Nu thuiswerken ‘het nieuwe normaal’ is, maken cybercriminelen dankbaar gebruik van de situatie. Veel bedrijven zijn namelijk onvoorbereid in dat massale telewerk gegooid. Hoe houdt u het veilig? We vatten voor u samen op welke vlakken u best actie onderneemt om risico’s te vermijden.
Cybercriminaliteit is sowieso een groot risico, welke omvang uw onderneming ook heeft. Thuiswerken maakt dat risico nog groter. Dat blijkt ook uit de meldingen van het aantal phishingmails. In de eerste corona-lockdown kwam er meteen een explosie van phishingmails die duidelijk inspeelden op de nieuwe telewerkers. Slim bekeken van de hackers, want vier op de tien bedrijven waren nog niet vertrouwd met thuiswerk en hadden dus vaak niet de juiste omkadering om dat veilig te organiseren. Op langere termijn zal thuiswerken en werken op meerdere locaties zonder twijfel de norm blijven. Alle inspanningen op dat vlak zijn dus absoluut zinvol.
Wat moet er gebeuren om thuiswerken veilig te laten verlopen? Leg de focus alleszins op drie belangrijke domeinen: werkplekbeveiliging, bewustmaking en policies.
Werkplekbeveiliging
Onmisbaar voor thuiswerken is een veilige toegang tot het bedrijfsnetwerk. Multifactor authenticatie is daarbij een must. De gebruiker kan dan niet inloggen met slechts één wachtwoord maar heeft bijvoorbeeld een combinatie met een code via een mobiel toestel. Ook de verbinding zelf moet veilig zijn, bijvoorbeeld door via een VPN (virtual private network) te werken. Data die over een internetverbinding gaan, moeten geëncrypteerd zijn zodat ze onleesbaar blijven wanneer ze toch onderschept zouden worden.
Aan de kant van de eindgebruiker zijn er ook ingrepen nodig, zoals het veranderen van de standaardlogin en de beveiliging van het wifi-netwerk thuis met een sterk wachtwoord. Verder moeten de gebruikte toestellen altijd up-to-date zijn, met de nieuwste softwareversies en patches. Samenwerken met collega’s kan veilig op afstand via centrale clouddiensten zoals Microsoft Teams.
Awareness
Cybercriminelen weten heel goed dat eindgebruikers de zwakste schakel zijn. Bij thuiswerk is dat nog meer het geval doordat de sociale controle wegvalt. Sinds de uitbraak van de coronacrisis versturen hackers dan ook massa’s phishingmails die daarop inspelen. In het eerste kwartaal van 2020 steeg het aantal nieuwe phishing websites met maar liefst 350 procent!
Vergeet niet dat hackers via een geïnfecteerde pc uw bedrijfsnetwerk kunnen binnendringen. Train dus zeker de eindgebruikers in veilig thuiswerken, bijvoorbeeld over de juiste instellingen en veilige wachtwoorden maar leer hen ook phishingmails herkennen. U kunt hen op een efficiënte manier bewustmaken van cybergevaren met behulp van een Security Awareness Training met korte online trainingvideo’s en campagnes met fake phishingmails. Die geven u een duidelijk zicht op risicogedrag in uw onderneming.
Policies
Richtlijnen of policies op het vlak van security zijn in veel ondernemingen nog braakliggend terrein. Nochtans is het belangrijk om een aantal duidelijke richtlijnen op te stellen over de manier waarop eindgebruikers veilig moeten omgaan met IT. Bij thuiswerk is dat zelfs nog meer relevant.
Via zo’n policy kunt u bijvoorbeeld vooropstellen dat iedereen zijn pc moet instellen op automatisch vergrendelen. Zo kunnen kinderen of andere huisgenoten niet zomaar toegang krijgen. Ook met papieren documenten moeten uw medewerkers voorzichtig zijn. Zet dus in uw security policy dat ze een papierversnipperaar gebruiken en zeker geen documenten met bedrijfsinformatie thuis laten rondslingeren. Daarnaast is het ook opletten met video calls. Deel niet het hele bureaublad maar alleen de applicatie, en zorg ervoor dat er geen gevoelige informatie in beeld komt.
Geef zoveel mogelijk IT-ondersteuning
Ook uw IT-medewerkers moeten zich aanpassen wanneer de eindgebruikers volop thuiswerken. Zo kunnen ze advies en ondersteuning geven bij het beveiligen van de thuiswerkplek. Belangrijk is dat de pc-gebruikers gemakkelijk bij iemand terechtkunnen. Communiceer duidelijk wat de procedures zijn en hoe ze hulp kunnen krijgen.
Extra hulp nodig? Na een Security Assessment van Cheops weet u precies hoe veilig uw onderneming bezig is. Daarna kunnen we efficiënt ingrijpen waar nodig, bijvoorbeeld met Managed Security Awareness of met een back-up oplossing voor het geval het toch eens grondig fout gaat.
Meer weten over IT-Security in tijden van massaal telewerk?
Herbekijk ons webinar en kom alles te weten over IT-security, inclusief het praktijkverhaal van de gehackte Universiteit van Maastricht.