DNV.BE

Informatiebeveiliging en werken op afstand

In onderstaande blog blikt DNV terug op hoe organisaties het afgelopen jaar aanpassingen hebben gedaan in het thuiswerkbeleid en hoe informatiebeveiliging hierbij een rol heeft gespeeld.

Laptop with digital graphs

Voldoet uw huidige thuiswerkplek aan de ISO 27001 norm? Heeft uw organisatie procedures ingezet om gegevensbescherming te waarborgen? Om deze vragen te kunnen beantwoorden, is het van essentieel belang om de door de pandemie bijkomende uitdagingen voor informatiebeveiliging te analyseren. Rafał Mstowski, Lead Auditor van DNV, geeft in dit blog een aantal voorbeelden van hoe organisaties het thuiswerkbeleid het afgelopen jaar hebben aangepast om de informatiebeveiliging te kunnen blijven waarborgen.

Thuiswerken voor de pandemie

Toen de COVID-pandemie meer dan een jaar geleden de wereld raakte, zagen de meeste organisaties zich genoodzaakt om hun thuiswerkbeleid te herzien of om een thuiswerkbeleid te implementeren. De redenen dat sommige organisaties nog geen thuiswerkbeleid hadden geïmplementeerd zijn erg uiteenlopend. Een van die redenen was dat het waarborgen van informatiebeveiliging bij thuiswerken om veel aanpassingen vraagt. De technische voorwaarden van de organisatie en de werknemers, en de eisen van de klant, spelen hierbij een belangrijke rol. In sommige organisaties was thuiswerken alleen mogelijk als uitzondering en voor geselecteerde functies en processen. De maatregelen van de overheid om de verspreiding van het virus te verminderen zorgde ervoor dat organisaties zich moesten aanpassen, dit vereiste de invoering of wijziging van het thuiswerkbeleid. Sommige organisaties stonden voorheen al toe dat de werknemers thuiswerkten maar na het uitbreken van de pandemie werd thuiswerken het “nieuwe normaal”.

ISO 27001-vereisten voor informatiebeveiliging

De aanpassingen waren afhankelijk van de mate waarin een organisatie de mogelijkheid had om diensten op afstand te verlenen. In een groot aantal gevallen verwijzen regels of beleidslijnen van organisaties naar eisen in de ISO 27001-norm voor informatiebeveiliging. Bedrijven passen de ISO 27001-norm toe op de regels en beleidslijnen om te bepalen wat is toegestaan, waar werknemers zich aan moeten houden en wat gedaan moet worden om de veiligheid van informatie van de organisatie en de klant bij het werken op afstand te waarborgen. Het thuiswerkbeleid van organisaties omvatte vaak eisen die door de IT-afdeling konden worden voorbereid om de beveiliging van het lokale netwerk van de werknemers te waarborgen. Denk hierbij aan de beveiliging van routers en WiFi-netwerken, het gebruik van een VPN-verbinding, etc. Een van de eisen van ISO 27001 is "Netwerkbeveiligingsbeheer" (punt A.13.1.1 van bijlage A), waarin staat dat de netwerkbeveiliging moet worden beheerd en gecontroleerd om toepassingen en informatie in systemen te beschermen. De ISO 27002-norm biedt nauwkeurige richtlijnen om aan deze eis te voldoen.  

Fysieke beveiliging volgens ISO 27001: hoe zit dat met privé-apparatuur?

Een ander belangrijk aspect was de fysieke beveiliging in verband met de beveiliging van computerapparatuur, laptops, tablets, telefoons, externe media of privé-apparatuur die voor het werk wordt gebruikt. De norm bevat een onderdeel A.11 "Fysieke en omgevingsbeveiliging", waarin wordt uitgelegd dat het doel van deze eis is om "ongeoorloofde fysieke toegang, beschadiging en verstoring van de informatie en informatieverwerkingsmedia van de organisatie te voorkomen". Het gebruik van privé-apparatuur voor bedrijfsdoeleinden vormde een uitdaging, omdat het moeilijk is om de kwaliteit van privé-apparatuur te waarborgen. Dit probleem betrof zowel de fysieke hardware als de versies van besturingssystemen en verschillende soorten software. Organisaties legde de nadruk op de bewustmaking van werknemers op het gebied van toegang tot informatie voor buitenstaanders van de organisatie. Voor de thuiswerkers voelen leden van het huishouden niet als buitenstaanders, maar vanuit het oogpunt van de organisatie en de klanten kan iedereen die niet gemachtigd is om informatie van de organisatie en/of de klant in te zien of te verwerken, een bedreiging vormen voor de integriteit van de informatiebeveiliging.  

Hoe borg je de beveiliging van documenten tijdens het thuiswerken?

Eisen van de ISO 27001 norm omvatten de voorwaarden voor het afdrukken en opslaan van papieren documenten. Tot nu toe werden afdrukken beveiligd en beheerd vanuit de organisatie op kantoren. Doordat werknemers nu thuiswerken moesten organisates onderzoeken hoe de beveiliging van documenten gehandhaafd kon worden. Wat voor documenten kunnen thuis worden afgedrukt? Hoe moeten de documenten worden opgeslagen? En hoe moeten de documenten naar de klanten worden verstuurd? Het handhaven van de beveiliging van documenten tijdens het thuiswerken zorgde voor een strenger beleid bij organisaties. Organisaties werden hierdoor ook gedwongen om werknemers bewust te maken van de risico’s die het thuiswerken met zich meebracht. Bovendien, wanneer een organisatie het managementsysteem voor informatiebeveiliging heeft geïmplementeerd, en deze is gecertificeerd volgens de eisen van ISO 27001:2013, krijgt de “clean desk and clean screen policy” een andere invulling bij thuiswerken. 

Toezicht op de naleving van het informatiebeveiligingsbeleid

Veel organisaties hebben door het werken op afstand hun beleid en regels aangepast. Hoe houden deze organisaties toezicht op de handhaving van dit aangepaste beleid en de aangepaste regels? Sommige organisaties hebben op basis van vertrouwen en eerdere ervaringen een beleid ingevoerd dat volledig berust op het vertrouwen in werknemers. Andere organisaties hebben overeenkomsten gesloten tussen werknemers die thuiswerken en organisaties die inspecties uitvoeren op de thuiswerkplek. De inspecties zijn dan gericht op fysieke beveiliging en netwerkbeveiliging. Sommige organisaties wilde na de uitgevoerde inspecties een vervanging van de netwerkapparatuur bij de werknemers thuis, terwijl andere organisaties configuraties en VPN-verbindingen hebben voorbereid. Weer andere organisaties hebben, op grond van de eisen van de klant, de omstandigheden in de kantoren zo aangepast dat het mogelijk bleef om op kantoor te werken. Bezwaren van de klanten varieerde van gebrek aan fysieke beveiliging en toegangscontroles tot eisen voor te gebruiken apparatuur.  Wanneer de klant niet instemde met verplaatsing van apparatuur werd de organisatie gedwongen om de werkzaamheden op kantoor voort te zetten en het kantoor corona-proof in te delen.

Certificering en informatiebeveiliging

Bij het evalueren van de veranderingen op het gebied van informatiebeveiliging tijdens het werken op afstand kan worden gesteld dat organisaties zich vrij efficiënt aan het “nieuwe normaal” hebben aangepast. De grote meerderheid van organisaties heeft zich goed ingeleefd en de werkzaamheden aangepast op de huidige omstandigheden en de huidige regelgeving als gevolg van de pandemie. Veel bedrijven gaan een stap verder en overwegen om hun managementsysteem voor informatiebeveiliging te laten certificeren. Maar maakt een certificaat dat door een geaccrediteerde certificatie-instelling is afgegeven aan een organisatie, de organisatie ook 100% veilig? Dit hangt onder meer af van de mate waarin het informatiebeveiligingsbeleid wordt nageleefd. Wel staat vast dat het managementsysteem voor informatiebeveiliging grondig zal worden gecontroleerd op naleving van de ISO 27001, waardoor zowel klanten als werknemers verzekerd zullen zijn van de professionele en verantwoordelijke aanpak van de organisatie op het gebied van informatiebeveiliging.

Meer informatie over ISO 27001?

Direct aan de slag met informatiebeveiliging?