Business Continuïteit: zes tips voor CISO’s

Deze ongekende gezondheidscrisis dwingt organisaties ertoe hun business continuïteitsplannen (BCP), die een centraal onderdeel van de bedrijfsstrategie zouden moeten zijn, te evalueren. Het merendeel van de Nederlanders is gedwongen thuis te werken. Maar dat is makkelijker gezegd dan gedaan. Waar veel organisaties dachten dat ze alle faciliteiten hadden om thuiswerken voor onbepaalde tijd mogelijk te maken, blijkt de realiteit vaak anders.

Een operationele uitdaging: werken op afstand mogelijk maken voor iedereen

BCP gaat nu (noodgedwongen) over thuiswerken. Veel IT-organisaties plannen hun netwerkcapaciteit voor toegang op afstand voor ongeveer 20 tot 30 procent van de workforce. Maar wat gebeurt er als dit percentage van de ene op de andere dag groeit naar 100 procent? IT-leiders over de hele wereld ervaren nu dat het niet eenvoudig is om iedereen thuis online te krijgen:

• Meer werknemers maken gebruik van VPN om toegang te krijgen tot de bedrijfsmiddelen. Is de infrastructuur hier op berekend?
• Om een volledige workforce online te krijgen, moeten ze allemaal apparaten hebben met internetverbinding. Ondanks dat organisaties dit weten, hebben niet alle medewerkers een laptop. Daarnaast heeft niet iedereen een geschikt apparaat thuis om mee te werken;
• Er zijn vaak allerlei collaboration-tools aanwezig voor vergaderingen of instant messaging. De vraag is: zijn er ook genoeg licenties beschikbaar als iedereen er (tegelijk) gebruik van wil maken?

De keerzijde van toegang op afstand: nieuwe blootstellingen aan bedreigingen en werknemers die security-maatregelen omzeilen voor snelheid

Naast remote access-beperkingen doet zich nog een ander gevaar voor. Als de organisatie op VPN vertrouwt voor toegang tot interne middelen en/of uitgaand internet, dan wordt het potentiële aanvalsoppervlak significant uitgebreid op het moment dat meer werknemers toegang op afstand willen. Hoe groter de afstand die corporate data moet afleggen, hoe groter de kans dat deze wordt onderschept.

Daarnaast kan dit probleem worden verergerd door gebruikers die Netflix-achtige downloadsnelheden gewend zijn thuis. Zij kunnen gefrustreerd raken door vertraging die optreedt door VPN-beperkingen en MPLS-backhauling. Het risico is dat zij veiligheidscontroles omzeilen om hun werk sneller te kunnen doen en daarmee interne systemen verder blootstellen aan aanvallen van buiten.

Belangrijk bij mogelijk maken van werken op afstand: Prioritisering, triage en lokale internet-breakouts

Het is tijd om de manier waarop we over security denken te veranderen. Deze gezondheidscrisis versnelt veranderingen in hoe werknemers veilig toegang krijgen tot applicaties en data. Werken op afstand moet mogelijk zijn zonder afbreuk te doen aan security. Dit betekent niet minder security, maar dit betekent andere security.

Wat kunt u als CISO doen om werken op afstand mogelijk te maken en rekening te houden met de eerder genoemde verbindings- en security-uitdagingen. In dit ‘nieuwe normaal’ zal een CISO triage-beslissingen moeten maken:

• Prioriteer werk: Welke taak heeft de meeste prioriteit? Welke middelen zijn nodig? Welke taken kunnen uitgesteld worden of zelfs komen te vervallen?
• Prioriteer toegang: Hoe kan toegang afgestemd worden op werkprioriteiten? Welk werk vereist constante verbinding? Welk werk vereist slechts af en toe verbinding? Tiered connectiviteit voor werknemers gebaseerd op hun prioriteiten kan overwogen worden.
• Prioriteer apparaten: Bepaal wie de grootste behoefte heeft aan een bedrijfslaptop.
• Beheer collaboration-apps: Er zullen meer licenties nodig zijn. Werk op de korte termijn samen met finance om ‘on hold’ budget (bijvoorbeeld voor zakelijke reizen of evenementen) te herdistribueren, en zo werken op afstand beter te kunnen faciliteren.
• Spreid werkuren: Als het erop aan komt zal essentieel werk naar nachturen verplaatst moeten worden om overbelasting van het netwerk te voorkomen.
• Zet lokaal internet in: De cloud (specifiek secure access service edge computing) biedt hoop. Als werknemers direct (en veilig via een inline security proxy) verbinding maken met resources, wordt de attack surface verkleind en worden VPN knelpunt conflicten verlicht.

In deze tijd is niets belangrijker dan uw gezondheid en de gezondheid van uw werknemers. Het beste wat u als CISO kunt doen, is werken op afstand mogelijk maken. Organisaties die dit op orde krijgen zullen een concurrentievoordeel hebben wanneer deze gezondheidscrisis voorbij is. Daarnaast is het belangrijk om ook na deze crisis niet te stoppen met het maken van continuïteitsplannen. U zult beter voorbereid zijn als zich een volgende crisis aandient.

Door Stan Lowe, Global Chief Information Security Officer bij Zscaler