Hoe ga je veilig om met samenwerkapps zoals Microsoft Teams?
Hybride werken - vanuit verschillende locaties - komt binnen bedrijven steeds vaker voor. Om online eenvoudig te kunnen blijven overleggen met je collega’s of externen, zonder fysiek in dezelfde ruimte te zijn, worden hiervoor samenwerkapplicaties gebruikt. Een bekend voorbeeld van zo'n applicatie is Microsoft Teams.
Hoewel samenwerken in zulke applicaties handig is, ligt er voor veel bedrijven een uitdaging om duidelijke protocollen te maken zodat je dit soort applicaties veilig gebruikt. Medewerkers kunnen bijvoorbeeld zelf gemakkelijk aparte samenwerkruimtes aanmaken. Door deze vrijheid ontstaan er ook weer risico’s voor de (online) veiligheid. Werk je als bedrijf met Microsoft Teams of een vergelijkbare samenwerkapplicatie? Lees waar je rekening mee kunt houden.
Malware
Voor veel mensen is Microsoft Teams geen onbekend terrein. Het is een handige applicatie om met zowel collega’s als klanten en externen samen te werken. Het betrekken van externen brengt wel risico’s met zich mee. Hoewel het een standaard instelling is dat externen specifieke beperkingen hebben, zoals het plaatsen van bestanden, is er onlangs een methode ontdekt en bekend gemaakt waarmee je deze beperking kunt omzeilen. Dit is een kwetsbaarheid die kan worden misbruikt in bijvoorbeeld een phishingaanval om malware binnen een bedrijf te verspreiden.
Grip op bedrijfsdata
Voor bedrijven is het soms lastig te bepalen waar je welke bedrijfsdata moet opslaan. Omdat er zoveel verschillende plekken en verschillende soorten data zijn, kun je het overzicht en grip verliezen op waar je bedrijfsdata staan. Ook bij samenwerkapplicaties is het van groot belang om goed na te denken welke informatie en data je kan en mag delen en met wie. Zo kan het zijn dat bepaalde data onbedoeld toegankelijk zijn voor zowel interne medewerkers als externen, terwijl dit niet de bedoeling is. Daarnaast kunnen bedrijfsdata verloren gaan omdat het op plekken komt te staan waar mogelijk geen back-up van wordt gemaakt. Of bedrijfsdata kunnen onbedoeld langdurig bewaard blijven in een 'vergeten' Teams-omgeving. Dit kan dan als gevolg hebben dat je bedrijf niet (meer) werkt conform de privacywetgeving AVG.
Kansen voor digitale veiligheid
Naast risico's biedt het gebruik van samenwerkapplicaties zoals Microsoft Teams ook kansen om de veiligheid te verbeteren.
Dit soort applicaties laten je op een andere manier omgaan met bedrijfsinformatie, wat flexibiliteit biedt maar ook de mogelijkheid om veel specifieker aan te geven wat je in welke omstandigheden mag doen met de (eventueel gevoelige) informatie.
Denk bijvoorbeeld aan de mogelijkheid om in te stellen dat toegang tot gevoelige informatie buiten kantoor alleen mogelijk is met sterke authenticatie, zoals tweefactorauthenticatie. Een andere mogelijkheid is het instellen van beperkte rechten (alleen lezen, niet bewerken) wanneer je de data benaderd vanaf een onbeheerd apparaat (bijvoorbeeld een privételefoon). Dit soort mogelijkheden kunnen jou en je organisatie helpen om security strategieën en principes als ‘zero trust’ te implementeren.
Bewuste medewerkers
Wist je dat de meeste cyberaanvallen beginnen met een klik op een phishinglink? Daarom is het belangrijk om medewerkers bij herhaling bewust te maken van de (nieuwste) technieken die cybercriminelen inzetten om je medewerkers te misleiden. Heb je hier al oefenmateriaal zoals quizzen of flyers voor?
Tips voor veilig werken met samenwerkapplicaties
De DTC Community geeft tips over veilig gebruik van samenwerkapplicaties
Met inbreng van de leden van de DTC Community is onderstaande lijst opgesteld met aandachtspunten voor het samenwerken in applicaties als Microsoft Teams.
-
Maak concrete afspraken met je medewerkers over het gebruik van samenwerkapplicaties. Vergeet niet om gemaakte afspraken te evalueren en zo nodig aan te passen om op die manier zowel de veiligheid als de productiviteit te waarborgen.
-
Bepaal het doel waar je een samenwerkapplicatie als Teams voor wilt gebruiken. Is het voornamelijk voor chat en video conference? Voor efficiënter samenwerken? Speelt het een belangrijke rol als documentbeheersysteem?
-
Denk na over de structuur hoe je verschillende teams en kanalen aanmaakt. Doe je dit per project of juist per afdeling?
-
Maak afspraken voor de benaming van ruimtes die je aanmaakt om overzicht te houden.
-
Beperk de “apps” die binnen ruimtes door medewerkers zelf kunnen worden toegevoegd om mogelijke beveiligingsrisico’s binnen onbekende apps te minimaliseren.
-
Overweeg om het aanmaken van nieuwe ruimtes te beperken. Standaard kan meestal elke medewerker deze aanmaken maar het kan verstandig zijn dit te beperken zodat bijvoorbeeld alleen de IT-afdeling dit kan om controle te behouden en ook een rol spelen in het afdwingen van gemaakte afspraken.
-
Zorg dat iemand verantwoording draagt over een aangemaakte ruimte zodat die persoon zich bijvoorbeeld bekommert over de levensduur en deze niet onnodig voor eeuwig in leven blijft.
-
Bepaal hoe je omgaat met externen. Externen kunnen uitgenodigd worden om deel uit te maken van een ruimte, of er kunnen bestanden met hen worden gedeeld. Afhankelijk van je eigen risicoafweging kun je dit limiteren tot alleen een aantal vertrouwde externe organisaties of het helemaal niet toestaan.
-
Laat je het delen van bedijfsdata met externen toe? Overweeg dan beperkingen zoals de maximale duur van het delen, of een bestand weer verder mag worden gedeeld en wat voor rechten een externe heeft tot deze data.
-
Naast het samenwerken aan bestanden is de chatfunctionaliteit ook een onderdeel waar bedrijfsinformatie kan worden gedeeld. Naast afspraken over of hier gevoelige bedrijfsinformatie mag worden gedeeld, kun je ook denken aan gedragsregels.
-
Ook samenwerkapplicaties kunnen in potentie misbruikt worden voor phishing. Zorg dat medewerkers hier alert op zijn. Neem in afspraken mee hoe om te gaan met externe links en dat ongebruikelijke of verdachte activiteiten worden gerapporteerd.
Veilig digitaal thuiswerken
Bedrijven nemen vaak maatregelen om op kantoor digitaal veilig te kunnen werken. Denk hierbij aan een antivirus op alle computers, een firewall, een beschermend wifi-netwerk en een apart netwerk voor gasten. Treft jouw bedrijf de belangrijkste veiligheidsmaatregelen die nodig zijn?