruiker is hierbij cruciaal.
Wat betreft vermenging van werk en privé: de kantoormedewerker doet er even hard aan mee door op kantoor privé-activiteiten uit te voeren. Het kantoor en thuis gaan steeds meer op elkaar lijken. Telewerken is in opkomst, en om goede redenen. Wij kunnen allemaal ons steentje bijdragen dit veilig genoeg te maken, vanuit onze eigen rol. Wat we uiteindelijk niet kunnen doen, is het tegenhouden."

Maurice Remmé
Director security services
Getronics PinkRoccade

"Thuiswerken betekent in feite een extensie van de ict-bedrijfsinfrastructuur tot bij de medewerker thuis. Dat is voor veel it-afdelingen al een grote stap. Los van de vraag of security nu een taak is voor de it-afdeling is het natuurlijk zo dat de it-afdeling geen zeggenschap heeft over de thuiswerker zelf. Dat is meer een zaak van de personeelsafdeling en de contractuele afspraken tussen werkgever en werknemer.
De mens is de zwakke schakel ongeacht of die nu thuiswerkt of op kantoor zit. Want dat onderscheid tussen thuis en op kantoor werken veronderstelt dat het op kantoor wel veilig is. Onveilig gedrag zal ondanks de vele goede beveiligingsmogelijkheden die er voor zowel thuis als op het werk zijn steeds een risico blijven. Dus het creëren van awareness en het onderhouden hiervan is en blijft essentieel."

Jeroen Kulk
Service manager informatiebeveiliging en beveiligingsadviseur WIA
UWV

"Hmm, eindgebruikers de zwakke schakel noemen is natuurlijk 'cover-your-ass methode #1' voor falende ict'ers en ib'ers. De mens is zeer zeker een groot risico, maar indien de verantwoordelijke persoon niet in staat is met menselijke eigenschappen rekening te houden bij het goedkeuren/ontwerpen/implementeren van een oplossing/gewenste functionaliteit, dan denk ik dat er elders een schakel vervangen moet worden. Als je niet in staat bent met technische en administratieve maatregelen op veilige wijze de gewenste functionaliteit te faciliteren, doe het dan gewoon niet of accepteer het risico. Maar naar eindgebruikers wijzen omdat de architect een kluns was of omdat de manager zo goedkoop is dat hij mensen met - eigen - apparatuur laat telewerken, tsja..."