Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Dataopslag

DOSSIER THUISWERKEN Wat moet je regelen

advertisement 
DOSSIER THUISWERKEN Wat moet je
regelen?
Telewerken kan zowel werkgever als medewerker snel veel opleveren. Het ‘rendement’
hangt af van het soort werk, de mate waarin telewerk wordt toegepast, de toestand van
de bestaande ICT-voorzieningen en de benodigde beveiliging. Deze vier factoren bepalen
welke maatregelen moeten worden genomen.
Carolien Glasbergen
Thuiswerken is al zo oud als de weg naar Rome, maar populairder dan ooit. In caobesprekingen worden afspraken gemaakt over flexibel werken en steeds meer bedrijven willen
hun medewerkers de mogelijkheid bieden om hun werk-privébalans te verbeteren. Wat is
thuiswerken eigenlijk en waarom willen mensen het? En wat moet dan worden geregeld?
Vragen die niet alleen de ICT-afdeling zou moeten beantwoorden. In de eerste plaats moet de
business erover beslissen. Vervolgens zal ICT gaan faciliteren. Voor die laatste geldt
logischerwijs: hoe meer applicaties van buitenaf gebruikt worden, hoe meer aandacht er moet
zijn voor security en voor de vertrouwelijkheid van gegevens. Daar zit de crux bij telewerken:
medewerkers faciliteren en vertrouwen en tegelijkertijd beveiligingsmaatregelen nemen, zodat
bedrijfsgegevens in goede handen zijn en blijven.
In veel reclames over het nieuwe werken is ‘thuiswerken’ synoniem aan ‘het nieuwe werken’:
files vermijden door eerst een uurtje thuis te werken, balans aanbrengen in werk- en
privéleven door overdag te sporten of met de kinderen bezig te zijn en ’s avonds nog even te
werken. ‘Plaatsonafhankelijk werken’ of kortweg ‘telewerken’ dekt de lading beter
dan‘thuiswerken’. Telewerken is er in allerlei variaties: ’s avonds thuis nog even een notitie
afmaken of mail wegwerken. Of een batchjob opstarten, naar huis gaan en af en toe checken
of de job nog goed loopt. Zo niet, dan is direct ingrijpen mogelijk. Eén of twee dagen telewerken biedt de gelegenheid om bijvoorbeeld geconcentreerd te
werken. Op deze dagen kan ook op afstand vergaderd worden. Een consultant die een aantal
dagen bij de klant aanwezig is, zijn rapporten thuis schrijft en op afstand overleg heeft met
een collega, is zowel bij de klant als thuis aan het telewerken. Een stap verder is tijd- en plaatsonafhankelijk werken stevig verankerd in de besturing, het
werkproces, de HR- en ICT-voorzieningen. Bijvoorbeeld in een callcenter, waar een
medewerker vanuit huis een paar klanten helpt en dan stopt om de kinderen van school te
halen en naar de BSO te brengen. Daarna kan hij vanuit huis opnieuw voor het callcenter
werken en klanten helpen.
Ook werken op flexwerkplekken valt onder telewerken. Zo is er een beweging bij de overheid
om binnen haar kantoren flexwerkplekken in te richten en open te stellen voor iedereen die bij
de overheid werkzaam is. Dat biedt de mogelijkheid bij een willekeurig overheidskantoor in
de buurt naar binnen te stappen en aan de slag te gaan. ICT-voorzieningen
Het klinkt mooi: de medewerker kiest een plek die goed past bij zijn activiteit en balans, en de
werkgever zorgt voor de ICT-voorzieningen om dat te ondersteunen. De werkgever moet zich
wel de volgende vragen stellen:
-
Hoe wordt gecontroleerd dat de medewerker die op het bedrijfsnetwerk inlogt,
bevoegd is en dat het werkelijk deze medewerker betreft? Kan de medewerker bij de gegevens die hij nodig heeft? En niet bij andere
informatie?
Hoe vertrouwelijk is welke informatie?
Kunnen ‘vreemden’ niet meekijken, meelezen of anderzijds informatie
ontvreemden?
Vindt telewerken incidenteel of structureel plaats?
Welke applicaties worden gebruikt?
Heeft de medewerker een eigen apparaat of een apparaat van de zaak?
Zijn er cloudtoepassingen in gebruik?
Het antwoord op die vragen is mede afhankelijk van de mate en vorm van telewerken, de
toestand van de eigen ICT-voorzieningen en, niet onbelangrijk: het beschikbare budget. Voor veilige toegang tot de ICT-bedrijfsvoorzieningen bestaan verschillende mogelijkheden.
Toegang tot het bedrijfsnetwerk is mogelijk door middel van een virtual private network
(VPN), waarbij toegang gegeven wordt door authenticatie en autorisatie. Vervolgens kan data
integer uitgewisseld worden tussen een lokaal apparaat en de bedrijfsvoorzieningen. Als met een VPN toegang is verkregen tot het bedrijfsnetwerk, kunnen (kantoor)applicaties en
intranet worden gebruikt op basis van server-based computing. Daarbij wordt de data bewerkt
op de bedrijfsvoorzieningen. In principe is er op het lokale apparaat geen opslag van data. Dit
kan prima samengaan met privéapparaten.
Ook is toegang mogelijk door middel van een bedrijfsapparaat – bijvoorbeeld een laptop van
het bedrijf, geconfigureerd volgens de bedrijfsregels – of een pc die zich, door virtualisatie,
gedraagt als een bedrijfsapparaat.
Voor authenticatie zijn verschillende toepassingen beschikbaar, de een strenger en robuuster
dan de ander. Denk aan de relatief simpele en veilige mogelijkheid dat medewerkers inloggen
op een beveiligde website en met een sms een code ontvangen op een van tevoren opgegeven
mobiel nummer waarmee ze verder kunnen inloggen. De grote vraag is wat medewerkers kunnen als ze eenmaal zijn aangemeld op het netwerk.
Welke mogelijkheden worden aangeboden? Toegang tot e-mail, agenda, intranet? Toegang tot
applicaties? Kennisbanken? Dit brengt ons op ‘beveiliging’.
Beveiliging
Het is zo’n simpel woord, ‘beveiliging’, maar er is veel voor nodig. Beveiliging dient het
bedrijfsnetwerk en bedrijfsgegevens te beschermen. Met behulp van identity- en
accesmanagement wordt bepaald en vastgelegd welke medewerker toegang heeft tot welke
onderdelen van het netwerk en tot welke applicaties en gegevens. Zo kan geregeld worden dat
een gast alleen toegang krijgt tot internet, en een ICT-functionaris tot de ontwikkelomgeving
van een bepaalde applicatie, maar niet tot een andere applicatie of tot de productieomgeving.
Een financieel medewerker heeft wel toegang tot de financiële applicatie, maar niet tot een
primaire applicatie. Naast autorisatie voor toegang tot bepaalde onderdelen van het netwerk is er ook nog die voor
toegang tot de applicatie zelf (inloggen). Deze kan ingegeven zijn door role-based
autorisaties. Op basis van een bepaalde functie wordt dan toegang verkregen tot bepaalde
applicaties. Toegang kan ook afhangen van het soort verbinding dat het apparaat maakt en het apparaat
waarop gewerkt wordt. Is het een vertrouwd apparaat – bijvoorbeeld een laptop die geheel als
bedrijfsvoorziening is geconfigureerd – en wordt gewerkt op een vertrouwd netwerk –
bijvoorbeeld het netwerk van de organisatie – dan zijn alle mogelijkheden waartoe een
medewerker is geautoriseerd beschikbaar. Maar als gewerkt wordt op een eigen apparaat,
waarbij de mate van beveiliging onzeker is en/of wordt gewerkt op een open hotspot (wifi),
dan zijn de mogelijkheden beperkt. Aan een eigen apparaat (bring your own device) kunnen eisen worden gesteld voordat het
gebruikt mag worden voor werk. Van een privéapparaat is onbekend hoe veilig het is. Voor
het synchroniseren van de agenda en mail op bijvoorbeeld een privésmartphone kan worden
geëist dat een veiligheidsprotocol wordt geactiveerd; bijvoorbeeld dat een password wordt
ingesteld dat ieder uur wordt geactiveerd, een actuele virusscanner aanwezig is en aanstaat en
het apparaat op afstand kan worden getraceerd en/of geschoond (wiped).
Cloud
In de afgelopen jaren zijn veel ICT-voorzieningen beschikbaar gekomen die niet binnen een
bedrijfsnetwerk staan, maar in de cloud. Voor standaardautomatisering zijn hier verschillende
mogelijkheden, die steeds professioneler en goedkoper worden. Medewerkers kunnen
makkelijk samenwerken en cocreëren in de kantoorautomatiseringsmodules die in de cloud
worden aangeboden, bijvoorbeeld Google Docs of Microsoft Office Live. Daarbij is meteen
zichtbaar of iemand aanwezig/online is, kan tegelijk met het bewerken van een document
worden gechat, et cetera. Als applicaties in de cloud staan, dan kan via internet toegang geregeld worden vanuit diverse
locaties, dus ook vanuit telewerklocaties. Beveiliging gebeurt niet (meer) vanuit het
bedrijfsnetwerk, maar bij de clouddienstenleverancier. Het is verstandig antwoorden te
formuleren op de volgende vragen alvorens gebruik te maken van de cloud:
-
Hoe privacy- en beveiligingsgevoelig is de informatie die in de cloud komt te staan?
Het is van belang te weten dat de data in Europa staat en niet opgevraagd kan worden
door de (Amerikaanse) overheid of erger.
-
Hoe is datarecovery geregeld en kan de data nog uit de cloud gehaald worden? Pas op
voor een vendorlock-in.
Wat als de leverancier failliet gaat of langere tijd onbeschikbaar is?
Veiligheidsniveau
Op basis waarvan worden de veiligheidsmaatregelen bepaald? Er is een wettelijk kader
gebaseerd op de privacywetgeving om bedrijfsinformatie in te delen. De mate van privacy is
hierbij ondergebracht in vijf categorieën; categorie 1 vereist geen specifieke privacy en voor
informatie uit categorie 5 moet precies vastgesteld zijn wie gegevens mag inzien en wijzigen.
Per categorie kan bepaald worden waar en op welke manier de informatie kan worden
geraadpleegd of gewijzigd. Zo kan ingeregeld worden dat medische gegevens alleen op
kantoor met de betreffende applicatie worden geraadpleegd en niet kunnen worden
gedownload naar een tablet of smartphone of verstuurd kunnen worden per e-mail. Verder worden beveiligingmaatregelen ingegeven door risicomanagement. Goed
risicomanagement analyseert welk incident zich kan voordoen, hoe groot de kans is dat dit
zich voordoet en welke impact het incident met zich meebrengt. Neem een bedrijfstelefoonboek. Als dit op een onbeveiligde privésmartphone geraadpleegd
kan worden, bestaat het risico dat onbevoegden het telefoonboek openen (incident). De kans
dat de smartphone in verkeerde handen terechtkomt, is reëel; smartphones staan hoog op het
lijstje van gestolen goederen. De impact is dat personen uit het bedrijf gebeld kunnen worden
door onbevoegden. De pers bijvoorbeeld kan het bedrijf in een slecht daglicht stellen door te
proberen privacygevoelige gegevens te verkrijgen. Ook is de kans aanwezig dat de telefoon
wordt doorverkocht of het telefoonboek wordt gedownload en de telefoonnummers worden
verkocht. De bedrijfsleiding moet beslissen of dit risico aanvaardbaar is en welke maatregelen moeten
worden genomen om het risico te verkleinen of de impact te minimaliseren. Zo’n maatregel is
bijvoorbeeld het raadplegen van het telefoonboek op een privésmartphone alleen toe te staan
als deze beveiligd is. Hiermee is het risico niet verdwenen, maar het risico dat het
telefoonboek geraadpleegd of gedownload wordt, is wel aanvaardbaar geworden.
Nog meer attentiepunten
Bij telewerken is het verder nog zaak na te denken over licenties. Licentiecontracten zijn vaak
ingewikkeld. Als medewerkers op een eigen apparaat werken, is de werkgever meestal
verantwoordelijk voor correcte licenties. Deze telewerklicenties moeten in het bedrijfscontract
zijn opgenomen, of er moet een vergoeding tegenover staan. Licentiebeheer moet als
onderdeel van software-assetmanagement goed worden ingericht. Daarnaast verdient de rol van de servicedesk aandacht. Mogen medewerkers de servicedesk
bellen voor problemen die ze met een eigen apparaat ondervinden? Wordt er onderscheid
gemaakt tussen problemen in de aansluiting, in het bedrijfsnetwerk en in het eigen apparaat
van de medewerker? En welke openingtijden worden gehanteerd?
Zelfredzaamheid van medewerkers is ook van belang. Ze zijn immers ‘admin’ van hun privépc en moeten zelf problemen kunnen oplossen. Als dat niet lukt, kan een standaardimage
uitkomst bieden. De vraag is ook of medewerkers voldoende bekend zijn met de
mogelijkheden van de ICT-voorzieningen. Veel functionaliteiten worden niet gebruikt omdat
ze onbekend zijn bij het grote publiek.
Als medewerkers zich niet alleen binnen het bedrijfsnetwerk, maar ook in het publieke
internet bevinden om hun werk uit te voeren, is het belangrijk dat zij zich bewust zijn van
digitale gevaren. Weten ze voldoende over het verzamelen en analyseren van data en hoe dit
gebruikt wordt door bedrijven die via internet werken? Voorbeeld zijn het opslaan van
locatiedata bij Apple en Google, het lezen van internetpakketjes door KPN en Vodafone en de
advertenties die Google aanbiedt op basis van de social media, zoekopdrachten en
websitebezoeken van de medewerker.
Niet faciliteren?
Natuurlijk kun je telewerken ook niet of nauwelijks faciliteren en het aan de medewerkers
over laten hoe ze hun behoefte oplossen. Dat is in veel gevallen een prima oplossing.
Medewerkers zijn inventief in het vinden van oplossingen voor hun wensen en behoeften en
er zijn vele goedkope oplossingen in de cloud aanwezig. Telewerken is daarom alleen een
probleem als de veiligheid van de bedrijfsgegevens erdoor in gevaar komt. In dat geval
kunnen er beter wel voorzieningen worden getroffen.
Carolien Glasbergen is senior projectmanager ICT bij UWV en vicevoorzitter Afdelingen
van het Ngi ([email protected]).
Related documents
Practicum par6.3 Proef 23b kWh meter
Practicum par6.3 Proef 23b kWh meter
Stages 2012-2013 @ iAdvise
Stages 2012-2013 @ iAdvise
5.2 Ontdooien van Omniplasma
5.2 Ontdooien van Omniplasma
KOPLAMPEN AFSTELLEN Koplamp
KOPLAMPEN AFSTELLEN Koplamp
Eisenbheer module CROW - CB-nl
Eisenbheer module CROW - CB-nl
[ Document - Stichting van de Arbeid
[ Document - Stichting van de Arbeid
1 - Raad van Kerken
1 - Raad van Kerken
Download
advertisement