Werken op afstand en de donkere kant van schaduw-IT

Covid-19 heeft ons allemaal geconfronteerd met verhoogde informatiebeveiligingsrisico’s ten gevolge van massaal thuiswerken. Vanaf maart/april vorig jaar hebben IT-afdelingen in de hele wereld zich gehaast om hun medewerkers te ondersteunen toen die plotseling vanuit huis hun werk moesten doen. Die enorme inspanning was succesvol, maar het is nu tijd om goed na te denken over de gevolgen voor de IT-beveiliging. In onze vorige blog Thuiswerken: zo houd jij je medewerkers veilig hebben we gewezen op de gevaren van onveilige thuisnetwerken en publieke WiFi. In deze blog belichten we de donkere kant van schaduw-IT (‘shadow IT’) en het belang van veilige mobiele apparaten.

Schaduw-IT is een van de urgente security-problemen en het is een beveiligingsnachtmerrie voor elke IT-afdeling. Schaduw-IT is een door de gebruiker bedachte oplossing om iets gedaan te krijgen buiten de door het bedrijf beschikbaar gestelde – en toegestane – IT-voorzieningen. Denk aan het via het privé-mailaccount verzenden van bedrijfsgegevens omdat de bedrijfsmail platligt. Of aan het delen van bestanden via de eigen Dropbox ‘omdat dit zo gemakkelijk is’. En als Teams niet werkt, dan vergader je toch met Zoom?

Inbreuken, hacks en compliance-risico's

Tijdens de pandemie zei 47 procent van de IT-specialisten dat ze zagen dat gebruikers zich tot schaduw-IT wendden om hun werk gedaan te krijgen. Het is begrijpelijk: veel werknemers waren thuis, vaak zonder voldoende training om alles te doen wat ze moesten doen, en ze waren niet toegerust om hun eigen IT-afdeling te zijn. En IT-support had de handen meer dan vol. Je kunt niet verwachten dat mensen die worstelen met geheel nieuwe workflows en applicaties de risico’s begrijpen van het gebruik van niet-goedgekeurde tools om hun werk gedaan te krijgen.

Maar die risico’s zijn er, en ze zijn levensgroot: een grotere kans op datalekken, een groter dreigingslandschap en het mogelijk niet voldoen aan regelgeving of bedrijfseisen. Aan het begin van de digitale transformatie-trend vochten IT-afdelingen om schaduw-IT onder controle te krijgen. Die strijd moet misschien opnieuw worden gestreden en in grotere hevigheid.

Smartphones en laptops als risicofactor

Een tweede punt van zorg betreft het gebruik van bedrijfsapparatuur door werknemers. Veel meer mensen hebben bedrijfslaptops en smartphones gekregen. Die zullen ze waarschijnlijk niet meer hoeven in te leveren. Dat is geweldig. Maar hoe veilig zijn deze nieuwe endpoints eigenlijk? Heb je dat gecontroleerd voordat je ze verstuurde? Best belangrijk, want werknemers gaan die laptops en smartphones gebruiken om te werken, waar ze ook zijn. En natuurlijk zullen ze die apparaten in de trein laten liggen, hun wachtwoorden op een papiertje schrijven en dat op het toetsenbord plakken en over het algemeen beveiligingsproblemen veroorzaken.

De hackers cirkelen rond

Cybercriminelen en door de staat gesponsorde hackers hebben al misbruik gemaakt van de pandemie om hun phishing- en ransomware-aanvallen te vergroten. Hoe kun jij het risico verkleinen voordat we terugkeren naar het nieuwe normaal? Als dat nieuwe normaal ooit komt. Want in onze recente enquête over werken op afstand zei slechts 10 procent van de leidinggevenden dat ze van plan waren om iedereen weer fulltime op kantoor te laten werken. Daarnaast gaf 48 procent van de werknemers aan wel weer naar kantoor te willen, maar verder flexibel te willen blijven werken.

Wat kun jij doen?

Basisstappen om de risico’s te verkleinen zijn onder meer het herinneren van mensen aan best-practices op het gebied van beveiliging en het geven van training waar nodig. Niet elk geval van schaduw-IT hoeft te worden uitgeroeid – een deel ervan zal onschadelijk zijn – maar geïnformeerde werknemers zullen betere beslissingen nemen. Als mensen hun eigen apparaten gebruiken, kan een VPN of een speciaal werkprofiel enige bescherming bieden. Zorg ervoor dat jij inzicht hebt in jullie cloud- en netwerkvoorzieningen, introduceer beleid voor voorwaardelijke toegang en zero-trust IT. Zorg er ook voor dat jullie Security-by-Design applicaties gebruiken.

Neem contact op

Dit is het soort zaken waar wij bij Ekco elke dag mee te maken hebben. Onze klanten willen een one-stop-shop voor expertise, advies en begeleiding, en dat is wat wij leveren. We zijn er als je ons nodig hebt.