In 2020 werd het belang van digitalisatie meer dan ooit duidelijk, zeker voor bedrijven. Zelfs wanneer een werknemer ziek thuis zit of onbereikbaar is, kunnen collega’s dankzij digitale oplossingen en ‘de cloud’ toch aan de nodige bestanden geraken. Daarnaast is reizen momenteel afgeraden, waardoor samenwerking over de grenzen heen moeizamer verloopt. Een digitaal systeem zorgt daarbij voor verbondenheid zodat communicatie waar en wanneer dan ook feilloos verderloopt. Maar al dat digitaal afstandswerken, telewerken, thuiswerken, home office… is niet zonder risico’s. In dit artikel kijken we naar het belang van informatiebeveiliging tijdens telewerken.
ISO/IEC 27001
ISO/IEC 27001 beschrijft de vereisten van een kwaliteitsvol managementsysteem voor informatieveiligheid. Bijlage A van die norm omvat een lijst met 35 doelstellingen en bijhorende maatregelen die de minimumvereiste vormen om gecertificeerd te worden. Die tabel geeft echter geen praktische uitwerking van de maatregelen. Daarvoor neemt men best een kijkje in de ISO/IEC 27002: de praktijkcode voor informatiebeveiligingscontroles. In een honderdtal pagina’s worden de 114 maatregelen per doelstelling uitgebreid toegelicht. In dit artikel nemen we één van die maatregelen onder de loep: 6.2.2 telewerk.
De norm schrijft voor dat een organisatie een passend beleid en passende veiligheidsmaatregelen voorziet ter bescherming van informatie die tijdens het telewerken wordt geraadpleegd, verwerkt of opgeslagen. Telewerken wordt gedefinieerd als eender welke vorm van werk die niet op bureau uitgevoerd wordt, zoals thuiswerk, flexwerken of werken in een virtuele omgeving.
Een veilige fysieke en virtuele werkomgeving
De toegang tot de virtuele werkomgeving is eveneens een aandachtspunt. Remote access tot interne systemen van de organisatie moet veilig verlopen zodat alleen bevoegde personen de informatie in die systemen kunnen verwerken. Ook familie of vrienden die, al dan niet per ongeluk, toegang tot informatie hebben, worden gezien als een bedreiging van informatieveiligheid. Bij apparaten en netwerken die voor telewerk gebruikt worden, moeten er voldoende maatregelen omtrent firewalls, encryptie en bescherming tegen malware genomen worden.
Een eigen laptop of een laptop van het werk?
Er moeten maatregelen voorzien worden die vermijden dat (gevoelige) informatie op privé-apparaten gebruikt en opgeslagen wordt. Die apparaten kunnen namelijk moeilijk door de organisatie beheerst worden, onder andere door wetgevingen over privacy en privé-eigendom (bv. GDPR). De beste optie is om de informatie in een operationele virtuele omgeving, zoals die van Phronesys, te houden.
Verder bestaan er risico’s rond inbreuk op eigendomsrechten en (software)licenties. Zo verbieden verschillende softwareontwikkelaars, waaronder Microsoft Office, dat individuen hun eigen persoonlijke versie (bijvoorbeeld Microsoft Office Home) voor commercieel gebruik inzetten. Dat wilt zeggen dat werknemers ook tijdens het telewerken verplicht zijn om de versie met een commerciële licentie van de werkgever te gebruiken. Die licentie staat meestal niet op privé-apparaten geïnstalleerd.
De richtlijn ISO/IEC 27002 verkiest dan ook de optie waarbij werkgevers hun medewerkers voorzien van de geschikte apparaten voor telewerk en het gebruik van privé-apparaten ontmoedigen. Zo kan men de verschillende eisen die aan informatiebeveiliging gesteld worden, beter opvolgen:
- Veilige toegang op afstand waarborgen
- Ondersteuning en onderhoud van hardware en software(licenties)
- Eenvoudigere controle op veiligheid zonder schending van privacy
Protocol en procedures
Naast het voorzien van een apparaat voor telewerk, is het ook een goed idee om een protocol omtrent gegevensbescherming en informatiebeveiliging tijdens telewerk uit te werken en op te leggen. Daarin kan men volgende elementen opnemen:
- een definitie van de toegestane werkzaamheden;
- de werktijden;
- de classificatie van de gegevens die kunnen worden verwerkt;
- de interne systemen en diensten waartoe de telewerker toegang heeft;
- richtlijnen over toegang van huisgenoten tot het apparaat en de informatie.
Uiteindelijk is er ook nood aan procedures die back-ups en business continuity tijdens het telewerk garanderen. Denk bijvoorbeeld aan procedures om (toegangs)rechten en bevoegdheden op afstand te beheren, in het geval dat – tijdens een periode van telewerk – iemands (telewerk)activiteiten eindigen of iemand van functie verandert. Daarbij moet ook rekening gehouden worden met het teruggeven van materiaal.
Er komt dus heel wat bij kijken wanneer je je bedrijfsinformatie veilig wilt houden tijdens telewerk. Begin het proces met een risicoanalyse om alle risico’s te inventariseren en beoordelen. Afhankelijk van hoeveel en welke informatie er tijdens het telewerk gehanteerd wordt, zullen de genomen maatregelen strenger of zwakker zijn.
Je staat er niet alleen voor
Hoe helpt een digitale tool zoals Phronesys jou bij deze taken?
- Vlieg door je risicoanalyses met behulp van eenvoudige, ready-made flows;
- Beheer waar én wanneer je maar wilt alle rechten en bevoegdheden;
- Volg eenvoudig uw processen digitaal op met bijhorende doelstellingen en SMART KPI’s;
- Win dankzij automatisch gegenereerde rapporten zeeën van tijd voor analyses en daadwerkelijke continue verbetering;
- Verwerk je informatie altijd met een gerust hart in onze 100% veilige digitale omgeving.