31jan
HNW & MFA
Eerst maar het HNW ontleden. HNW houdt in dat de medewerker in de gelegenheid is om tijd en plaats onafhankelijk te werken
op een wijze die het beste bij hem past. Voorvechters en bedenkers van HNW betogen dat de output bij HNW belangrijker is dan het aanwezig zijn op het werk of de gemaakte uren. Met het eerste, de output, is de gemiddelde werkgever het wel eens al zijn er natuurlijk legio beroepen waar HNW niet van toepassing is, denk daarbij bijv. aan stratenmakers, veerboot bemanningen, dierenverzorgers of onderwijzers. Het niet aanwezig zijn is over het algemeen niet onoverkomelijk, maar als we het over gemaakte uren hebben dan worden de werkgevers toch weer sceptisch. De meeste van hen vinden dat als er voor 36 uur betaald wordt dan moet je ook 36 uur werken.
Het is wel zo dat bedrijven die HNW hebben ingevoerd hun werknemers meer zelfstandigheid hebben toegedicht waardoor het personeel flexibeler kan werken.
De ICT-wereld was al geruime tijd bezig om het nieuwe werken mogelijk te maken. Immers als een medewerker thuis werkt moet hij wel kunnen beschikken over de juiste middelen, maar wat veel belangrijker is hij moet toegang hebben tot de noodzakelijke data.
Het toepassen van HNW bevond zich in een “normaal” ontwikkelingstraject. Bedrijven begonnen mondjesmaat te faciliteren en links en rechts werden er successen behaald. Totdat de wereld, en Nederland, geconfronteerd werden met de eerste Corona “lock-down”. Verplicht thuiswerken was het adagium. Werkgevers moesten wel en al spoedig kwamen de echte “bottle necks” naar boven. Met name de wat conservatiever ingestelde bedrijven met eigen systeembeheerder en een serverruimte in de kelder zagen al snel in dat dit de efficiëntie niet ten goede kwam.
Gelukkig had de ICT-wereld al het nodige voorbereid. Office 356 pakketten, Google docs en iWorks van Apple gingen als zoete broodjes over de toonbank. Ook werd massaal ingezet op Cloudapplicaties. Het gevolg was wel dat veel bedrijven zich niet realiseerden dat al hun gegevens letterlijk op straat lagen, bereikbaar via smartphone, iPad, laptops etc. Het gevolg: een significante toename v
an het aantal datalekken, veelal het gevolg van onvoldoende technische en organisatorisch maatregelen. Denk daarbij aan het ontbreken van wachtwoord protocollen, rondslingerde USB-sticks en datadragers. De stap naar de “Cloud” werd voor veel bedrijven een logisch oplossing. Naast deze ideale “oplossing” bleven de informatiebeveiligingsrisico’s onverminderd bestaan.
Ook hier kwam de IT-branche het bedrijfsleven tegemoet met een extra beveiliging de zgn. “Multi factor authentication”. MFA is een van de beste beveiligingsadviezen die een informatiebeveiligingsexpert kan geven. Tegenwoordig worden wachtwoorden steeds vaker gejat, niet alleen op je werk maar ook online. In beide gevallen is MFA een goede manier om kwaadwillende collega’s of hackers buiten de deur te houden.
Resume
Om je data te beveiligen zijn er drie authenticatiefactoren die bruikbaar zijn. Ten eerste: iets wat je kent of weet, bijv. een wachtwoord of Pincode. Als tweede; iets wat je hebt, bijv. een mobiele telefoon of speciale USB-Key; en als derde iets dat je bent, een “vingerafdruk”, “iris scan”, “facial recognition” of andere biometrische eigenschap.
MFA combineert twee of meer verschillende factoren. Bijvoorbeeld een wachtwoord of een eenmalig verzonden code via e-mail of SMS. Ook het sturen van een code naar een telefoon kan gezien worden als een tweede factor aangezien het iets is dat je hebt. SMS is onveilig en de code kan worden onderschept. Daardoor staat de via de SMS verstuurde code gelijk aan een wachtwoord.
Door het toepassen van MFA neemt de informatiebeveiliging met 99% toe en is 100% veiliger dan te vertrouwen op een enkel wachtwoord. Maak daarom gebruik van MFA als het wordt aangeboden.
Aangezien de mens de zwakste schakel is zijn er natuurlijk ook valkuilen. Een valkuil waar veel internetgebruikers in trappen zijn de websites die werken met MFA en de gebruikers de mogelijkheid bieden apparaten te markeren als vertrouwd wanneer zij voor de eerste keer beide factoren gebruiken.
Deze ogenschijnlijke klantvriendelijke actie maakt echter de MFA voor deze website weer ongedaan, aangezien dat ervoor zorgt dat gebruikers alleen nog maar een wachtwoord hoeven in te voeren. Dit kan dan wel goed zijn voor de gebruikersvriendelijkheid, het is echter niet goed voor de informatiebeveiliging. Als je MFA uitschakelt voor een vertrouwd apparaat, maak je het makkelijker voor criminelen om toegang te krijgen tot je account. Wees gewaarschuwd.
Een ander groot risico manifesteert zich als je je telefoon of ander device verliest. Je weet nooit wie hem vindt en criminelen kunnen op eenvoudige wijze het apparaat “unlocken”. Gelukkig geven de meeste sites je de mogelijkheid de “vertrouwd”-status in te trekken mocht je je apparaat verloren zijn.
Tot slot, laat de techniek zijn werk doen dat is veilig. Nonchalance en gemakzucht worden uiteindelijk duur betaald. Ransom ware is niet voor niets “booming business”.