De afgelopen 124 blogs zijn we door vragen gelopen om meer zicht te krijgen op de status van informatiebeveiliging binnen jouw organisatie. We zijn nu aanbeland bij de laatste vraag die in gaat op de richtlijnen voor mobiel werken. Ik wil zeker niet beweren dat je met het beantwoorden van de gestelde vragen alle aspecten van de beveiliging hebt afgedicht, maar ga wel beweren dat je al een redelijk beeld hebt en weet waar nog aandachtspunten liggen.
Met het nieuwe werken ontstaan er weer nieuwe vragen en risico’s. Daarom is de laatste vraag ook geen onverwachte:
Zijn er richtlijnen voor mobiel werken (thuiswerken, telewerken)?
Ook voor deze vraag geldt weer dat we vanuit beveiliging ontwikkelingen niet tegen moeten willen houden. Sterker nog, we kunnen ze niet eens tegenhouden al zouden we willen. We kunnen dus beter accepteren dat we er iets mee moeten. En het zal je inmiddels niet verrassen: het begint allemaal weer met het in kaart brengen van de risico’s.
De vraag die we stellen en die we beantwoord moeten zien te krijgen is bijvoorbeeld welke risico’s thuis werken met zich meebrengt. Daarnaast kunnen we nog kijken naar het mobiele werken. Er is verschil en er zijn dus ook verschillende risico’s.
Bij thuis werken willen we natuurlijk niet dat de werkplek ook door de zoon des huizes gebruikt wordt om eens lekker over het internet te surfen. Voor je het weet is de laptop target geworden van hackers en licht onze informatie op straat. Bij het mobiele werken willen we bijvoorbeeld niet dat iemand over de schouder van een medewerker mee leest.
Zijn dit alle risico’s en zijn de risico’s onoverkomelijk? Nee, dat zeker niet. We moeten ze alleen in kaart brengen, risico’s accepteren en waar nodig aanvullende beveiligingsmaatregelen implementeren. Niet om een onneembare vesting te maken, maar om het nieuwe werken op een zo veilig mogelijke wijze mogelijk te maken. Zo nieuw is dat nu ook weer niet, toch?
Dat vergt een andere aanpak van informatiebeveiliging. Maar het vergt ook een andere manier van managen. We zullen zien dat de gevolgen van vele risico’s zich uiten in beveiligingsincidenten. De oorzaak zal echter vaak buiten het beveiligingsveld liggen. Ook voor de risico’s van het mobiele werken moeten we dus naar de oorzaak, de echte oorzaak.
Kwestie van doorvragen dus. Doen we dat goed dan zullen we zien dat ook het mobiele werken gewoon past binnen de andere ontwikkelingen. Wie kent de tijd nog dat we het mainframe verlieten. De wereld was te klein en de risico’s te groot. Inmiddels zijn we al een aantal stappen verder en al vaker hebben we geroepen dat er onacceptabele risico’s genomen worden. Na verloop van tijd hebben we de risico’s redelijk tot goed in het vizier en weten we ook weer hoe we ze moeten managen. De rust keert terug en het is wachten op de nieuwe veranderingen…om vervolgens weer in dezelfde stress te schieten.
Een geruststellende gedachte. Bij elke nieuwe ontwikkeling kunnen we weer de 125 gestelde vragen als uitgangspunt nemen. Misschien moeten we nog wat vragen toevoegen, maar de basis blijft gewoon geregeld.
Nu we alle vragen hebben gesteld gaan we natuurlijk niet stoppen met het schrijven over informatiebeveiliging. We gaan weer op zoek naar nieuwe onderwerpen en nieuwe vragen. Mocht je zelf een vraag hebben dan hoor ik die natuurlijk graag. Je kunt me bereiken via thimo@keizert.nl