‘Nederland moet telewerken’ luidde dit najaar de kop van het openingartikel van een publicatie voor IT managers. Het blad breekt een lans voor het fenomeen, en draagt een veelheid aan bekende argumenten aan die de bedrijfsleiding zouden moeten overtuigen. Maar afgezien van de vraag of de telewerker wel zo graag vanuit huis werkt, is er nog steeds het risico van de beveiliging.
De verkoopdirecteur die zijn mensen vanuit huis laat werken, wint ruimte, boekt zonder twijfel tijdwinst, maar haalt op hetzelfde moment een verraderlijk beest binnen – een Trojaans paard van heb ik jou daar. De zwakste schakel in de security-aanpak is en blijft de mens. Als die zich dan ook nog onttrekt aan het toezicht van de IT-beheerder heb je de kat in de gordijnen. Vaak wel tenminste.Nee, informatiebeveiliging en telewerken zijn niet twee begrippen die in een adem worden genoemd. Terwijl dat wel zou moeten.
Telewerken kwam in een recent verleden niet echt van de grond, vooral vanwege technische obstructies. Maar de technologie haalt de problemen in. En daarmee worden de risico’s minder. Onze thuiswerker kan nu via een browser toegang krijgen tot de bedrijfsgegevens. Die toegang geschiedt in lagen en is afhankelijk van de kwetsbaarheid van de opgevraagde gegevens en hun fysieke verblijfplaats. Naarmate de gegevens confidentiëler zijn zullen er hogere eisen worden gesteld aan de beveiliging. Maar een internetaansluiting is nu synoniem voor het bekijken van het eigen bureaublad. Als het goed is.
Maar de zwakste schakel in het uitbannen van elk risico is en blijft de mens, de gebruiker. Ons wordt met regelmaat gevraagd of de ICT-afdeling niet die mens tegen zijn eigen mogelijk falen kan beschermen. Kan die ICT-afdeling aan het elimineren van die zwakste schakel een bijdrage leveren? Volgens mij is het de vraag of bewustwordingscampagnes wel in het straatje van de ICT-afdeling thuishoren. De afdeling kan wel zeggen: “Hoor eens, wij kennen de infrastructuur. Het is onze zaak.”
Maar de feiten liggen anders. Het maximaal elimineren van menselijk falen ligt bij het algemeen management, ook al omdat privacy bij beveiligingsmaatregelen een belangrijk aspect vormt. Een risicoanalyse is onontbeerlijk. Daarnaast is een voorlichtingsbrochure een goed middel. Maar ook dat is nog onvoldoende. Ik heb de beste ervaringen met de constructie waar de security manager vaststelt wie wat mag. Hij is de verantwoordelijke voor het maken van een risicoanalyse, in eendrachtige samenwerking met alle betrokkenen van afdelingen zoals personeelszaken, verkoop, marketing en research. Op die manier kan hij een beleid maken en dat bedrijfswijd geïmplementeerd krijgen.
Dat daarbij de betrokkenheid van alle managers onontbeerlijk is en dat het ook hùn verantwoordelijkheid is om duidelijk te maken welke risico’s ze wel, en welke niet kunnen nemen, is natuurlijk evident. Maar laat het niet aan de ICT-afdeling over. De ICT-er weet niet wat belangrijk is. Hij spreekt tegen een beeldscherm en dat zegt niks terug.
Remco Bakker
irC2
Vroeger werden er misschien niet zulke hoge eisen aan een ICT-er gesteld: als hij maar zijn MCSE diplomaatjes en wat werkervaring had was het al gauw goed. Tegenwoordig werkt het echter meestal niet meer zo: een beetje ICT-er moet ook goed kunnen communiceren en zich verplaatsen in de situatie van de klant. Waarom zou iemand van de ICT afdeling dus niet als Security Manager kunnen optreden in deze?
Vroeger is niet zo lang geleden, vandaag is morgen verleden…En laat het inderdaad zo zijn, dat veel ict managers tegenwoordig beter communiceren en zich in de situatie van de klant dienen te kunne verplaatsen, in de dagelijkse praktijk komen wij nu eenmaal de situatie tegen zoals ik schetste. Veel en vaak. Het spijt me als ik de goede hiermee te kort gedaan heb.Daarnaast is de vraag, of een ict afdeling degene is die de juiste risico afweging kan en moet maken…
Telewerkers zijn de zwakste schakel als de ICT voorziening niet juist is ingericht. Het is heel gemakkelijk om de beveiliging te verhogen, door opslaan van documenten lokaal onmogelijk te maken, inloggen met behulp van random tokens, en alleen die applikaties faciliteren die nodig zijn. Bij veel omgevingen is toegang tot remote E-mail, Word en Excell wel mogelijk, maar bijvoorbeeld niet toegang tot SAP. Dit soort security aspecten kun je niet bij een gebruiker leggen.
Een rol van Securitymanager zou uit hoofde van conflict of interest bij voorkeur niet bij de ICT manager moeten liggen, dat is indirect ook het uitgangspunt van normeringen. Als een bedrijf echter een formaat heeft waarbij het zakelijk niet verantwoord is om deze functies te scheiden dan is een combinatie onder voorwaarden mogelijk.Voordat een gebruiker in de gelegenheid gesteld wordt om te gaan telewerken moeten zijn hulpmiddelen daarvoor toereikend zijn. Technische mogelijkheden zoals Schijf encryptie, Strong authentication, SSL-VPN, End-point checks, Application level firewalls en wat niet meer, is allemaal redelijk gemeengoed en stellen je in staat het risiconiveau voor de tele-werker gelijk te trekken aan de binnen-werker. Dus wat dat betreft is het nu een kwestie van afweging van kosten versus opbrengsten.
De telewerker is absoluut niet een zwakkere schakel dan een medewerker bij datzelfde bedrijf. De meeste organisatie’s zijn zich zeer bewust dat de remote werkplek meer risico’s met zich mee brengt, dus staan ze telewerken niet toe of implementeren ze maatregelen. En niet toestaan komt nog erg vaak voor, ondanks dat Nederland topscorer is qua percentage telewerkers (8,25%: http://www.telewerkforum.nl/PDFs/17-04-2007%20Telewerken%20als%20toekomstbeeld.pdf ).Beter is te stellen dat er organisatie goed met hun beveiligingsbeleid bezig en andere organisaties (nog) achter lopen. In een slecht beveiligd bedrijf is een telewerker net zo risicovol als een medewerker binnen de bedrijfsmuren. Immers vanaf beide werkplekken is de organisatie niet “in control”. In een beter beveiligd bedrijf zijn er vaak meer maatregelen genomen voor de telewerker (meestal: 2 factor authenticatie en meer applicatie/data toegang beperkingen) dan voor medewerkers binnen de bedrijfsmuren.Wel ben ik met Remco eens dat: De mens de zwakste schakel is.
Voor het gebruikte systeem zal een ‘Deny all access except..’ policy al veel kunnen beperken. Maar het is van net zo groot belang dat de eindgebruiker zich bewust wordt van de mogelijkheden die de gebruiker heeft op een systeem. Een brochure alleen zal daar niet veel aan bijdragen. Denk bijvoorbeeld aan het gezin dat ook gebruik maakt van zijn laptop om te internetten of aan iemand die op een openbare plek zit te werken. Door echt aan te tonen wat een indringer met deze verworven rechten voor elkaar zou kunnen krijgen zal het verantwoordelijkheidsgevoel van de gebruiker stijgen. En gaan we van onbewust onbekwaam naar bewust bekwaam handelen. Deze awareness-training zou ook een terugkerend ritueel moeten worden aangezien bedreigingen wijzigen. Denk bijvoorbeeld aan de toename van wireless aansluitingen.
Hmmm, eindgebruikers de zwakke schakel noemen is natuurlijk cover-your-ass methode #1 voor falende ICT’ers en IB’ers.De mens is zeer zeker een groot risico, maar indien de verantwoordelijke persoon niet in staat is met menselijke eigenschappen rekening te houden bij het goedkeuren/ontwerpen/implementeren van een oplossing/gewenste functionaliteit dan denk ik dat er elders een schakel vervangen moet worden.Als je niet in staat bent met technische en administratieve maatregelen op veilige wijze de gewenste functionaliteit te faciliteren, doe het dan gewoon niet of accepteer het risico.Maar naar eindgebruikers wijzen omdat de architect een kluns was of omdat de manager zo goedkoop is dat hij mensen met _eigen_ aparatuur laat telewerken, tsja…
Eindgebruikers hebben, net zoals ICT medewerkers, de security manager, diverse eigenaren (systeem-, proces-, informatie-, …) en de directie, hun rol te spelen in de informatiebeveiliging. Deze rol moet ze wel verteld en geleerd worden.De rol van de security manager is vooral om zeker te stellen dat de anderen hun rol goed genoeg invullen en ze daarbij te helpen waar nodig. Het is zeker niet zijn of haar taak om goede initiatieven zoals telewerken tegen te houden of op eigen houtje te bepalen wat wel en niet mag.In de discussies wordt er naar telewerken gekeken alsof het per definitie zo’n onveilige activiteit is. Bij telewerken zijn de kwetsbaarheden anders dan vanaf kantoor werken. ‘Anders’ betekent niet per se groter. De thuisomgeving kan juist een vrij eenvoudig maar effectief beveiligde omgeving zijn. De eindgebruiker is hierbij cruciaal.Wat betreft vermenging van werk en privé: de kantoormedewerker doet er even hard aan mee door op kantoor privéactiviteiten uit te voeren. Het kantoor en thuis gaan steeds meer op elkaar lijken.Telewerken is in opkomst, en om goede redenen. Wij kunnen allemaal ons steentje bijdragen dit veilig genoeg te maken, vanuit onze eigen rol. Wat we uiteindelijk niet kunnen doen, is het tegenhouden.
Thuiswerken betekent in feite een extensie van de bedrijfs ICT infrastructuur tot bij de medewerker thuis. Dat is voor veel IT afdelingen al een grote stap. Los van de vraag of security nu een taak is voor de IT afdeling is het natuurlijk zo dat de IT afdeling geen zeggenschap heeft over de thuiswerker zelf. Dat is meer een zaak van de personeelsafdeling en de contractuele afspraken tussen werkgever en werknemer.De mens is de zwakke schakel ongeacht of die nu thuiswerkt of op kantoor zit. Want dat onderscheid tussen thuis en op kantoor werken verondersteld dat het op kantoor wel veilig is. Onveilig gedrag zal ondanks de vele goede beveiligingsmogelijkheden die er voor zowel thuis als op het werk zijn steeds een risico blijven. Dus het creëeren van awereness en het onderhouden hiervan is en blijft essentieel. Daarnaast is duidelijk en gedragen beleid nodig vanuit de organisatie. Dat beleid moet niet vanuit de ICT afdeling komen. Security is een algemene management verantwoordelijkheid, het gaat immers om de performance en continuïteit van het bedrijfsproces. De IT afdeling kan dan in uitvoering van dat beleid thuiswerken faciliteren en een goede beveiligingsinfrastructuur bieden. Denk hierbij aan technische maatregelen als NAC/NAP, VPN, content scanning, tokens, smartcard authenticatie etc. Voor die beveiliging is het dan zinnig om ook daar op basis van een risico analyse een zekere gelaagdheid in aan te brengen. Bijvoorbeeld de authenticatie policy voor toegang tot SAP: zowel thuis of op kantoor alleen op basis van sterke authenticatie.
Waar heb ik eerder zo’n pracht verhaal gehoord, ergens op de hei voor Info Products …. van trekkende indianenstammen die inspelen op veranderingen. Toen lag het niet aan het algemeen management maar kregen de indianen de schuld. Groet Klukkluk