“Hybride werken heeft de toekomst. Het is een van de leerpunten die we meenemen uit de coronacrisis.” Aldus Minister Karien van Gennip van SZ&W in een recente Kamerbrief. Ook overheden gaan steeds meer mee in dit nieuwe werken. Maar is dat wel veilig? Niet als security op de oude voet doorgaat.
Dit artikel is verschenen in magazine AG Connect van juni 2022 en is geschreven in samenwerking met Citrix.
Net als bedrijven die hybride werken omarmen, moeten ook overheden de traditionele werkomgeving herzien. Deze was doorgaans gebaseerd op een on-premises omgeving met bijvoorbeeld thin clients en een virtuele werkplek . De verwachting was kortom dat het werk op locatie gebeurt. De hybride gebruikersverwachting is natuurlijk anders, en dat gaat verder dan een thuiskantoor waar een deel van de tijd wordt gewerkt. Écht hybride werken betekent bijvoorbeeld dat je ‘s ochtends thuis op je smartphone begint, in de trein naar kantoor verder gaat op een laptop, die eenmaal daar aan een dockingstation met dubbele monitor kan worden gekoppeld.
De toch al complexe IT-omgevingen van overheden worden daarmee nóg complexer – niet alleen om te gebruiken, implementeren en beheren, maar zeker ook om te beveiligen.
De inrichting van een hybride werkplek
Wanneer het woord ‘hybride’ valt, is het bijna een reflex om aan ‘cloud’ te denken. Dat klinkt logisch, als het beeld van de traditionele werkplek is gebaseerd op ‘on-premises’ en ‘desktopvirtualisatie’. Maar hybride werken betekent ook hybride applicaties: on-prem, mobiel, web-based, SaaS. Nieuwe vormen van werken voor gebruikers, die beheerd én beveiligd moeten worden en dat kan averechts werken. Denk maar aan de eerste lockdowns, waarin organisaties overhaast VPN-oplossingen en videoconferencing implementeerden zonder gedegen security-strategie. Ook kan verSaaSing leiden tot silo’s in de IT-omgeving, waardoor IT-teams inzicht en overzicht missen in de omgeving, gevoelige data verspreid staat in clouds en deze hierdoor niet goed kunnen beheren en beveiligen.
Bij de implementatie van hybride werkplekken is het daarom een prioriteit om overzicht te creëren met behulp van oplossingen die de uiteenlopende use cases en applicatietypes bij elkaar brengen en centraal inzichtelijk maken. Desktop-as-a-Service-oplossingen (DaaS) en Application Delivery Controllers zijn voorbeelden van technologieën die dit inzicht verschaffen. Niet onbelangrijk is dat DaaS en ADC’s ook de performance van werkplekken versterken, want zeker in het hybride tijdperk verwachten werknemers een vlekkeloze gebruikerservaring wat betreft applicatiegebruik.
Zero Trust is het mantra
Een goed presterende hybride omgeving is onbruikbaar als deze niet goed is beveiligd. Net als bij het beheer van de omgeving, geldt ook voor security dat inzicht en overzicht essentieel is. Dezelfde oplossingen die je kunt gebruiken voor het leveren van de werkplekken, DaaS en ADC, fungeren tevens als security tools, omdat ze ook fijnmazige controle bieden over het gedrag van applicaties en de veiligheid van de zogenaamde endpoints. De endpoints zijn een cruciaal aandachtspunt voor hybride security.
In hybride omgevingen draait namelijk security niet meer om het verdedigen van de buitengrenzen van de omgeving. Er is immers geen sprake meer van een volledig centrale, met een firewall afgekaderde omgeving. De risico’s breiden zich in hybride omgevingen uit naar de vele endpoints die zich buiten het veilige kantoornetwerk bevinden.
Omdat het onmogelijk is om zo’n omgeving volledig dicht te timmeren, omarmen steeds meer organisaties de Zero Trust-benadering. Daarbij ga je er kortgezegd vanuit dat organisaties geen enkel apparaat en geen enkele gebruiker in het netwerk zomaar mogen vertrouwen, en richt je de beveiliging daar op in. Concreet betekent dat segmentering binnen de IT-omgeving, het toepassen van ‘least privilege’-principes bij het verschaffen van applicatietoegang en continu monitoren en al dan niet geautomatiseerd acteren op verdacht gedrag.
Bij monitoring speelt het Security Operations Center (SOC) een hoofdrol. Een SOC is een (al dan niet extern) controlecentrum van waaruit de gehele omgeving in de gaten wordt gehouden en actie wordt ondernomen in geval van een bedreiging. Voor de monitoring en analyses wordt Security Information & Event Management (SIEM) tooling ingezet. Als beide elementen worden geïntegreerd binnen de organisatie, biedt de combinatie SOC/SIEM een belangrijke verdediging tegen cybercrime. Vandaar ook dat het als eis is opgenomen in de BIO-richtlijnen.
De ontzorging van een veilige, hybride werkplek
De noodzaak van veilige hybride werkplekken binnen overheden is hoog. Er worden budgetten, tijd en middelen voor vrijgemaakt en het onderwerp staat hoog op de bestuursagenda. Ook worden vanuit de Rijksoverheid de adviezen en verplichtingen omtrent security voortdurend aangescherpt. Maar richtlijnen ten spijt, is niet iedere organisatie in staat de veiligheid van hun werkplekken te borgen. Dat is onmiskenbaar het gevolg van een wereld waar security een zeer specialistisch speelveld is geworden en de benodigde kennis schaars is.
Outsourcing van applicatie-, data- en werkplekbeheer en -beveiliging biedt een weg voorwaarts, om bij gebrek aan interne capaciteit toch de gebruiksvriendelijkheid van een hybride werkplek te bieden én deze veilig te houden. PQR begeleidt en ontzorgt overheden op deze weg naar hybride werken met partners als Citrix en Microsoft, waarbij in onder andere de DaaS- en ADC-oplossingen security is ingebakken in een hoogwaardige gebruikservaring. Tevens biedt PQR SIEM/SOC managed diensten die in slechts een aantal dagen en met beperkte doorlooptijd worden opgebouwd voorzien van 2000+ use cases.
Heeft u vragen over security of wilt u gewoon eens sparren? Neem contact op met PQR.