Social distancing is intussen voor iedereen een bekende term en veel bedrijven hebben hun werknemers toestemming verleend om vanuit huis te werken. Het alternatief is namelijk: het hele bedrijf stilleggen. Maar al dat thuiswerken levert de IT-afdeling wel allerlei hoofdbrekens op.
Eén daarvan is 'schaduw-IT': het gebruik van software of apparaten die niet door de IT-afdeling zijn goedgekeurd of toegestaan. Of je het nu werken op afstand, telewerken of thuiswerken noemt: bedrijven die voor het eerst te maken krijgen met dit fenomeen moeten goed nadenken over schaduw-IT en de potentiële risico's voor hun bedrijfsvoering en beveiliging. Sommige bedrijven zijn nu voor het eerst aan het experimenteren met thuiswerken en zijn zich niet bewust van de risico's die dit met zich meebrengt. Zoals bij de meeste bedrijfsprocessen moet er eerst een planning worden gemaakt.
Een plan maken voor werken op afstand
Idealiter zou je als bedrijf in een noodsituatie zoals nu het geval is, werken vanuit huis alleen toestaan als er een gedetailleerd IT-plan is om het risico te minimaliseren. In zo'n plan moeten dan mogelijke problemen en bijbehorende oplossingen staan om risico's te beperken zonder dat de beveiliging in gevaar komt. Iedereen moet meewerken om bescherming tegen schaduw-IT te kunnen waarborgen. De gebruikte methodes variëren, afhankelijk van de richtlijnen van het bedrijf en of de verbonden apparaten al dan niet bedrijfseigendom zijn. Om de redenering achter bepaalde maatregelen te verduidelijken, hebben we een lijstje met aandachtspunten opgesteld en beschrijven we per situatie een mogelijke oplossing. Hieronder staan de aandachtspunten in willekeurige volgorde.
1. Informatie delen met gebruikers
Aandachtspunt: Gebruikers weten niet wat hun verantwoordelijkheden zijn op het gebied van beveiliging.
De IT-afdeling is onder meer verantwoordelijk voor gegevens- en netwerkbeveiliging. Beveiligingsmaatregelen zijn niet bedoeld om alles en iedereen te controleren, om te laten zien hoe belangrijk het IT-team is of om de productiviteit af te remmen. En hoewel gefrustreerde gebruikers lastig kunnen zijn, zijn de taken van de IT-afdeling contractueel vastgelegd en dat geeft IT officiële toestemming om risico's zoveel mogelijk te beperken.
Met input van alle afdelingen moet er een definitief plan voor thuiswerkers opgesteld worden en dit plan moet gedeeld worden met alle gebruikers. Hierin moeten ook de redenen worden aangegeven voor de specifieke maatregelen die zijn genomen. Anders gaat het personeel zelf dingen bedenken om deze maatregelen te omzeilen. Bijvoorbeeld: als een bedrijf niet wil dat cloudopslag wordt gebruikt door thuiswerkende medewerkers, dan moet dat met duidelijke uitleg in het plan vermeld staan. Als het plan eenmaal officieel is verspreid, kunnen gebruikers niet meer beweren dat ze niet op de hoogte waren van de beveiligingsrichtlijnen voor thuiswerken.
2. Gegevensbeheer
Aandachtspunt: Delen van gegevens buiten het bedrijfsnetwerk.
Het IT-plan bevat ongetwijfeld al een onderdeel over gegevensbeheer. Alle bedrijven moeten namelijk voldoen aan wet- en regelgeving op het gebied van gegevensbescherming en beveiliging, ongeacht het rechtsgebied waarin ze zich bevinden. En om te voldoen aan wettelijke eisen ten aanzien van e-discovery of compliance moeten bedrijven weten wie er op welk moment toegang heeft gekregen tot hun gegevens. Bij werken op afstand wordt dit gecompliceerd door BYOD en in de huidige situatie doordat er mogelijk apparaten zoals een thuiscomputer met gedeelde toegang voor alle gezinsleden worden gebruikt. Tel daar ook nog eens het ongeautoriseerd delen van bestanden of het gebruik van opslagdiensten in de cloud bij op, en dan begrijp je wat het probleem is. Hoe kan de IT-afdeling bedrijfsgegevens beschermen en apparaten monitoren waar ze geen controle over hebben?
Daarom is er voor de meeste thuiswerkoplossingen een externe verbinding met het bedrijfsnetwerk vereist of toegang via een goedgekeurd platform zoals Basecamp (als videoconferencing nodig is, wordt er een betrouwbare oplossing gekozen). De betreffende gegevens verlaten het systeem niet, zodat volledige traceerbaarheid is gewaarborgd.
3. Niveau van monitoring
Aandachtspunt: IT heeft geen beheerderscontrole over apparaten.
Als gebruiker ben ik er fel op tegen dat een bedrijf als beheerder controle krijgt over mijn apparaat. Toch staan veel mensen dit toe en worden er allerlei BYOD-richtlijnen opgesteld. IT-beheerders kunnen vervolgens gedeeltelijk de controle overnemen door een partitie te maken en monitoringsoftware te installeren op de aan het bedrijf toegewezen partitie. Een betere oplossing is om het personeel apparaten te geven die eigendom zijn van het bedrijf, zodat de IT-afdeling alle controle in handen heeft zonder dat ze zich eerst hoeven te verontschuldigen of de gebruiker om toestemming moeten vragen.
4. Softwarelicenties
Aandachtspunt: Het aantal softwarelicenties komt niet overeen met het aantal gebruikers dat de software heeft geïnstalleerd.
Hoewel de meeste bedrijven de mogelijkheid om software te installeren hebben uitgeschakeld, installeren gebruikers – wanneer BYOD of persoonlijke apparaten worden gebruikt – soms toch software om hun productiviteit te verhogen. In het algemeen zitten daar geen kwade bedoelingen achter, maar het is wel zo dat het bedrijf aansprakelijk is wanneer er een licentiecontrole plaatsvindt. Als het bedrijf vervolgens in overtreding blijkt te zijn, kunnen de boetes oplopen tot honderdduizenden euro's.
Bovendien bestaat de kans dat de software, vooral als deze illegaal gedownload is, malware bevat waarmee toetsaanslagen worden geregistreerd, wachtwoorden worden gestolen of toegang tot uw bedrijfsnetwerk kan worden verkregen. De IT-afdeling eist dan ook dat goedgekeurde softwareoplossingen gebruikt worden, omdat ze weten dat deze betrouwbaar en veilig zijn – tenminste: zo lang updates en patches meteen geïnstalleerd worden. De vuistregel luidt: als bepaalde software niet als "Goedgekeurd" staat vermeld, gebruik de software dan niet. Mobiele apps vallen hier ook onder, omdat zelfs onschuldig lijkende apps of spelletjes onbedoeld een gegevenslek kunnen veroorzaken.
5. Toestemmingen en beperkingen
Aandachtspunt: Gebruikers maken ondanks de waarschuwingen actief gebruik van niet-goedgekeurde software en diensten.
In het algemeen gaat de IT-afdeling er pas in het uiterste geval toe over om gebruikers heel streng te controleren om te kijken of ze wel voldoen aan de standaard beveiligingspraktijken. Als de IT-afdeling voldoende toestemmingsrechten heeft op het apparaat, kan het IT-team een zwarte lijst aanmaken en de betreffende dienstverleners blokkeren. Dit kan onder meer gaan om bestandsopslag, VoIP-software of CMS-oplossingen. Neem maar van mij aan dat dit allemaal erg frustrerend is voor de IT-afdeling. Het is onmogelijk om te voorkomen dat gebruikers op zoek gaan naar alternatieve oplossingen, dus een dergelijke strenge aanpak is eerder reactief dan proactief.
6. Softwarebron (repository)
Aandachtspunt: Gebruikers worden gedwongen om hun eigen oplossingen te zoeken, omdat de IT-afdeling te langzaam reageert.
Ik moet toegeven dat gebruikers in dit opzicht soms wel een punt hebben. Sommige bedrijven houden nu eenmaal van bureaucratie, waardoor afdelingen die niets te maken hebben met de taken van IT (zoals de financiële afdeling) beslissen over het al dan niet aanschaffen van bepaalde software. Maar zelfs als de betreffende software gratis is, kan er toch vertraging optreden doordat de IT-afdeling andere prioriteiten heeft en de aanvragen van gewone gebruikers onderaan het stapeltje komen te liggen. Als de IT-afdeling echt in het hele bedrijf schaduw-IT wil elimineren en gegevensbeveiliging wil waarborgen als medewerkers thuis werken, dan is een softwarebron ('repository') essentieel.
Het zal geen verrassing zijn dat gebruikers vaak gewoon zelf het probleem oplossen, waarbij ze de software soms zelfs uit eigen zak betalen. Dit wordt aangeduid als de 'consumerization' van IT: gebruikers kunnen niet langer het geduld opbrengen om alle bureaucratische procedures van het bedrijf te doorlopen en regelen zelf binnen een paar minuten de voor hun werk benodigde software. Gebruikers doen dit, omdat ze het gevoel hebben dat hun eigen productiviteit op de tweede plaats komt en beveiliging de hoogste prioriteit heeft.
Zo slaat de IT-afdeling een slecht figuur, terwijl dat naar mijn mening niet nodig is. Het is echt niet zo moeilijk om een lijst met goedgekeurde software op te stellen. Uiteraard zitten er aan het installeren van Acrobat Pro, AutoCAD of MS Office een gebruikerslicentie en kosten verbonden, dus aanvragen voor dergelijke programma's moeten door een leidinggevende (bijvoorbeeld een afdelingshoofd) ingediend worden. De IT-afdeling kan vervolgens de juiste licentie toekennen of een gratis alternatief voorstellen.
Veel apps die de productiviteit verhogen zijn echter gratis en deze kunnen eenvoudig worden ondergebracht in een softwarebron (of een lijst met URL's voor de meest recente versie), zodat iedereen ze kan gebruiken. Denk bijvoorbeeld aan mediaplayers, programma's om bestanden te bekijken, converteren of comprimeren of om afbeeldingen te bewerken (zoals GIMP), en allerlei andere software – te veel om hier op te noemen. Als gebruikers bepaalde software willen gebruiken, laat de IT-afdeling deze dan controleren en na goedkeuring toevoegen aan de softwarebron ('repository'). Als de software niet door de controle komt, verbiedt dan het gebruik ervan.
Conclusie
Concluderend kunnen we zeggen dat veel van de problemen waar de IT-afdeling tegenaan loopt als gebruikers vanuit huis werken eigenlijk niet anders zijn dan wanneer gebruikers op locatie verbinding willen maken met het bedrijfsnetwerk. De IT-afdeling kan persoonlijke apparaten niet monitoren, tenzij in het BYOD-beleid is vastgelegd dat IT-medewerkers hier toestemming voor hebben. Dit maakt het wel iets ingewikkelder, maar de IT-afdeling kan ondersteuning bieden en het bedrijf kan de kosten vergoeden van de installatie van antivirus- en cyberbeveiligingsoplossingen op apparaten die de IT-afdeling niet kan monitoren. Als dit gedaan wordt, kan het IT-team ook een beetje ontspannen, in de wetenschap dat de apparaten van gebruikers zoveel mogelijk beschermd zijn tegen malware en andere bedreigingen, op dezelfde manier zoals dat op kantoor gebeurt.
7 november (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. En hij behandelt wat elke data-pr...
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht