Betekent het grote ontslag dat er wordt berust in minder cyberbeveiliging?

De pandemie heeft aangetoond hoe organisaties zich snel hebben aangepast aan werken op afstand. In wat de media "the Great Resignation" hebben genoemd, hebben werknemers zich ook snel aangepast, zozeer zelfs dat zij werken op afstand eerder als een nieuwe kans dan als een tijdelijke noodsituatie zien. In een recente LinkedIn-enquête noemde de helft van de respondenten flexibiliteit in de werklocatie in plaats van loon als de belangrijkste functieoverweging na COVID-19, vóór evenwicht tussen werk en privéleven, gezondheidsdekking en dekking van het personeelsbestand.

Volgens Mimecast-directeur van Labs & Threat Intelligence Francis Gaffney: "De COVID-19-pandemie heeft veel werknemers meer flexibiliteit en kwaliteitstijd voor het gezin opgeleverd, en wat nog crucialer is, heeft aangetoond dat de traditionele kantooromgeving niet nodig is voor een hoge en blijvende productiviteit."

Als werkgevers dus geen mogelijkheden op afstand blijven bieden, zijn werknemers steeds meer geneigd ontslag te nemen en elders aan de slag te gaan. Vandaar "het Grote Ontslag". Wat zijn de implicaties voor cyberbeveiliging voor organisaties die willen dat werknemers terugkeren naar kantoor, zelfs als dat een hoger personeelsverloop betekent?

Gaffney adviseert de leiding van organisaties om de nieuwe problemen en uitdagingen als gevolg van de pandemie en het werken op afstand te erkennen en aan te pakken, waardoor een groot personeelsverloop dreigt. "'Train mensen zodat ze kunnen vertrekken, behandel mensen zodat ze dat niet doen' is een vaak geciteerde stelregel die opgaat, en is vooral waar als het gaat om cyberbeveiliging. Investeren in personeel investeert in hun loyaliteit aan een organisatie en haar klanten", aldus Gaffney.

Mensen goed behandelen is van cruciaal belang om een stabiel personeelsbestand te behouden. Na de pandemie overwegen organisaties die werknemers terug op kantoor willen, hybride werkregelingen aan te bieden om tegemoet te komen aan werknemers die twee of drie dagen thuis willen blijven werken en de resterende dagen op kantoor willen werken. Voor bepaalde werknemers met gespecialiseerde vaardigheden en/of die van grote waarde zijn voor de organisatie, kan het de voorkeur verdienen om werken op afstand aan te bieden in plaats van het risico te lopen hen te verliezen. De keerzijde is natuurlijk dat het aanbieden van volledig externe functies aan bepaalde werknemers en niet aan anderen, ook kan leiden tot het verliezen van mensen die zich ondergewaardeerd of oneerlijk behandeld voelen als hen niet dezelfde regelingen worden aangeboden.

Voorbereiding op potentiële bedreigingen van een groot personeelsverloop

Organisaties die menen dat zakelijke redenen een volledige terugkeer naar kantoor rechtvaardigen, moeten zich voorbereiden op een hoger dan gebruikelijk personeelsverloop. Vanuit het oogpunt van cyberbeveiliging wijst Gaffney erop dat het vertrek van werknemers een hoge en langdurige bedreigingsvector kan vormen als dit niet goed wordt beheerd. Hierbij valt te denken aan de extra kosten voor het opleiden van de vervanger en het accepteren dat er enige tijd overheen gaat voordat deze "op snelheid is" met het beleid, de processen en de praktijken van de nieuwe organisatie (d.w.z. netwerken, hardware en op maat gemaakte software) die door een kwaadwillende bedreiger kunnen worden uitgebuit.

"Plaats degenen die naar een concurrerende organisatie vertrekken op 'tuinverlof' bij indiening en aanvaarding van hun ontslag," adviseert Gaffney. "Dit betekent dat de toegang tot het systeem alleen wordt beperkt tot functies die essentieel zijn voor de functie. Het belangrijkste is om de toegang tot gevoelige informatie en intellectueel eigendom te verwijderen. Dit omvat toegang tot zowel fysieke activa als netwerksystemen."

Organisaties die overgaan op een volledige terugkeer naar kantoor zijn bijzonder kwetsbaar voor ontevreden werknemers die op het punt staan hun dienstverband te beëindigen en zich oneerlijk behandeld voelen. Bij een gefaseerde terugkeer naar kantoor zijn er dagelijks minder mensen op kantoor, wat betekent dat er minder toezicht is op mensen die kantoorruimtes in- en uitgaan, met name beveiligde ruimtes. Tijdens de pandemie richtten organisaties zich op het verbeteren van de cyberbeveiliging voor externe bedreigingen van netwerken en diensten die in verbinding staan met externe werknemers. Vaak ging dit ten koste van de cyberbeveiliging tegen interne bedreigingen.

"Met minder mensen op kantoor loopt een kantoor dat de toegang tot fysieke en netwerktoegang niet goed heeft beveiligd en gereguleerd, een groter risico op bedreigingen van binnenuit," zegt Gaffney. "Ontevreden werknemers kunnen in de verleiding komen om wraak te nemen op het bedrijf met een kwaadaardige aanval. In sommige gevallen biedt een concurrent een financiële prikkel om de toegang tot gevoelige informatie te vergemakkelijken. Of, en dat is een steeds verontrustender aanvalsmethode, de insider identificeert een kwetsbaarheid in de netwerktoegang voor een hacker van een derde partij."

Overgangsverwarring vergroot kwetsbaarheden

Bovendien is de overgang van werken op afstand naar werken op kantoor, en met name hybride werkregelingen, kwetsbaar op het gebied van cyberbeveiliging. "De overgang kan verwarrend zijn, waarbij werknemers niet zeker weten wie op kantoor is en wie niet. Als het bedrijf geen specifiek plan heeft ontwikkeld voor de terugkeer naar kantoor, naast 'breng je laptop terug' voor een bepaalde datum, wordt deze potentiële verwarring alleen maar groter. Werknemers die afgeleid zijn, zijn bijzonder kwetsbaar voor phishing- en imitatieaanvallen die de bedrijfssystemen in gevaar brengen."

Organisaties moeten precies aangeven welke afdelingen en personeelsleden weer op kantoor zijn en welke protocollen moeten worden gevolgd om de integriteit van het netwerk te waarborgen. Bovendien is het altijd goed om regelmatig te wijzen op de mogelijkheid van nep-URL's en andere pogingen om zich voor te doen, vooral bij de terugkeer naar kantoorwerk.

Train mensen, zelfs als ze weggaan

Voortbordurend op Gaffney's eerdere opmerking om "mensen op te leiden zodat ze kunnen vertrekken", is cyberbewustzijnstraining van cruciaal belang, vooral voor organisaties in een overgangsfase. Bedenk dat veel aanvallen gebaseerd zijn op verwarring en afleiding bij de gebruiker, wat tijdens de pandemie is toegenomen en ook na de pandemie blijft toenemen.

90% van alle inbreuken op cyberbeveiliging is te wijten aan vermijdbare menselijke fouten. Ongeacht waar werknemers werken en hoe lang werknemers voor een organisatie blijven werken, is een effectieve beveiligingsstrategie er een die werknemers helpt goede keuzes te maken en veelvoorkomende valkuilen te vermijden die onbewust uw netwerken en bedrijfscontinuïteit in gevaar brengen.

Net zo belangrijk zijn natuurlijk kosteneffectieve beveiligingscontroles die aanvallen detecteren nog voordat ze uw mensen bereiken. Mimecast combineert gebruikerseducatie om medewerkers bewuster en voorzichtiger te maken met betrekking tot cyberbedreigingen met toonaangevende technologieën en best practices om bescherming te bieden tegen compromittering, en helpt uw organisatie zich aan te passen aan een bedreigingslandschap dat voortdurend in beweging is.

De kern van de zaak

In de huidige realiteit van hoge dreigingen moet cyberbeveiliging top of mind zijn voor elke organisatie, maar in het bijzonder voor organisaties die overgaan op in-office en/of hybride werkregelingen om te anticiperen op een Groot Ontslag onder hun personeel. Gaffney dringt sterk aan op een "zero trust"-aanpak.

"Ga ervan uit dat compromittering altijd mogelijk is," zegt hij. "Hoewel de meeste werknemers verantwoordelijk en professioneel zijn en het onwaarschijnlijk is dat ze kwaadwillig handelen wanneer ze het bedrijf verlaten, vormen ze in tijden van overgang en onzekerheid een doelwit bij uitstek voor kwaadwillenden. Educatieve programma's zijn van het grootste belang om het bewustzijn te vergroten en het risico van phishing, imitatie en andere e-mailgebaseerde kwetsbaarheidsaanvallen te verkleinen. Ten slotte is de beste vorm van cyberverdediging het gebruik van een meerlagig, getest en 'defense-in-depth' model om elke inbraak te bestrijden of te beperken.