Home Security Wat betekent een vierdaagse werkweek voor IT-beveiliging?

Wat betekent een vierdaagse werkweek voor IT-beveiliging?

Zscaler -
57

Nu de grootste pilot ooit voor het invoeren van een vierdaagse werkweek is voltooid – en een groot succes is – is het misschien de moeite waard onszelf af te vragen wat de impact hiervan is op IT-beveiliging.

Bijna 4.000 medewerkers van 61 organisaties namen deel aan het pilot onderzoek. De resultaten geven aan dat de omschakeling naar een vierdaagse werkweek heeft gezorgd voor een toename van motivatie en productiviteit. Inmiddels heeft ruim 92% van de deelnemers een werkweek van 32 uur volledig omarmd. Vergelijkbare pilots zijn uitgevoerd in onder meer Nieuw Zeeland. Uit dat onderzoek bleek dat medewerkers dezelfde of hogere productiviteitsniveau’s en meer welzijn rapporteerden als ze de optie krijgen om een werkweek van 32 uur te draaien voor hetzelfde loon.

Het is nog te vroeg om te zeggen of het serieuze tractie zal krijgen, en zelfs voorstanders geven toe dat dit niet zal werken voor iedere sector. Maar als we een tweede grote verandering krijgen in onze manier van werken in slechts vijf jaar, kan het geen kwaad om vóórdat het mainstream wordt, te overwegen wat de implicaties van een vierdaagse werkweek kunnen zijn op IT-beveiliging.

Toegang zonder context

Uit het Britse onderzoek bleek dat een vierdaagse werkweek niet per se betekent dat alle medewerkers vier volle dagen werken. Er zijn veel varianten waargenomen. Zo kozen sommige organisaties ervoor om de werkschema’s van medewerkers tijdens de proef te spreiden, om ervoor te zorgen dat er ten minste vijf dagen iemand aanwezig was en om zo aan de zakelijke vereisten te voldoen. Anderen werkten op wat operators ‘gedecentraliseerde’ uren noemden. Hierbij konden afdeling en individuen hun vrije dagen zelf kiezen. Weer anderen kozen ervoor om een werkweek van 32 verplicht te stellen en het aan de medewerkers zelf over te laten wanneer ze hun verantwoordelijkheden zouden vervullen. Sommigen varieerden hun werkdagen zelfs van week tot week.

Terwijl het wonderen doet voor de flexibiliteit van medewerkers, heeft het potentieel desastreuze gevolgen voor IT-teams die vertrouwen op voorspelbare gedragspatronen om beveiligingskeuzes te maken. De context rond toegang is een belangrijk element om te bepalen of iemand wel of geen toegang krijgt tot een applicatie. Maar neem een medewerker die normaal gesproken erg actief is in de werkomgeving op maandag, maar niet op vrijdag. Wanneer die medewerker profiteert van zijn nieuwe flexibiliteit om zijn dagen anders in te delen, zal een SOC-analist niet langer kunnen zeggen dat meer activiteit op vrijdag opvallend is. Dit elimineert een eerdere betrouwbare bron van context. Voor een medewerker is dit een onhandige blinde vlek, voor een hele organisatie is dit een beveiligingsrisico.

De locatie van het apparaat is een ander cruciaal contextelement dat door de vierdaagse werkweek in gevaar komt. In het Britse onderzoek gaf 52% van de deelnemers aan tijdens hun proefperiode meer te reizen. Dit kan een enorme toename betekenen van het aantal verzoeken voor toegang tot assets vanaf vakantiebestemmingen in het buitenland.

Detectie van een incident of aanval is sterk afhankelijk van een vastgestelde baseline van gedrag. Afwijkingen van die baseline zijn aanleiding voor verder onderzoek. Maar hoe stellen IT-teams een baseline vast wanneer er geen patroon is?

Problemen met apparaatbeheer

Een ander onbedoeld negatief gevolg voor IT-teams bij het invoeren van een vierdaagse werkweek, is het beheer van apparaten. Wanneer endpoints gedurende langere tijd niet op het netwerk zijn aangesloten, krijgen IT-teams te maken met onaangenaam lange perioden tussen updates en patches. Om apparaten te kunnen updaten moeten zij verbonden zijn met het bedrijfsnetwerk. Wanneer de volgende zero day wordt ontdekt, kan het dus enkele dagen duren voordat alle endpoints de nodige updates hebben ondergaan.

Ongetwijfeld zullen IT-teams nieuwe patch- en updateschema’s bedenken om tegemoet te komen aan nieuwe werkschema’s. Maar dat zal niet van de ene op de andere dag zijn en het zal een leercurve met zich meebrengen. Organisaties die besluiten om naar een vierdaagse werkweek te gaan, moeten dit neveneffect overwegen voordat ze veranderingen doorvoeren.

Een goede voorbereiding is het halve werk

Uiteindelijk kan een vierdaagse werkweek binnen een aantal jaar iets vanzelfsprekends worden. Managers zien het misschien als een uitbreiding van de gezondheidsvoordelen van initiatieven als fruit op kantoor. Organisaties die deelnamen aan het Britse onderzoek rapporteerden inderdaad lagere niveaus van stress, hogere productiviteit en minder verloop.

Maar het is lastig voor te stellen dat organisaties op ondernemingsniveau binnenkort al de overstap zullen maken. De meeste bedrijven die aan de proef deelnamen, hadden minder dan 25 medewerkers, de grootste rond de 1.000. Als grotere organisaties de overstap toch overwegen, moeten zij rekening houden met factoren als patchschema’s en de context van toegangsverzoeken. Er kunnen namelijk veel onvoorziene, IT-gerelateerde obstakels ontstaan als gevolg van zo’n ingrijpende verandering.

We weten echter dat degenen die gebruikers veilig met applicaties kunnen verbinden – ongeacht het netwerk, de locatie of het type apparaat – het beste beschermd zijn tegen verstoringen of veranderingen. Naast het implementeren van een zero trust netwerkarchitectuur, kunnen de volgende principes jouw organisatie helpen om veerkrachtiger te zijn en flexibel om te gaan met veranderingen, zoals het adopteren van een vierdaagse werkweek:

  • Go dark: stel waterdichte regels op om te voorkomen dat aanvallers via DNS en IP-pings toegang krijgen tot blootgestelde middelen.
  • Voorkom laterale bewegingen: verbindt gebruikers met applicaties, niet met netwerken.
  • Creëer een eigen context: maak gebruik van extra context door nieuwe integraties van endpointbeveiliging en oplossingen voor identiteitsbescherming en -verificatie. Registreer elke transactie door een SOC om nieuwe baselines te helpen creëren.
  • Stop backhauling: profiteer van de nabijheid van eindgebruikers tot regionale datacenters en verzeker wereldwijde prestaties door lokale aanwezigheid in de cloud.

Martyn Ditchburn, Director of Transformation Strategy bij Zscaler

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in