Columns

Met enige regelmaat verschijnt er een column welke vaak betrekking heeft op de relatie tussen mens, werk en werkomgeving (huisvesting, facility management, kantoorinnovatie en/of telewerken). Hieronder een selectie:

11 Ewerken: over vertrouwelijkheid en veiligheid

door Michaël Geerdink

Een belangrijk onderwerp bij e-werken is het beveiligen van vertrouwelijke informatie. Dat kan door het maken van afspraken over zorgvuldig handelen door uw medewerkers. Maar er zijn ook ‘technische’ oplossingen. De afgelopen weken zijn we opgeschrikt door opvallende slordigheden, met name bij medewerkers van de veiligheidsdienst. Speelt dit probleem ook bij u?

Afspraken of maatregelen
Natuurlijk wordt in mijn adviespraktijk bij e-werkoplossingen het veiligheidsaspect aan de orde gesteld. Een veelvoorkomende reactie is dat maatregelen niet echt nodig zijn. Volgens sommige opdrachtgevers gaan de medewerkers op een juiste manier met vertrouwelijke informatie om. Je moet je personeel toch vertrouwen, niet waar? Andere opdrachtgevers stellen een protocol op met bepalingen hoe medewerkers op een juiste wijze met vertrouwelijke informatie en met informatiedragers als documenten, diskettes en memory sticks moeten omgaan. Soms wordt medewerkers verzocht om een afsluitbare werkkast in de ruimte waar de werkzaamheden op afstand gaan plaatsvinden. Controle door de werkgever of de juiste veiligheidsomstandigheden aanwezig zijn, wordt zelden uitgevoerd. Recente incidenten, nog wel bij onze veiligheidsdiensten, geven aan dat we er met goede bedoelingen niet komen. Wie zijn medewerkers laat e-werken, moet aandacht schenken aan het veiligheidsaspect. Er is geen ontkomen aan.

Over Citrix
De automatisering van veel bedrijven is zo geregeld dat medewerkers op de werkplek beschikken over een Microsoft platform en verder gebruik maken van een fileserver. Daarnaast beschikt men over database servers waarop alle bedrijfskritische data wordt opgeslagen en een mail server voor het contact met de buitenwereld. Dit lijkt een perfecte oplossing, maar er zijn enkele haken en ogen. Het installeren van nieuwe software op de werkplekken is een tijdrovende gebeurtenis. Eindgebruikers wijzigen soms hun instellingen of installeren zelf software zonder over de juiste licenties te beschikken. Het verdient de voorkeur om zaken niet lokaal maar centraal te regelen. Citrix is zo’n ‘server-based’ oplossing waarbij alles centraal geregeld wordt. Anders gezegd: het is een ‘thin-client, thick server’ oplossing. De essentie van Citrix is dat de server letterlijk al het werk doet. De eindgebruiker is als het ware met het toetsenbord, de muis en het beeldscherm direct met de server verbonden en heeft dus geen invloed op de werkomgeving. Op de werkplek draait nog maar één softwarepakket: de zogenaamde ICA client. De ICA client zorgt voor de verbinding van de werkplek met de centrale software. Door het installeren van Citrix is de werkplek mobiel is geworden. Neem een willekeurige machine, maak verbinding met je eigen gebruikersnaam en wachtwoord en je hebt je eigen werkplek. Maar wat nog mooier is: op de werkplek blijft geen informatie op harde schijf, stick of diskette achter. Wel zo’n veilig gevoel nu zovaak een laptop door een ingeslagen autoruit verdwijnt.

VPN
De afkorting VPN staat voor Virtual Private Network, maar dat maakt de zaak er niet duidelijker op. VPN staat voor een veilige manier om via het internet computers of netwerken met elkaar te verbinden. Die veiligheid is van groot belang Zo levert bijvoorbeeld KPN Telecom Epacity aansluitingen waarbij wordt gegarandeerd dat de data alleen bij de eigen aansluitingen aan kan komen.
VPN is ook een techniek waarbij gegevens worden versleuteld. Daardoor kunnen alleen de mensen die beschikken over de juiste sleutel de informatie lezen. Dit wordt vaak aangeduid met het begrip "tunneling". Het zal duidelijk zijn dat een combinatie van Citrix en een VPN-verbinding voor de nodige veiligheid en snelheid kan zorgen.

Over het beveiligen van memorysticks
Organisaties gebruiken nauwelijks extra beveiligingsmiddelen bij het gebruik van memorysticks en elektronische zakagenda's (PDA's). Uit recent onderzoek van KPMG is gebleken dat meer dan 80 procent van de bedrijven het gebruik van dergelijke opslagmedia toestaat en niet meer dan 40 procent zorgt voor afdoende beveiliging. Dat is toch opmerkelijk omdat er wel degelijk iets aan te doen is. De klap van losslingerende sticks kwam bij de ministers Remkes en Kamp hard aan. Zij reageerden door hun medewerkers op hun verantwoordelijkheden te wijzen en hun medewerker te schorsen. Maar zou je ook niet kunnen stellen dat zij als werkgever tekort zijn geschoten in het verstrekken van adequaat materiaal? Op internet zijn tal van oplossingen te vinden om memorysticks te beveiligen. Maar ook hier geldt dat niets doen geen optie is.

Email als lek
Medewerkers willen op afstand werken en op hun remote werkplek beschikken over de juiste informatie. Sommige organisaties willen daar niet aan, met als gevolg dat een hele praktijk is ontstaan van ‘illegaal’ transport van informatie. Op portable informatiedragers, waarbij men soms het laden van een kaartje in een fototoestel niet schuwt. Een bekende truc is dat medewerkers naar een persoonlijk emailadres alle bedrijfsinformatie mailen die zij nodig hebben om ’s avonds of in het weekend hun werk af te maken. De inzet van de medewerksr is te prijzen, maar het heeft risico’s. Vandaar dat ik werkgevers wil oproepen om aandacht aan veiligheid te besteden, en niet blind te zijn voor de risico’s. En dan geeft het geen pas een beschuldigende vinger naar de medewerkers op te heffen. Regel het dan fatsoenlijk!

Home | Voorwaarden | Disclaimer