blog 27 mei 2021  |  Workspace

Thuiswerken beveiligen

Type
blog
Dienst
Workspace
Author
Jake Story
Datum
mei 2021

Inleiding

De meeste organisaties waren in 2020 gedwongen om voor het merendeel van hun personeelsbestand werken op afstand in te voeren. Het blijkt dat veel werknemers de verkregen extra flexibiliteit waarderen. Dit en nog veel zijn we te weten gekomen uit ons begin 2021 uitgevoerde onderzoek onder IT-leiders, waarin we vroegen hoe ze zich hadden aangepast aan de pandemie en wat ze in de toekomst verwachten te gaan zien. Slechts 10 procent van de respondenten zegt dat ze van plan zijn om iedereen fulltime naar kantoor terug te halen.

In dit rapport hebben we onze onderzoeksresultaten gecombineerd met onze expertise om enkele observaties te delen over hoe uitdagingen op het gebied van security, werken op afstand, IT-beleving en cloud het beste kunnen worden aangepakt. Het rapport is opgesplitst in drie secties: ‘risico's voor werken op afstand’, ‘post-Covid IT en de cloud’ en ‘naadloze werknemerservaring’ welke je snel kunt bereiken via de onderstaande links:

  1. Inleiding
  2. Risico's voor werken op afstand
  3. Een naadloze werknemerservaring
  4. Post-Covid IT en de cloud
  5. Conclusie.
Lady working from sofa – securing the remote workforce blog

Inleiding

Werken op afstand vraagt aanpassing aan organisaties. Ten eerste moeten de nieuwe werkmethoden veilig zijn. In de haast om op grote schaal over te schakelen naar werken op afstand zijn er bochten afgesneden. Er was geen tijd om personeel te trainen in de beveiliging van thuiswerken of om te bekijken hoe apparaten worden beveiligd. Ook is schaduw-IT is verleidelijk voor thuiswerkers en bestaan er een aantal uitdagingen rond de beveiliging van thuisnetwerken die moeten worden aangepakt.

Ten tweede zullen externe medewerkers zelfs meer dan nu afhankelijk zijn van de cloud. We hebben in 2020 een toegenomen cloud-acceptatie gezien en er zijn geen tekenen dat bedrijven dit terugdraaien. In feite is het omgekeerde waarschijnlijker. Veel bedrijven zullen niet alleen hun cloud-gebruik uitbreiden, maar ze zullen ook meer dan één platform gaan gebruiken. Zoals we zullen zien, heeft multi-cloud-beveiliging bijzondere aandacht nodig.

Ten slotte moeten organisaties ervoor zorgen dat hun werknemers de applicaties, apparaten en connectiviteit krijgen die ze nodig hebben om snel en veilig hun werk te doen, waar ze ook zijn. Werknemers zullen eerder denken als consumenten en verwachten dezelfde soort naadloze IT-ervaring die ze krijgen van hun persoonlijke technologie. Bedrijven die hierin tekortschieten, zullen het moeilijk vinden om personeel aan te trekken en te behouden.

Laten we eerst kijken naar de uitdagingen van het beveiligen van externe werknemers.

Risico's voor werken op afstand

Schaduw-IT en endpoint security

Een van de meest urgente problemen is het gevaar van schaduw-IT, de nachtmerrie voor de IT-afdeling. 47 procent van de IT-specialisten zegt te hebben gezien dat gebruikers tijdens de pandemie hun toevlucht hebben gezocht tot schaduw-IT om hun werk gedaan te krijgen. Dat is begrijpelijk: veel werknemers waren thuis, vaak zonder voldoende training om alles te doen wat ze moesten doen, en niet uitgerust om hun eigen IT-afdeling te zijn. Niet elk geval van schaduw-IT hoeft te worden uitgebannen - een deel ervan zal onschadelijk zijn - maar geïnformeerde werknemers zullen betere beslissingen nemen.

Het tweede punt van zorg betreft het gebruik van bedrijfsapparatuur door werknemers. Veel meer mensen hebben laptops of smartphones van hun bedrijf gekregen. Deze nieuwe eindpunten zijn immers veilig, toch? Heb je dat gecontroleerd voordat je ze verstuurde? Werknemers gaan die laptops en smartphones gebruiken om te werken, waar ze ook zijn. En er is een kans dat ze die apparaten in de trein laten liggen, hun wachtwoorden op een papiertje schrijven en dat op het toetsenbord plakken en zo over het algemeen beveiligingsproblemen veroorzaken.

Naast de apparaten zelf bevinden jouw gebruikers zich waarschijnlijk op netwerken die niet veilig zijn. Een recente studie van 127 populaire routers wijst uit dat elk van hen kritieke kwetsbaarheden heeft. Deze variëren van gemakkelijk te raden inloggegevens (de gebruikersnaam en het wachtwoord kunnen hard gecodeerd zijn als "admin") tot apparaten die zelden worden gepatcht. Een derde van de geteste routers draait een Linux-versie die voor het laatst werd bijgewerkt in 2011.

Beveiliging van het thuisnetwerk

De IT-afdeling kan het kantoornetwerk beheren, maar er is geen manier om het thuisnetwerk van elke externe medewerker te controleren. Als de router van een medewerker is gecompromitteerd, zijn allerlei soorten aanvallen mogelijk, waaronder het omleiden van gebruikers naar websites die echt lijken te zijn, maar die zijn ontworpen om inloggegevens te stelen.

Veel bedrijven omzeilen het probleem door werknemers te verplichten om via een Virtual Private Network (VPN) toegang te zoeken tot bedrijfstoepassingen, maar helaas wordt dit niet overal gedaan. Uit ons onderzoek blijkt dat slechts 29 procent van de respondenten zegt een VPN te gebruiken. Bijna net zoveel - 26 procent - zegt dat ze applicaties gebruiken die op computers lokaal zijn geïnstalleerd.

Een andere oplossing is SD-WAN-technologie (Software-Defined Wide Area Network). Door de netwerk-infrastructuur te virtualiseren voorziet dit in een nieuwe manier om bedrijfsnetwerken te realiseren. Dit in plaats van eigen hardware te moeten inzetten. Het netwerk kan worden ontworpen om prioriteit te geven aan, op cloud gebaseerde applicaties. Ongeacht of een werknemer thuis of op kantoor verbinding maakt. Het is mogelijk beveiligingsfunctionaliteit toe te voegen zonder dat er extra apparatuur nodig is.

De uitdaging om thuiswerkers te beveiligen blijft bestaan. Om de beste oplossing te vinden, kun jij het beste samenwerken met een aanbieder die de ervaring en de kennis van jouw sector heeft om te bepalen wat in jouw specifieke omstandigheden werkt. Het is bovendien belangrijk om te bedenken hoe beveiliging past in de algehele werknemerservaring - en dat is waar we het hierna over gaan hebben.

 

"Volgens bijna vier vijfde (78%) van de ondervraagde IT-leiders is het essentieel om te beschikken over de juiste technologie."
Man Working from Cafe – securing the remote workforce

Een naadloze werknemerservaring

De werknemers van vandaag verwachten een ervaring die lijkt op wat ze gewend zijn als consument. Ze hebben minder geduld dan ooit voor verwarrende, onbetrouwbare of gefragmenteerde IT-systemen op hun werkplek.

Wanneer ze op afstand moeten werken, kunnen die frustraties toenemen, waardoor de kans groter wordt dat medewerkers opbranden of zelfs hun baan opzeggen. Meer dan de helft van de respondenten in onze enquête (54%) zegt dat de verschuiving naar thuiswerken het risico op burn-out heeft vergroot. Volgens bijna vier vijfde (78%) van de ondervraagde IT-leiders is het essentieel om te beschikken over de juiste technologie.

 

Het juiste gereedschap kiezen

Gebruiksgemak is erg belangrijk. Gebruikers willen niet aan IT moeten denken en als het goed werkt, zouden ze er zelfs niets van hoeven merken. Ze willen een naadloze ervaring waarbij ze niet constant moeten in- en uitloggen op verschillende systemen en zichzelf voortdurend moeten authenticeren. Gelukkig kan dit worden geregeld zonder de beveiliging in gevaar te brengen.

Voor degenen die van plan zijn om meer Microsoft Azure te gaan gebruiken, is er het goede nieuws dat veel van de Office365-functionaliteit security-by-design ondersteunt voor veilig werken op afstand. Bovendien biedt Microsoft een reeks beveiligingstools, zoals Microsoft Endpoint Manager, compliance-tools, Advanced Threat Protection (ATP) voor Sharepoint en meer. Wij hebben met organisaties samengewerkt om een geharmoniseerde staat van beveiliging te creëren met behulp van Microsoft-licenties waar zij toch al voor betaalden. 

We hebben dit geleverd voor Soteria Insurance, waarbij we het hele IT-domein opbouwen en beheren op basis van hun eisen aan beveiliging en compliance, terwijl we een consistente, gebruikersvriendelijke omgeving bieden. Het eindresultaat is een zeer veilige omgeving die de integriteit van bedrijfsgegevens waarborgt en die voor de eindgebruikers gewoonweg werkt, waardoor zij hun taken kunnen uitvoeren zonder dat IT ooit in de weg zit.

Frustratie van gebruikers verminderen

De recente veranderingen in de manier van werken kunnen een bron van frustratie zijn, aangezien IT-afdelingen moeite hebben om bij te blijven. Het is beter om de veranderingen als een kans te zien om de balans op te maken van jouw beveiligingsaanpak en om ervoor te zorgen dat deze geschikt is voor het beoogde doel zonder de gebruikers te frustreren.

Hoe ga je daar als bedrijf mee om? De beslissing over welke softwaretool je moest gebruiken, werd altijd genomen door techneuten. Nu is het een breder business-vraagstuk. Professionals gebruiken meer technologie dan vroeger en moeten zelf meer verantwoordelijkheid nemen voor het beheer, waar ze voorheen op een expert konden vertrouwen. Als ze daar niet in slagen, zullen ze waarschijnlijk overschakelen op schaduw-IT om hun werk te kunnen doen. Bijvoorbeeld voor videovergaderingen Zoom gebruiken in plaats van Teams, of bestanden te delen via Whatsapp.

Als ze voortdurend IT-frustraties oplopen, krijgen ze waarschijnlijk een burn-out of gaan ze elders werk zoeken, idealiter in een bedrijf waar de technologie wél naadloos aansluit. Om dit risico vandaag te minimaliseren, moeten waarschijnlijk cloud-services worden geïntegreerd, en wel op zo’n manier dat deze veilig blijven. Laten we eens kijken hoe we die uitdaging het hoofd kunnen bieden.

 

"De helft van de bedrijven in ons onderzoek (52 procent) heeft in 2020 hun gebruik van cloud-technologieën verhoogd."

Post-Covid IT en de cloud

Veel bedrijven hebben hun cloud-strategie in 2020 versneld. Ze zijn van plan het momentum gaande te houden. De cloud is van vitaal belang in de wereld na de pandemie en zij speelt een centrale rol in de digitale transformatie op langere termijn. De uitdaging is om alles voor elkaar te krijgen als de budgetten krap blijven.

De helft van de bedrijven in ons onderzoek (52 procent) heeft in 2020 hun gebruik van cloud-technologieën verhoogd. Vele zijn van plan om meer workloads naar de cloud te verplaatsen. Bijna twee vijfde (38 procent) is van plan om naar Azure te verhuizen, 15 procent naar AWS en 10 procent naar een Private Cloud.

Uit onze enquête blijkt dat tweevijfde van de respondenten (40 procent) zegt dat ze workloads naar meer dan één platform willen verplaatsen, terwijl drie procent zegt dat ze er maar liefst vijf zouden gebruiken. Zo'n multi-cloud-strategie komt steeds vaker voor. Volgens een recent rapport van Flexera heeft 93 procent van de ondernemingen een multi-cloud-strategie. Bedrijven kiezen voor een multi-cloud-aanpak omdat ze daarmee de beste oplossing voor een specifieke use case kunnen realiseren en hun afhankelijkheid van één provider kunnen verminderen.

Een aanzienlijke meerderheid (62%) van de ondervraagden zegt echter dat hun IT-budget hetzelfde is gebleven, dus dat ze meer zullen moeten doen met dezelfde middelen. Het goede nieuws is dat cloud-diensten niet buitensporig duur hoeven te zijn. Methoden en technologieën die zijn ontwikkeld voor organisaties op een schaal van bedrijven als Netflix, druppelen door naar het MKB. De uitdaging is om te identificeren welke de moeite waard zijn om in te investeren.

Er zijn enorme voordelen, maar bij elke cloud-strategie moet zorgvuldig worden gelet op beveiliging. Dit geldt met name voor multi-cloud, waar beveiliging door de kieren kan glippen. Dit wordt waarschijnlijk een uitdaging. In onze enquête zegt meer dan de helft van de respondenten (54 procent) dat 'het ingewikkeld is' toen hen werd gevraagd naar het beveiligen van werken op afstand. 

Hardware Firewalls zijn niet genoeg. Organisaties moeten rekening houden met versleuteling, bescherming tegen geavanceerde dreigingen (ATD) en malware, Single Sign-On (SSO) en toegangscontrole. En het zijn niet alleen de koppelingen tussen Public Cloud-platforms die moeten worden beveiligd. Veel organisaties hebben ook een Managed Private Cloud als onderdeel van hun omgeving, en ook dit maakt deel uit van het beveiligingsplaatje.

Dit leidt potentieel tot een groter dreigingslandschap en het verdwijnen van de netwerk-perimeter, ooit de frontlinie van cyberveiligheid. Tegenwoordig gaan steeds meer organisaties voorbij aan het inherente vertrouwen in het netwerk, in de terechte veronderstelling dat dit al gehacked is. Er wordt een nieuwe verdedigingslinie gecreëerd rondom applicaties. Elk verzoek aan het netwerk moet worden geverifieerd op identiteit, context en naleving van het securitybeleid.

Naast deze Zero-Trust-benadering zouden bedrijven moeten zoeken naar bedrijfsapplicaties die secure-by-design zijn. Wanneer beveiliging tijdens de ontwikkeling moet concurreren met andere functionele eisen, kan zij gemakkelijk over het hoofd worden gezien of een lagere prioriteit krijgen, waardoor beveiligingsproblemen eenvoudig worden uitgesteld voor later. Steeds meer ontwikkelaars en serviceproviders zetten zich in voor een secure-by-design-benadering die beveiliging al inbedt in het ontwikkelingsproces.

Bij het plannen van hun cloud-strategie moeten bedrijven goed kijken naar wat ze al hebben en bepalen hoe ze de meeste waarde uit hun bestaande omgeving halen. Als een nieuwe dienst of provider nodig is, is het essentieel om ervoor te zorgen dat beveiligingsprocessen worden herzien, aangepast en doorontwikkeld om de behoeften van de business veilig te accommoderen.

 

Man working from Kitchen table – securing the remote workforce

Conclusie

De problemen die in dit rapport aan de orde komen, zijn verreikend. De oplossing vereist een aanhoudende, gezamenlijke aanpak. De meerderheid van onze respondenten (53%) zegt dat wanneer ze geen expertise in huis hebben, ze samenwerken met een specialist. Dat is zeker de manier om deze uitdagingen sneller de baas te worden. Dat houdt echter meer in dan het uitbesteden van een enkel project. Organisaties hebben een partner nodig die hen door deze uitdagingen heen leidt en die hun aanpak in de loop van de tijd kan herhalen en doorontwikkelen. 

 

Een voorbeeld hiervan is multi-cloud, waarvan 40 procent van de respondenten zegt dat het op hun roadmap staat. Het wordt steeds belangrijker om samen te werken met een partner die voor alle cloud-services echt toezicht kan houden op data, applicaties en compliance. Dit helpt organisaties overzicht te behouden en ervoor te zorgen dat stille hoekjes van het IT-domein niet vergeten worden.

Ekco heeft een zeer betrouwbare reputatie opgebouwd voor het leveren van transformatieprojecten in een reeks industrieën, met een bijzonder specialisme binnen de streng gereguleerde ruimte. Onze agile, cloud-native aanpak zorgt voor duurzame verandering door bedrijfsverbeteringen, kostenreductie en snelle levering.

Neem contact met ons op als jij voor één van de uitdagingen staat die uit ons onderzoek naar voren zijn gekomen. Het begint allemaal met een open gesprek met onze experts - vertel ons waar jij vandaag bent en waar je wilt zijn. We leveren de roadmap om jou daar te krijgen.

Contact met Ekco

Stuur mij een bericht en ik help je graag verder.

Laat gerust een bericht achter en dan neem ik, Bart, of iemand anders zo spoedig mogelijk contact met je op. Liever direct iemand aan de lijn? Bel ons dan op onderstaand nummer, er zit altijd iemand voor je klaar. 

Laat een bericht achter of bel +31 85 822 7900