Hoe handhaaf je security als je medewerkers thuiswerken?

We leven in een ongekende tijd. Organisaties over de hele wereld proberen security te handhaven terwijl hun werknemers thuiswerken. Zie tegelijkertijd maar eens een eersteklas employee experience te bieden. Makkelijker gezegd dan gedaan. We spraken remotely met de IT- en security-experts van TOPdesk, Mark Herrewijnen en Bart van Manen, over hoe je security en employee experience bij thuiswerken in evenwicht houdt.

Wat kunnen organisaties doen?

Om te beginnen: het is belangrijk dat elke werknemer beschikt over basiskennis van IT-security. Natuurlijk is niet elke werknemer een digital native. Daarom moet je ook zorgen dat je je boodschap afstemt op al je collega’s. Mark stelt voor een document van één pagina op te stellen waarin je de allerbelangrijkste do’s and don’t’s op het gebied van security beschrijft. Bijvoorbeeld: maak altijd een back-up van je documenten, maar log nooit in op een openbaar netwerk.

Zo’n document zorgt ervoor dat je werknemers geen simpele securityfouten maken. Maar voor je werknemers is het ook handig dat ze zulke belangrijke informatie altijd bij de hand hebben. Voor niet iedereen is het even vanzelfsprekend wat je beter wel en niet kunt doen.

Er ligt nog een gevaar op de loer. In tijden van crisis bestaat het risico dat organisaties security ineens helemaal anders willen aanpakken. Soms introduceren ze dan ineens drastische veranderingen in een poging security te waarborgen.

Bart vindt dit geen goede strategie: “Wanneer je te veel veranderingen in één keer introduceert, zorg je alleen maar voor verwarring bij je werknemers. Je medewerkers hebben al genoeg aan hun hoofd. Probeer daarom zoveel mogelijk de bestaande procedures te volgen. Als je toch iets wil veranderen, gebruik dan change templates of een workflow voor incidenten met vooraf bepaalde autorisatiemomenten.”

De boodschap is duidelijk: een balans vinden tussen security en employee experience is al moeilijk genoeg, dus maak het vooral niet onnodig ingewikkeld.

Zorg voor duidelijke en vooral continue communicatie tussen je IT-afdeling en je werknemers. Je security-strategie gaat namelijk op meerdere vlakken veranderen. Mark raadt aan de communicatie hierover te centraliseren, bijvoorbeeld via een intranet, en via een portaal waar mensen terecht kunnen met hun vragen.

Zorg dat je altijd menselijk en benaderbaar blijft voor medewerkers. Dit is cruciaal als je security wilt handhaven en tegelijkertijd een fantastische employee experience wilt bieden. Je werknemers moeten weten dat IT altijd klaarstaat met hun advies en expertise als het nodig is.

Wat moeten je werknemers wel en niet doen?

“Natuurlijk zijn er de vanzelfsprekende dingen die je niet moet doen, zoals vertrouwelijke informatie in het openbaar bekijken, of gevoelig materiaal in virtuele meetings bespreken via een onbekende app. O ja, en natuurlijk oppassen met welke applicaties je gebruikt op openbare netwerken,” zegt Bart.

Mark voegt toe: “Vertel je werknemers dat software niet per definitie veilig is, alleen omdat veel mensen er gebruik van maken. Hetzelfde geldt voor USB-sticks: ze worden al heel lang in de IT gebruikt, maar lopen het risico geïnfecteerd te worden met malware.”

VPNs gebruiken past ook in het rijtje hierboven. Sommige organisaties geven werknemers hun eigen VPN om de security van de organisatie te waarborgen. Maar dit werkt averechts: als je een VPN gebruikt, ben je juist kwetsbaarder voor veiligheidsproblemen.

Als je de beste employee experience wilt bieden, is het net zo belangrijk om te focussen op wat je werknemers wel moeten doen – en niet alleen op wat ze niet moeten doen. Mark benadrukt dat werknemers vooral samen moeten werken om noodplannen op te stellen rondom teams, managementverantwoordelijkheden en het aanstellen en dupliceren van alle essentiële codes en failsafe rollen.

Uiteindelijk moeten werknemers al hun vragen – groot of klein – delen met IT. Bart: “Er moet een cultuur ontstaan waarin werknemers een blijvende open dialoog hebben met IT. Zorg er vooral voor dat ook je collega’s die minder tech-savvy zijn zich comfortabel genoeg voelen om in gesprek te gaan.”

Employee experience betekent niet dat je als een kip zonder kop rond moet rennen om het iedereen altijd maar naar de zin te maken. Het betekent vooral dat je er bent voor je werknemers als ze je nodig hebben, en dat iedereen dit ook weet. Aangezien IT een integraal onderdeel is van bijna elke moderne organisatie, is IT-support niet alleen een technisch verhaal, maar ook belangrijk voor de cultuur van je bedrijf.

Gaat er toch iets mis? Zo ga je om met paniek op de servicedesk >>

Heb je nog specifieke tips en tricks?

Goed, laten we kijken naar de details: wat kun je nu echt doen om security te handhaven terwijl je werknemers thuiswerken? (Volgens mij wilden Mark en Bart dit het allerliefst bespreken!) Dit zijn onze negen tips:

1.Vraag je werknemers voorzichtig om te springen met de hardware en software van de organisatie – in deze tijd is het vrij lastig om fysieke hulptroepen te sturen of om vervanging te regelen.

2.Laat je kinderen geen apps installeren op devices die je gebruikt voor vertrouwelijk werk. Misschien kunnen je kinderen een apparaat van school lenen? Of een oude laptop gebruiken die nog ergens op zolder ligt te verstoffen?

3.Zorg ervoor dat al je werkdevices altijd de laatste veiligheidsupdates hebben.

4.Ga niet in één keer massaal software-updates uitrollen – als je al een tijdje niet hebt geüpdatet, is nu niet het slimste moment. Het is ook lastiger om veranderingen te communiceren nu iedereen thuiszit, dus installeer zo mogelijk alleen kleine updates en belangrijke security patches.

5.Gebruik geen VPN om het hele kantoornetwerk open te stellen. Een security-lek in één van de devices kan al impact hebben op al je services. Stel daarom individuele apps open voor je thuiswerkers. Een VPN kan potentieel ongewenste of onveilige toestellen toelaten op het interne netwerk van je bedrijf.

6.Vraag je werknemers niet massaal hun wachtwoord te veranderen: nu wachtwoorden wijzigen kan behoorlijk wat problemen opleveren. Als een wachtwoord veilig genoeg was voor gebruik op kantoor, is het hoogstwaarschijnlijk ook veilig genoeg als je werknemer ermee thuiswerkt.

7.Klink niet op linkjes in e-mails die er raar uitzien of plots heel urgent zijn. Als je niet zeker bent van een mailtje, verifieer het dan met de afzender (en niet door die e-mail te beantwoorden).

8.Verifieer change requests met een hoge impact, zoals extra rechten toekennen of geldoverboekingen, altijd met je collega’s. Doe dit altijd via een ander kanaal dan via welke je het verzoek binnen kreeg (dus verifieer een email bijvoorbeeld via Skype of Teams).

9.Vraag je werknemers om het standaard wifi-wachtwoord van hun router te resetten (voor het geval dat).

Blijf in contact met elkaar

Security en employee experience in evenwicht houden is nooit makkelijk geweest – en nu is het al helemaal lastig. De huidige situatie brengt een heleboel veranderingen met zich mee, en dus ook kwetsbaarheden: zowel op technisch als persoonlijk vlak.

Maar geen paniek! Het is juist belangrijker dan ooit om kalm te blijven en duidelijk te communiceren. Laat je werknemers precies weten wat ze wel en niet moeten doen. Beantwoord al hun vragen en laat ze weten dat ze altijd op je kunnen rekenen. Uiteindelijk zitten we allemaal in hetzelfde schuitje.

Wil je meer weten over hoe je je werknemers op de eerste plaats kunt zetten? Download ons e-book ‘klant centraal’.