Hybride werken: Beveiliging voor persoonlijke apparaten

Een nonchalante benadering van BYOD-beveiliging is niet voldoende, omdat persoonlijke apparaten binnen bedrijfsnetwerken een potentieel ontvlambare mix vormen. BYOD staat voor “Bring Your Own Device”, wat verwijst naar het beleid waarbij werknemers hun persoonlijke apparaten mogen gebruiken voor werkdoeleinden.

Sinds thuiswerken populair werd tijdens de pandemie, en vaak overging in een combinatie van thuis en op kantoor werken, heeft werken op afstand (dat later vaak veranderde in hybride werken) zijn blijvende kracht bewezen. Mensen verwachten nu dat ze altijd en overal kunnen werken, met welk apparaat dan ook. Daarentegen brengt het gebruik van persoonlijke apparaten voor werk risico’s met zich mee voor de online veiligheid. Dit geldt vooral als er geen sterke beveiligingsmaatregelen genomen worden. De zorgen over het zelf meebrengen van apparaten (BYOD) zijn niet nieuw, maar de toename van thuiswerken maakt het noodzakelijk om het beleid rondom cyberbeveiliging opnieuw te evalueren en aan te passen. Hoe kunnen we de online risico’s verminderen en de gegevens van het bedrijf en klanten veilig houden?

Het aanvalsoppervlak van het bedrijf verkleinen

Het gebruik van apparaten door werknemers die buiten de bevoegdheid van IT vallen,  vormt een grote bedreiging voor de veiligheid van bedrijfsinformatie, vooral als hier niets aan wordt gedaan. In een tijd waarin kwaadwillenden actief op zoek zijn naar zwakke plekken binnen bedrijven, is het heel belangrijk om het aantal mogelijke ingangen voor aanvallen te beperken. Het is daarom belangrijk dat bedrijven een inventarisatie maken van élk apparaat dat toegang heeft tot hun netwerk en beveiligingsstandaarden en configuraties instellen waaraan werknemersapparaten moeten voldoen om een basisniveau van bescherming te kunnen garanderen.

Ongesanctioneerde apps of andere software op apparaten van werknemers is een veelvoorkomende risicobron. Om ongereguleerde toegang van derden tot gevoelige gegevens tegen te gaan, kunnen organisaties profiteren van het creëren van een 'barrière' tussen persoonlijke- en werk gerelateerde informatie op de apparaten en het afdwingen van blacklisting (of whitelisting) van applicaties. Er zijn ook andere manieren om apparaten van werknemers onder controle te houden met behulp van speciale software voor het beheer van mobiele apparaten, wat ons bij het volgende punt brengt.

Software en besturingssystemen bijwerken

Het belang van het tijdig installeren van beveiligingsupdates om bekende kwetsbaarheden te verhelpen kan niet genoeg worden benadrukt, aangezien er bijna geen dag voorbijgaat zonder nieuws over ontdekte nieuwe kwetsbaarheden in veelgebruikte software.

Het is zeker eenvoudiger om ervoor te zorgen dat werknemers op bijgewerkte apparaten werken als ze laptops en smartphones gebruiken die door het bedrijf zijn uitgegeven, en kunnen vertrouwen op de ondersteuning van de IT-afdeling die de software-updates op de voet volgt en op hun machines installeert zodra ze worden uitgebracht. Veel bedrijven maken tegenwoordig gebruik van software voor apparaat beheer om niet alleen te helpen bij het installeren van updates op de apparaten van werknemers, maar ook bij het aanscherpen van de beveiliging in het algemeen.

Als het de taak van de werknemers is om de software op hun apparaten up-to-date te houden, kunnen organisaties op zijn minst ijverig zijn door hun werknemers eraan te herinneren dat er patches beschikbaar zijn, hen handleidingen te geven voor het toepassen van de updates en de voortgang te controleren.

Zorg voor een veilige verbinding

Als een werknemer op afstand toegang moet krijgen tot het netwerk van de organisatie, moet de organisatie hiervan op de hoogte zijn. Werknemers op afstand kunnen niet alleen hun eigen Wi-Fi-netwerken gebruiken, maar ook openbare Wi-Fi-netwerken. In beide scenario's is een goed geconfigureerd virtueel privénetwerk (VPN) waarmee externe medewerkers toegang hebben tot bedrijfsmiddelen alsof ze op kantoor zitten, een eenvoudige manier om de blootstelling van de organisatie aan zwakke plekken te verminderen die anders door cybercriminelen zouden kunnen worden misbruikt.

Een andere manier om verbinding op afstand met de IT-omgeving van een organisatie mogelijk te maken is via het Remote Desktop Protocol (RDP). Toen een groot deel van de wereldbevolking overstapte op thuiswerken, nam het aantal RDP-verbindingen sterk toe - en daarmee ook de aanvallen op RDP-endpoints. Er waren veel gevallen van aanvallers die manieren vonden om slecht geconfigureerde RDP-instellingen of zwakke wachtwoordente misbruiken om toegang te krijgen tot bedrijfsnetwerken. Een succesvolle cybercrimineel kan deze openingen gebruiken om intellectueel eigendom weg te sluizen, alle bedrijfsbestanden te versleutelen en losgeld te vragen, een boekhoudafdeling geld te laten overmaken naar rekeningen onder hun controle of een ravage aan te richten in de gegevensback-ups van het bedrijf.

Het goede nieuws is dat er veel manieren zijn om je te beschermen tegen RDP-aanvallen. RDP-toegang moet goed worden geconfigureerd, onder andere door internetgerichte RDP uit te schakelen en sterke en complexe wachtwoorden te vereisen voor alle accounts waarop kan worden ingelogd via RDP.

Bedrijfsgegevens beschermen

Vertrouwelijke bedrijfsgegevens opslaan op een persoonlijk apparaat vormt duidelijk een risico, vooral als het apparaat zoekraakt of gestolen wordt en niet beveiligd is met een wachtwoord en de harde schijf niet versleuteld is. Hetzelfde geldt als iemand anders het apparaat gebruikt. Zelfs als het "slechts" een familielid is, kan dit nog steeds leiden tot het in gevaar brengen van de kroonjuwelen van het bedrijf, ongeacht of de gegevens lokaal zijn opgeslagen of in de cloud.

Met een paar eenvoudige maatregelen - zoals het verplicht stellen van een sterke wachtwoordbeveiliging, 2FAaan werknemers leren dat ze moeten voorkomen dat iemand anders het apparaat gebruikt - kom je al een heel eind om de bedrijfsgegevens te beschermen tegen schade.

Om het risico te beperken dat onbevoegden toegang krijgen tot vertrouwelijke informatie, moeten organisaties gevoelige gegevens versleutelen, multi-factor authenticatieimplementeren en netwerkverbindingen beveiligen.

Beveiligd video bellen

Online vergaderen kende een enorme groei dankzij de pandemie, omdat alle vergaderingen die oorspronkelijk persoonlijk waren, naar de virtuele wereld verhuisden. Organisaties moeten richtlijnen opstellen voor het gebruik van online vergaderingen, zoals welke software te gebruiken en hoe de verbinding te beveiligen.

Het is raadzaam om software te gebruiken met beveiligingsfuncties, zoals end-to-end encryptie en wachtwoordbeveiliging voor gesprekken, die vertrouwelijke gegevens afschermen van nieuwsgierige blikken. Uiteraard moet de software voor online vergaderingen up-to-date worden gehouden met de nieuwste beveiligingsupdates om ervoor te zorgen dat eventuele gaten in de software zo snel mogelijk worden gedicht.

Software en mensen

We zouden nalatig zijn als we niet vermelden dat het weglaten van betrouwbare meerlaagse beveiligingssoftware op apparaten die toegang hebben tot bedrijfssystemen een goede manier is om een probleem op te lossen. Dergelijke software - vooral als deze wordt beheerd door het beveiligings- of IT-team van het bedrijf - kan iedereen veel kopzorgen en uiteindelijk tijd en geld besparen. Dit kan onder andere bescherming bieden tegen de meest recente malwaredreigingen, bedrijfsgegevens beveiligen, zelfs als het apparaat zoekraakt en uiteindelijk systeembeheerders helpen om de apparaten te laten voldoen aan het beveiligingsbeleid van het bedrijf.

Ervoor zorgen dat apparaten en gegevens regelmatig worden geback-upt (en het testen van de back-ups) en het geven van trainingen in beveiligingsbewustzijn aan het personeel zijn andere vanzelfsprekende zaken - de technische controles zouden niet compleet zijn als werknemers niet de verhoogde risico's begrijpen die gepaard gaan met het gebruik van persoonlijke apparaten voor het werk.

Dit artikel werd oorspronkelijk gepubliceerd op Digital Security Guide