Beveiliging voor externe medewerkers beheren: De ervaring van Mimecast IT

Net als veel andere organisaties stond Mimecast door de COVID-19 pandemie voor de uitdaging om een ongekende toename van het aantal medewerkers dat op afstand werkt, in goede banen te leiden. In dit bericht delen twee van de belangrijkste interne technologieleiders van Mimecast - Rich Arsenault, VP van Infrastructure and Services, en Neil Clauson, Senior Manager van Security Operations - wat zij hebben geleerd over het beheren en beveiligen van een extern personeelsbestand in deze buitengewone periode.

V: Hoe beheert u de technologiestrategie in een tijd als deze, waarin de situatie voortdurend verandert en de toekomst zo onzeker lijkt?

Arsenault: We nemen voortdurend beslissingen over het onbekende. We verzamelen veel meer gegevens over wat we hebben gedaan, waar onze medewerkers zich bevinden, en hoe we ons voelen over waar we zijn. In IT-organisaties had je meestal een eindresultaat voor ogen: je wist wat je moest opleveren, en wanneer. Maar we kunnen niet weten hoe lang COVID-19 zal duren. Eerst dachten we dat we in juni weer op kantoor zouden zijn. Nu, weten we het niet.

Wij moeten dus op kortere termijn werken, onze zakelijke behoeften nog beter begrijpen en ernaar streven deze zo veilig en doordacht mogelijk te verwezenlijken. We kennen onze doelstellingen voor het huidige fiscale jaar en onze eisen aan onze klanten. En we voeren dat plan uit.

V: Kunt u ons een voorbeeld geven van hoe u dat doet?

Arsenault: Ten eerste zijn we nog meer gefocust op hoe we met klanten omgaan. Onze mensen hebben technologie nodig om productief te zijn in gesprekken met nieuwe klanten, en om de samenwerking in een verkoopcyclus vooruit te helpen. En we moeten de relaties met bestaande klanten versterken. Hoe kunnen we mensen in onze grote supportorganisatie van technologie voorzien, zodat ze niet alleen met klanten in gesprek kunnen gaan, maar ook met hun collega's? Voorheen kon een call center-medewerker gewoon naar zijn buurman leunen en vragen: Ik heb dit probleem, heb jij het ook gezien en wat heb je gedaan?

We hebben een toename van 1000% gezien in het gebruik van Slack. We gingen van 1.500 Zoom-gesprekken per week naar 2.000 per dag, waarvan 80% video. Het is niet alleen het hebben van deze tools; het is ervoor zorgen dat mensen weten hoe ze ze moeten gebruiken. Het is begrijpen: is de tool efficiënt? Voldoet het aan de bedrijfsvereisten?

V: Hoe ontdekt u of de hulpmiddelen werken voor de mensen en het bedrijf, en wat doet u met wat u leert?

Arsenault: Wij houden voortdurend enquêtes onder de mensen. Op dit moment houden we weer een IT-enquête om feedback te verzamelen over de werkomgeving: hoe we werken, wat IT voor hen kan betekenen. We hebben ook gezorgd voor extra financiering om werknemers te helpen comfortabel te worden in hun thuiswerkplekken.

Zelfs eenvoudige thuiswerkbehoeften kunnen nieuwe oplossingen vereisen. Stel dat een werknemer een rol papier heeft gekocht voor zijn printer thuis. Vroeger nam hij misschien een rol papier van kantoor mee naar huis. Nu hebben we technologie nodig om mensen te helpen dat papier te krijgen en het correct te declareren. Daar kan heel wat bij komen kijken.

V: Jullie zijn leiders geweest in de overgang naar de cloud. Hoe werkt dat, in termen van het beheren van een extern personeelsbestand?

Arsenault: We hebben de organisatie geleid als een cloud-first bedrijf: 90% van onze zakelijke toepassingen zijn vandaag de dag cloud-gebaseerd. En we hebben die lineaire schaalbaarheid in deze platforms gezien zonder een overeenkomstige toename van de toewijzing van middelen aan onze kant. Voor ons heeft de cloud zich geschaald op de manier waarop dat de bedoeling was.

We hadden rekening gehouden met pieken in de bezetting, maar niemand verwachtte hoe die eruit zouden zien in een thuiswerk scenario zoals COVID-19. En eerlijk gezegd, sommige schattingen waren magnitudes off. Denk aan een toename van e-mail met 300%. Het is geweldig dat we Mimecast cloud technologie hadden om dat te schalen, maar zo'n stijging hadden we nooit verwacht. Onze Exchange-omgeving werd op de proef gesteld. Was het zonder pijn? Nee. Was het succesvol? Ja.

V: Hoe zit het met de beveiligingsimplicaties van de afhankelijkheid van cloud-applicaties?

Clauson: Hoe meer cloudgebaseerde resources u hebt, hoe minder mensen een VPN in het netwerk nodig hebben. Zonder cloudgebaseerde patching, scanning van kwetsbaarheden en endpointsystemen zou je het zicht kunnen verliezen op apparaten die niet zo vaak meer binnenkomen. Beveiliging moet dus ook naar de cloud verschuiven om dat overzicht te behouden.

Wij zijn er goed in geslaagd om het gebruik van niet-goedgekeurde diensten te vermijden, maar veel bedrijven hebben wel met dat probleem te maken: mensen gebruiken een onbeveiligde webapp omdat dat gemakkelijker is. Nu ze niet via VPN naar binnen kunnen, kunnen traditionele firewalls dat niet voorkomen. Wij zijn op succes voorbereid omdat we onze cloudgebaseerde beveiligingsagent van Mimecast gebruiken. Maar bedrijven die niet hebben geïnvesteerd in cloudbeveiliging kunnen de zekerheid verliezen.

Wat betreft forensisch onderzoek van cyberaanvallen: als u niet had geïnvesteerd in een cloudgebaseerd hulpprogramma voor detectie en reactie op endpoints, en uw oplossing voor incidentrespons bestond uit het naar de getroffen persoon toelopen en hun laptop afnemen, zou de beveiliging van externe medewerkers een echte uitdaging zijn.

V: Wat hoor je van je collega's?

Arsenault: De collega's met wie ik heb gesproken en die gebruik hebben gemaakt van de cloud, hadden soortgelijke ervaringen. Ze zijn over het algemeen tevreden. Anderen zijn nog steeds brandjes aan het blussen, nog steeds bezig met het operationeel krijgen van het bedrijf. Een collega heeft een callcenter in Las Vegas. Zij moesten elke laptop bij Best Buy kopen om hun callcentermensen in staat te stellen vanuit huis te werken. Gelukkig had 90% van de werknemers van Mimecast al wat werk van thuis uit gedaan.

V: Kunt u iets meer vertellen over de veiligheidsimplicaties van thuiswerken?

Clauson: Een deel van de uitdaging is dat je computer altijd aan staat. Wat gebeurt er als je kind erop springt en begint te surfen op ongepaste sites? Het is een traditioneel probleem, maar het is nu groter geworden omdat mensen meer vanuit huis werken en overdag in en uit het huis zijn.

Arsenault: We hebben een gezamenlijke inspanning gedaan om Mimecast-producten te gebruiken als bewustmakingstraining. Dus werknemers krijgen zeer gerichte bewustwordingstraining om zich te richten op uitdagingen zoals: laat je laptop niet ergens achter. In de praktijk hebben we een groter probleem gehad met mensen die dingen morsten. We zijn meer laptops kwijtgeraakt door ongelukjes dan ooit tevoren.

Clauson: Er is ook back-up. Hoe zorg je ervoor dat er een back-up van laptops wordt gemaakt en dat de privacy wordt bewaakt? We volgen een defense-in-depth strategie, maar alle tools moeten samenwerken om IT-functionaliteit, beveiliging en productiviteit naadloos op elkaar te laten aansluiten.

Gebruikers zijn gestrest. Hoe meer druk je op hen legt voor zaken die zij misschien niet als kritiek beschouwen, hoe hoger je risico's. Dus, vermijd wrijving waar mogelijk.

V: Mimecast houdt zich bezig met beveiliging. Welke invloed heeft dat op de manier waarop u personeel op afstand beheert?

Arsenault: Beveiliging is verankerd in alles wat we doen en elke werknemer kent zijn verantwoordelijkheden. We sturen ze updates van onze CISO over waar ze op moeten letten - niet alleen voor hun zakelijke wereld, maar ook voor hun persoonlijke wereld. We weten allemaal dat spam en phishing op dit moment de pan uitrijzen, en we willen onze mensen volledig beschermen, niet alleen hun werkomgeving.

V: Dit werpt de vraag op of veiligheid een onderdeel van de organisatiecultuur moet worden.

Arsenault: Wij zeggen dat veiligheid een teamsport is. Als dat niet het geval is, is dit een goed moment voor een cultuurverandering. COVID-19 verandert bijna alles aan de manier waarop bedrijven werken, waarom zou u beveiliging niet een sterker onderdeel van uw cultuur maken?

Ik zie mijn collega's zeggen: nu is het tijd om strategische veranderingen door te voeren in hoe we met werknemers omgaan en wat onze verwachtingen zijn. Werknemers staan er veel meer voor open. Vroeger zagen we culturele verschillen op basis van geografie, maar dat zien we niet met het Coronavirus. Wereldwijd wil iedereen hetzelfde resultaat, en iedereen wil deel uitmaken van het team.

Clauson: Te midden van tegenspoed liggen kansen. Verlichte bedrijven leunen een beetje tegen de pijn in.

Zoals we al eerder bespraken, hebben we er goed aan gedaan werknemers te vragen mee te doen - hen te vragen hoe ze zich voelen, waar ze moeite mee hebben, wat pijnlijk is. Hoe meer je mensen erbij betrekt, hoe groter de kans dat ze de gewenste veranderingen zullen overnemen. Wij zeggen: we zitten allemaal in hetzelfde schuitje. Help ons u te helpen.

Arsenault: Als we thuis werken, schieten we niet zo vaak met Nerf-geweren op elkaar. Die persoonlijke tijd heeft ons altijd geholpen om relaties en een cultuur op te bouwen. Nu nemen we nieuw personeel aan dat die kans nog niet heeft gehad.

Clauson: Veel van de mensen die we in de afgelopen 90 dagen hebben aangenomen, zijn nog nooit op een Mimecast-kantoor geweest. Dus leren we onze cultuur van op afstand, via een uitgebreide onboarding, en via Zoom.

V: Hoe werkt dat?

Clauson: Het zal even duren voordat alle gegevens binnen zijn. Als een operationeel persoon, vergelijk ik productiviteit. Ja, er zijn wat meer middelen nodig om de nieuwe mensen van dit jaar op snelheid te krijgen, maar uit de gegevens tot nu toe blijkt dat ze binnen een paar weken even efficiënt werken als de nieuw aangeworven mensen van vorig jaar.

V: Is er nog iets dat u zou willen zeggen over het veilig managen van een personeelsbestand in de huidige omgeving?

Clauson: De organisatie moet volledig op één lijn zitten. Rich en ik kunnen goed met elkaar opschieten. In veel bedrijven is er een grote strijd tussen IT en beveiliging. Als die twee elkaar beconcurreren, is het tijd om de strijdbijl te begraven. Het is Rich en ik tegen de wereld, niet tegen elkaar.

De kern van de zaak

De pandemische verschuiving naar werken op afstand heeft voor veel organisaties ongekende uitdagingen op het gebied van technologie en beveiliging met zich meegebracht. Succes hangt af van een soepele integratie van cloudtoepassingen en beveiliging, uitgebreide communicatie zowel intern als extern, en het gebruik van tools op afstand om zowel de cultuur als de productiviteit te versterken. De verschuiving naar werken op afstand biedt een kans - en betekent dat het nog belangrijker is - om cyberbeveiliging tot een kernelement van de organisatiecultuur te maken.