Basismaatregelen veilig thuiswerken en voorkom Shadow IT

Bijna heel Nederland is genoodzaakt thuis te werken door de nare omstandigheden die nu ons land beheersen. Thuiswerken vergt naast het vertrouwen van de werkgever ook discipline van de werknemer. Maar nog veel belangrijker is dat het op een veilige manier gebeurt en de werknemer zich bewust is van de gevaren die er zijn bij het gebruik van externe communicatiemiddelen. Communicatiemiddelen om elkaar te contacten of informatie te delen. Wat zijn nu de risico’s en hoe kun je je hiertegen wapenen?

Risico’s zowel op het gebied van privacy als informatiebeveiliging:
Een van de grootste risico’s die er ontstaat bij thuiswerken is Shadow-IT. Het gebruik maken van tools die niet door de IT-afdeling ondersteund worden zoals Whatsapp, Zoom, Wetransfer, Dropbox of Google Drive, maar ook USB-sticks of het gebruik van privé-laptops. Bij de inzet van deze communicatiemiddelen is er geen controle over de data die verstuurd wordt en inzicht in het veilig gebruik van deze middelen. De IT-afdeling heeft geen controle over de beveiliging hiervan en gebruikers weten vaak niet hoe ze deze veilig moeten gebruiken. Dit noemen we Shadow-IT.

Daarnaast zijn er ook cybercriminelen die misbruik maken van de situatie die ontstaan is en via phishing proberen computervirussen en ransomware te verspreiden of persoonlijke gegevens te achterhalen. Door de grote stroom aan nieuwsberichten over het coronavirus zijn gebruikers minder op hun hoede voor e-mails met ongebruikelijke verzoeken die vanwege het coronavirus nodig zouden zijn.

Welke maatregelen kun je als organisatie nemen?
Als organisatie is het van belang dat je keuzes maakt hoe veilig thuis te werken en daarvoor procedures en protocollen opstelt, zodat het voor iedereen duidelijk is wat wel en niet toegestaan is. Procedures met betrekking tot het delen van informatie hoe en in welke vorm en het gebruik van applicaties met betrekking tot videobellen.

Persoonsgegevens mogen vanwege de AVG alleen worden gedeeld als daar een juiste grondslag (reden) voor is. Het delen van een sheet met persoonsgegevens via Excel met een gehele afdeling kan ook een datalek zijn. Alléén de medewerkers voor wie het noodzakelijk is deze gegevens te ontvangen mogen toegang krijgen. Leg dit vast in een procedure en geef aan met welke communicatiemiddelen deze informatie gedeeld mag worden.

Basismaatregelen die de medewerkers zelf kunnen en moeten hanteren :
•    Zorg voor een beveiligde WiFi thuis.
•    Gebruik een gezonde vorm van wantrouwen bij het lezen van mail en openen van links.
•    Zorg dat de werk PC alleen voor werk gebruikt wordt en niet voor privé-doeleinden.
•    Gebruik de applicaties die het bedrijf voorstelt, overleg met IT-beheerders of je andere toepassingen mag gebruiken.
•    Printen – indien toegestaan, vernietig de papieren.
•    Let op dat er bij vertrouwelijke gesprekken (of eigenlijk altijd) geen Google Home, Alexa of andere apparaten aan staan.
•    Tóch informatie delen via een ongebruikelijke weg? Niet alleen via een link of e-mail, maar verpak het bijvoorbeeld in een zip-bestand met een wachtwoord, stuur het wachtwoord via SMS of Whatsapp.

De volgende acties kun je als organisatie nemen:
•    Informeer je medewerkers over de risico’s en de maatregelen die de organisatie genomen heeft met betrekking tot veilig thuiswerken, regels en protocollen.
•    Systemen en remote gebruikers moeten voorzien zijn van de laatste updates.
•    Geef aan dat er een meldplicht geldt voor incidenten zoals het lekken van data en op welke manier en bij wie dit gemeld moet worden.
•    Informeer medewerkers dat het aantal phishingmails toeneemt door het coronavirus, zodat ze zich hier bewust van zijn en alert hierop zijn. Geef tevens aan dat er een meldplicht geldt zoals hierboven aangegeven.

Voor ondersteuning of meer informatie neemt u gerust contact met ons op via info@pinewood.nl of via tel.nr. 015-2513636. Wij helpen u graag verder.

 

Wet - en regelgeving

Vanaf 25 mei 2018  wordt de wet Algemene Verordening Gegevensbescherming (AVG) beter bekend als GDPR van kracht....

Phishing

Uw medewerkers bewust maken van de gevaren van het internet is een continu proces.Wist u dat 5% van uw medewerkers op...

ISO27001

Steeds meer organisaties hebben te maken met complexe IT-vraagstukken. Maar wat betekent dit op het gebied van...

DDoS

Een DoS- of DDoS-aanval is er op gericht een dienstverlening (service) te verstoren, waardoor de continuïteit van uw...

Ransomware anno 2019

Ransomware! Het woord gonst al een aantal jaar rond in securityland. Helaas is het niet bij een hype gebleven maar is...