Demi Grandiek – Business Consultant
De tweede lock-down dwingt ons opnieuw om volledig thuis te werken. Tenzij dit echt niet anders kan. Ondertussen raken we aan het thuiswerken steeds meer gewend. Dat betekent dat er ook ruimte ontstaat voor een scherpere blik op informatiebeveiliging bij werken vanuit huis.
Welke veiligheidsrisico’s zijn er bij het werken vanuit huis? De manier om deze in kaart te brengen, is die vanuit een risico-gebaseerde aanpak. Wat kan er misgaan?
De risico’s en bedreigingen bij thuiswerken zijn in de basis niet veel anders dan op de werkvloer. Meer in detail komen er wel nieuwe en andere uitdagingen voorbij, die aandacht verdienen. Zo ontbreekt de sociale controle van collega’s.
Een simpele ingesleten handeling als het beeldscherm vergrendelen wanneer je naar het toilet gaat, kan er hierdoor geleidelijk aan weer uit sluipen. En heb je er wel eens bij stilgestaan wie er allemaal over je schouder mee kan kijken? Wellicht niet letterlijk op je scherm maar mogelijk dat er wel documenten op je keukentafel liggen die vrienden, buren of de schoonmaker onbedoeld lezen. Thuis in de gevoelsmatige veilige omgeving staan medewerkers hier mogelijk minder bij stil.
Niet alleen het menselijke aspect is belangrijk. Ook de technische kant van informatiebeveiliging verdient aandacht. Heb je bijvoorbeeld gecontroleerd of alle medewerkers via een beveiligde internetverbinding werken?
En hoe werkt de toegang tot de systemen buiten het kantoornetwerk? Is tweefactorauthenticatie dan in werking gezet? Worden de apparaten waar medewerkers op werken ook thuis geüpdatet?
Deze nieuwe dimensie aan reële bedreigingen en risico’s moet je meenemen in je managementsysteem. Het is belangrijk om hier in je risicoanalyse, in een bewustwordingssessie, maar ook in de interne audit aandacht aan te besteden. Ook de externe auditor zal bekend zijn met het nieuwe normaal en kan zijn vragen en blik hierop aanpassen. Vervolgens is het van belang om de kans op missers beperkt te houden door een goede set aan ‘mitigerende maatregelen’ te bedenken en te implementeren.
Deze maatregelen kunnen bijvoorbeeld bestaan uit het faciliteren van een VPN verbinding, via welke medewerkers veilig kunnen internetten. Ook zou je een extra bewustwordingssessie in kunnen plannen of een thuiswerkprotocol kunnen opstellen. Bedenk daarbij welke praktische zaken mis kunnen gaan. De documenten op de keukentafel of een zoom/teamsessie waarbij het geluid via de luidsprekers komt in plaats van op je koptelefoon. Dat zijn mooie voorbeelden.
Leg alle hierboven genoemde situaties en stappen vast in een goed en duidelijk proces. Bij wie iemand moet zijn voor aanvraag van rechten. Benoem de rol van HR bij wijzigingen en bij het uit dienst gaan van medewerkers. Wie de toegangsniveaus van een nieuwe applicatie bepaalt, etc. Is in die situaties ook een 4-ogen principe gewenst?
Wanneer uw organisatie een managementsysteem heeft met de ISO 27001 als raamwerk dan is automatisch ingeregeld dat dit periodiek wordt gecontroleerd en geactualiseerd. Dat is belangrijk want voor u het weet is uw autorisatiematrix gedateerd.
Niet alleen de beveiliging van informatie verdient aandacht. Ook de medewerker zelf dient goed en veilig zijn of haar werkzaamheden uit te kunnen voeren. Daarvoor is belangrijk dat gezorgd wordt voor een arbo-technisch goede werkplek. Een tweede beeldscherm, een bureaustoel maar ook een toetsenbord en een muis moeten daarvoor tot de beschikking van de medewerkers komen.
Naast deze zaken, zijn er regels over rusttijden, reflecterende lichten in het beeldscherm en storende geluiden. Dit is moeilijker te controleren, maar dient in het gesprek met de medewerker wel een punt van aandacht te zijn.
Je kunt er voor kiezen om een afzonderlijk protocol op te stellen, of juist om de interne gedragscode uit te breiden met thuiswerkregels. De plek maakt niet uit. Belangrijk is dat je de medewerkers op de hoogte kan stellen van de regels en dat zij altijd op een later moment deze weer kunnen teruglezen.
De regels die je beschrijft kunnen onder andere betrekking hebben op de ruimte waarin de werknemer werkt. Dit gaat dan over informatiebeveiliging én de veilige inrichting van de werkplek. Is de werkplek bijvoorbeeld qua zicht en gehoor voldoende afgesloten van de buitenwereld?
Het thuiswerkprotocol is voor elke organisatie naar eigen behoefte in- en aan te vullen. Neem hier bijvoorbeeld in op van welke faciliteiten de medewerkers gebruik kunnen maken, maar ook waar zij zich moeten melden als zij vragen of problemen hebben. Verwijs nog eens naar het pauzebeleid of, indien deze er nog niet is, stel in het protocol vast hoe lang een medewerker aaneengesloten mag werken.
Zorg er ook voor dat de medewerker er bekend mee is dat huisgenoten of gezinsleden niet van hetzelfde account op de computer gebruik mogen maken. En stel ook specifieke regels over het beschermen van informatie, zoals papieren dossiers die normaal gesproken de werkplaats niet verlaten en het niet achterlaten van bedrijfsmiddelen in een geparkeerde auto.
De informatiesheet
Een protocol wordt vaak eenmaal gelezen en daarna gebruikt als naslagwerk. Toch wil je dat de regels wel tot de verbeelding spreken en beklijven. In aanvulling op het thuiswerkprotocol is het daarom aan te bevelen om een informatiesheet te maken. Dit is een onepager met mooie afbeeldingen, die de regels visueel weergeven. Denk aan een afbeelding van een bureaustoel met de juiste afmetingen. Maar denk ook aan een grappige cartoon waarop het helemaal mis gaat.
De bewustwordingssessie
In een bewustwordingssessie maak je de informatie uit het thuiswerkprotocol en de informatiesheet nog een stuk levendiger. Vertel tijdens een bewustwordingssessie over het waarom en het hoe. Gebruik daarbij voorbeelden en afbeeldingen, maar maak het vooral ook interactief.
Een interactieve bewustwordingssessie zorgt er namelijk voor dat de deelnemers bij de les blijven. Dit kan bijvoorbeeld door een quiz te maken met een win-element. Maar ook door een brainstormsessie in te lassen, waarbij in teams moet worden nagedacht over een perfecte oplossing, of juist over een doemscenario.
De thuiswerkbehoeften
Naast informeren is het ook belangrijk om informatie te vergaren. Met behulp van deze informatie kan een actieplan worden opgesteld voor het op de juiste manier faciliteren van de medewerkers. Stuur de medewerkers bijvoorbeeld een formulier waarin je vraagt of er beschikking is over een bureau, bureaustoel en tweede computerscherm. Maar vergeet ook zeker niet om te vragen of er behoefte is aan meer duiding op het gebied van informatiebeveiliging, of juist hulp bij het goed beveiligen van het thuis-netwerk.
Je collega’s hebben vaak ook partners en kinderen die thuiswerken. Niet iedereen zal daarom thuis een eigen kamer tot zijn of haar beschikking hebben. De keukentafel of het bed in de slaapkamer zijn vandaag de dag ook vaak de plaats voor de werkzaamheden. Dat vraagt om creativiteit en praktische oplossingen om toch goed en veilig te kunnen werken. Er is niet ‘one best way’.
We bespreken dit onderwerp met veel van onze klanten. Daar zien we veel mooie, creatieve, praktische en goede oplossingen. Mocht u tips willen of vragen hebben hoe om te gaan met bepaalde situaties. Aarzel niet om ons een mail te sturen of te bellen. We delen onze ervaringen en kennis graag met u.
Op een gezond én veilig 2021!
Blog geschreven door Demi Grandiek, Business Consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP