Nieuw HR-beleid leidt tot groter beveiligingsrisico
Steeds meer bedrijven zitten met een groot dilemma. Hoe ga je om met hoger opgeleide, net afgestudeerde medewerkers die gewend zijn te werken in een flexibele en open IT-omgeving, genaamd het internet? Ze gebruiken dit niet alleen meer als encyclopedie, maar zien het als een communicatie- en samenwerkingsmiddel.
Spanningsveld
De nieuwe, hoger opgeleide medewerker gaat op dit vlak eisen stellen aan zijn werkgever. Aan de HR-manager om, in zijn poging de beste kandidaat voor de job aan te trekken, op dit vlak het arbeidsreglement te versoepelen.
Dit zet de IT-afdeling onder grote druk. Tot voor kort was een beveiligingsbeleid vrij eenvoudig te handhaven. Sociaalnetwerksites werden geblokkeerd, externe samenwerkingsplatformen geweerd, nieuwe communicatiemiddelen en het meenemen en gebruiken van eigen computers, communicatiemiddelen en opslagmedia niet toegelaten.
Laat het nu net die verboden middelen zijn die de nieuwe medewerker als hulpmiddel gebruikt bij het uitvoeren van zijn job. Ze maken zelfs intrinsiek onderdeel uit van zijn werk. Zijn privésmartphone gebruikt hij ook op het werk, om te mailen maar ook om zijn Twitter-relaties op te volgen.
En het is niet ongebruikelijk dat een eigen externe harddisk, USB Disk of telefoon (iPhone met 32 GB) gebruikt wordt om bedrijfsdata op te slaan. Veel bedrijven laten het gebruik van een eigen laptop toe en werken al lang niet meer tijdens kantooruren of binnen de muren van het kantoor.
Maatregelen
De volgende grote uitdaging wordt het goed beveiligen van je medewerkers die veel vrijer werken dan vroeger. Als organisatie moet je een aantal maatregelen nemen.
Ten eerste moet je je afvragen in hoeverre je informatie vrij toegankelijk maakt en wat daar de risico’s van zijn. Laat je hierbij informeren door een expert.
Daarnaast moet het computernetwerk aangepast worden aan deze nieuwe manier van werken. In plaats van sites voor iedereen te blokkeren, ga je op gebruikers- of groepsniveau bepalen welk type internetapplicaties er binnen het bedrijfsnetwerk gebruikt mogen worden.
Om bedrijfseigen informatie te beschermen moet deze altijd automatisch versleuteld worden weggeschreven (op telefoons, USB-sticks, files, harddisks) . Ook wordt de noodzaak van Data Loss Prevention groter. Met DLP voorkom je dat belangrijke data ongevraagd het netwerk verlaten.
Ik verwacht een spannende tijd waarin drie scenario’s mogelijk zijn:
- Het beveiligingsbeleid blijft bij het oude.
- Het beveiligingsbeleid wordt losser, maar men onderschat de risico’s.
- Het beveiligingsbeleid wordt losser en er worden gepaste maatregelen getroffen.
Ik ben benieuwd welk beleid de overhand gaat krijgen.