Tag: nieuwe werken

Het Nieuwe Werken bedreigt beveiliging

  door

Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).

Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?

Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).

We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.

Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:

  • Informatie ligt vaak onbewust te grabbel
  • Computernetwerken worden vanuit onverdachte hoek bedreigd
  • De sociale controle op wie het bedrijf binnenkomt kalft af

  Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.

Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.

In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).

We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.

Richtlijnen voor mobiel werken

  door

De afgelopen 124 blogs zijn we door vragen gelopen om meer zicht te krijgen op de status van informatiebeveiliging binnen jouw organisatie. We zijn nu aanbeland bij de laatste vraag die in gaat op de richtlijnen voor mobiel werken. Ik wil zeker niet beweren dat je met het beantwoorden van de gestelde vragen alle aspecten van de beveiliging hebt afgedicht, maar ga wel beweren dat je al een redelijk beeld hebt en weet waar nog aandachtspunten liggen.

Met het nieuwe werken ontstaan er weer nieuwe vragen en risico’s. Daarom is de laatste vraag ook geen onverwachte:
Zijn er richtlijnen voor mobiel werken (thuiswerken, telewerken)?

Ook voor deze vraag geldt weer dat we vanuit beveiliging ontwikkelingen niet tegen moeten willen houden. Sterker nog, we kunnen ze niet eens tegenhouden al zouden we willen. We kunnen dus beter accepteren dat we er iets mee moeten. En het zal je inmiddels niet verrassen: het begint allemaal weer met het in kaart brengen van de risico’s.

De vraag die we stellen en die we beantwoord moeten zien te krijgen is bijvoorbeeld welke risico’s thuis werken met zich meebrengt. Daarnaast kunnen we nog kijken naar het mobiele werken. Er is verschil en er zijn dus ook verschillende risico’s.

Bij thuis werken willen we natuurlijk niet dat de werkplek ook door de zoon des huizes gebruikt wordt om eens lekker over het internet te surfen. Voor je het weet is de laptop target geworden van hackers en licht onze informatie op straat. Bij het mobiele werken willen we bijvoorbeeld niet dat iemand over de schouder van een medewerker mee leest.

Zijn dit alle risico’s en zijn de risico’s onoverkomelijk? Nee, dat zeker niet. We moeten ze alleen in kaart brengen, risico’s accepteren en waar nodig aanvullende beveiligingsmaatregelen implementeren. Niet om een onneembare vesting te maken, maar om het nieuwe werken op een zo veilig mogelijke wijze mogelijk te maken. Zo nieuw is dat nu ook weer niet, toch?

Dat vergt een andere aanpak van informatiebeveiliging. Maar het vergt ook een andere manier van managen. We zullen zien dat de gevolgen van vele risico’s zich uiten in beveiligingsincidenten. De oorzaak zal echter vaak buiten het beveiligingsveld liggen. Ook voor de risico’s van het mobiele werken moeten we dus naar de oorzaak, de echte oorzaak.

Kwestie van doorvragen dus. Doen we dat goed dan zullen we zien dat ook het mobiele werken gewoon past binnen de andere ontwikkelingen. Wie kent de tijd nog dat we het mainframe verlieten. De wereld was te klein en de risico’s te groot. Inmiddels zijn we al een aantal stappen verder en al vaker hebben we geroepen dat er onacceptabele risico’s genomen worden. Na verloop van tijd hebben we de risico’s redelijk tot goed in het vizier en weten we ook weer hoe we ze moeten managen. De rust keert terug en het is wachten op de nieuwe veranderingen…om vervolgens weer in dezelfde stress te schieten.

Een geruststellende gedachte. Bij elke nieuwe ontwikkeling kunnen we weer de 125 gestelde vragen als uitgangspunt nemen. Misschien moeten we nog wat vragen toevoegen, maar de basis blijft gewoon geregeld.

Nu we alle vragen hebben gesteld gaan we natuurlijk niet stoppen met het schrijven over informatiebeveiliging. We gaan weer op zoek naar nieuwe onderwerpen en nieuwe vragen. Mocht je zelf een vraag hebben dan hoor ik die natuurlijk graag. Je kunt me bereiken via thimo@keizert.nl

Intellectuele eigendommen

  door

Na de teksten over vertrouwelijke informatie, gaan we vandaag wat verder in op een specifiek aspect daarvan (dat overigens breder kan gaan dan de informatie alleen). De intellectuele eigendommen van de organisatie en de bescherming daarvan.

De vraag voor vandaag:
Is inzichtelijk over welke intellectuele eigendommen de organisatie beschikt?

Als BV Nederland en Nederlandse bedrijven zijn we er nogal trots op dat we ons tot de kenniseconomie rekenen. Ons intellect schatten we erg hoog in. En hoewel we natuurlijk allerlei discussies kunnen voeren over het niveau van onze opleidingsinstituten en kennis binnen organisaties betreden we dat gevaarlijke pad maar even niet.

Nee, laten we er inderdaad maar van uitgaan dat we echt tot die kenniseconomie behoren. Dan betekent dat vervolgens dat we allerlei nieuwe kennis toevoegen aan de wereld. Zonder filosofisch te willen worden betekent dat, dat er vele intellectuele eigendommen binnen Nederlandse organisaties aanwezig moeten zijn.

Eigendommen die beschermt moeten worden. Denk bijvoorbeeld aan allerlei wetenschappelijke modellen die ontwikkeld zijn, maar ook patenten, copyright, licenties etc., rekenen we tot het intellectuele eigendom. Vergis je niet, deze kunnen een enorme waarde in zich hebben.

We zien nog wel eens discussies tussen medewerkers en organisaties over wie nu de echte eigenaar is van het betreffende intellectuele eigendom. De medewerker heeft het wetenschappelijk model in zijn eigen tijd ontwikkeld want het koste hem zijn avonduren. De baas vindt echter dat hij in dienst is van de organisatie en dat het daarmee automatisch tot zijn intellectueel eigendom behoort.

Het antwoord? Dat is niet zo eenvoudig te geven. Misschien dat een jurist hier wat over kan roepen. Zaak is wel dat het hier met name gaat om verwachtingsmanagement. Spreek het uit en zorg dat het duidelijk wordt. Het risico voor de organisatie is te groot.

Denkt de baas dat de ontwikkelde software van de organisatie is? Denkt de medewerker dat hij de eigenaar is? Wordt een leuke discussie als de software doorverkocht is aan de klanten en zij daar licenties voor betalen. De medewerker besluit om voor een ander bedrijf te gaan werken en neemt de softwarecode mee. Kunnen we nu onze klanten nog blijven bedienen of gaan de klanten daarmee automatisch mee naar de concurrent?

De eerste stap is het inzichtelijk krijgen van de intellectuele eigendommen, de volgende stap is vastleggen wie nu de echte eigenaar is (en of alle partijen dat ook zo ervaren). Doen we dat, dan kunnen we veel plezier beleven aan ons intellectueel eigendom. Doen we het niet? Dan kunnen we er bijna op wachten tot het fout gaat. De klanten lopen weg en de claims vliegen ons om de oren.

De discussie wordt alleen maar belangrijker als we kijken naar het nieuwe werken. We willen medewerkers sturen op resultaat. Willen ze liever ’s nachts van 2 tot 3 werken om een stuk informatie af te krijgen dan vinden we dat als management prima. Maar dit betekent niet automatisch dat de medewerker ook 24 uur per dag eigendom van de baas is…Hier gaan de komende maanden en jaren waarschijnlijk nog veel (interessante) discussies over ontstaat.

Was ik nog maar een keer 9

  door

Denken we niet allemaal wel eens met weemoed terug aan onze jonge jaren? Onbezonnen in het leven, geen zorgen en ach die basisschool was nou ook niet echt zwoegen. Maar zelfs de basisschool gaat met zijn tijd mee en wordt nog leuker voor de kids: was ik nog maar een keer 9, Andre Hazes had een vooruitziende blik.

Een game-ontwikkelaar heeft een programma gemaakt waarmee basisscholieren huiswerk via een soort Hyves kunnen doen…Via een website kunnen scholieren een profiel aanmaken en quizvragen beantwoorden over aardrijkskunde, taal, topografie, rekenen en geschiedenis…Met de antwoorden kunnen ze punten sparen voor bioscoopbonnen, beltegoed en proefabonnementen op tijdschriften. Ook is het mogelijk wedstrijdjes met andere leerlingen te doen (bron).

De volgende stap is natuurlijk een programma waarmee we ons werk kunnen doen in de vorm van een game. Dan is iedereen graag bereid tot overwerk. “Schat, kom je eten?”…”Nee ik moet nog even het volgende level halen, kom er zo aan”, mag jij nagaan wat er met de productiviteit gebeurd. We horen tegenwoordig meer en meer over het zogenaamde nieuwe werken of de 0.7-norm…wat daar nu in de praktijk zo nieuw aan is weet ik niet want we blijven op dezelfde manier werken alleen doen we dat nu van achter de eettafel. Veel managers rekenen nog steeds af op aanwezigheid en niet op resultaat (dat is inderdaad ingewikkelder want je moet dan de targets SMART maken).

Nee, het echte nieuwe werken zal meer en meer plaats moeten vinden in een virtuele wereld. Je maakt een avatar en kan aan de slag. Als we de voortgang van kinderen op de basisschool kunnen meten in de virtuele wereld dan moet dat in het bedrijfsleven ook kunnen. En de beloning? Die is niet in bioscoopbonnen of beltegoed maar in salaris. Zoveel rapporten opgeleverd is dus zoveel salaris verdient, besluit je een maandje minder hard te werken dan ontvang je ook minder salaris. Fair deal.

Een utopie? Ik denk het niet want het kan veel kosten besparen (en zijn we daar niet allemaal mee bezig, juist nu?), voorlopig zal er nog veel water door de Maas gaan maar echt innovatieve bedrijven kunnen er morgen mee beginnen. Een virtuele organisatie maken, combineren met opslag in de cloud en targets stellen voor je personeel.

Uiteraard brengt dit ook allerlei risico’s met zich mee en daar kom ik dan om de hoek kijken. Ik geloof er in en ben ervan overtuigd dat we ook van deze nieuwe werkwijze de risico’s kunnen beheersen. Welk bedrijf zet de eerste echte stap in de nieuwe richting?