Hoe Aces Direct je bedrijf helpt een slim hybride beleid op te stellen

Hybride werken wordt steeds populairder, maar veel organisaties worstelen nog met de uitvoering. Welke afspraken maak je, en hoe zorg je dat de beveiliging gewaarborgd wordt? Dat leg je vast in een hybride beleid. We spreken erover met Robert Schmidt van Aces Direct.

“Sommige bedrijven denken dat het vanwege het feit dat het de laatste vijfentwintig jaar goed is gegaan, het de volgende vijfentwintig ook wel goed zal gaan”, vertelt Robert. “Zo werkt het helaas niet, het internet is niet meer zoals vroeger.”

Volgens Robert is de manier waarop je een hybride beleid inricht sterk afhankelijk van de sector. “Het maakt ook veel uit welke soort bedrijfsvoering je bedrijf heeft, in hoeverre je medewerkers veel kunnen thuiswerken of niet. Er is dus geen silver bullet. Wel zijn er een aantal standaard onderwerpen die in ieder goed beleid terugkomen.”

Antwoord op de meest gestelde vragen rondom een hybride beleid opstellen:

Waar begin je bij het schrijven van een hybride beleid?

“Begin met het bepalen van de belangrijkste processen en data. Wat moet er hoe dan ook blijven draaien en dus beveiligd worden? Zo heb ik eens twee bedrijven tegelijk geholpen. Een museum wilde dat de diaprojectoren het altijd bleven doen, bij een fabriek moest de fabricagelijn altijd blijven draaien”, vertelt Robert.

“Vervolgens bepaal je hoe je precies werkt, in hoeverre is dat mobiel? Werken we met een centrale of decentrale IT-omgeving? Gaan we naar de cloud, of juist niet? Dat heeft allemaal invloed op de manier waarop je het beleid schrijft.”

Datacentric databeveiliging 

Een belangrijk aspect van je hybride beleid is de databeveiliging. Daar zijn volgens Robert in de basis twee soorten aanpak voor:

  • Conventioneel: een gelaagd securitymodel wat zich vooral focust op de beveiliging van de devices, het netwerk en de applicaties en de toegang hiertoe, bijvoorbeeld door middel van VPN.
  • Datacentric: een methode die zich vooral richt op de beveiliging van data. Het apparaat dat de gebruiker inzet is hierbij minder belangrijk. Denk bijvoorbeeld aan een situatie waarbij eerst moet worden ingelogd wanneer een medewerker een doorgestuurd document wil openen.

Omdat bij hybride werken vaak locatie- en apparaatonafhankelijk wordt gewerkt, is  datacentric vaak het meest geschikt om te verwerken in je hybride beleid.

Alle datadragers vallen onder hybride beleid

Houd er rekening mee dat je bij een hybride beleid niet alleen mobiele apparaten of laptops als uitgangspunt pakt, maar dat je alle datadragers moet meenemen. Van USB-sticks tot laptops, alles valt onder het hybride beleid.

Hoe zorg je ervoor dat je hybride beleid nageleefd wordt?

Als je een hybride beleid wilt schrijven, is het belangrijk om niet alleen te kijken naar wat je als IT, HR of management wilt, maar juist ook naar wat medewerkers willen. Aces Direct doet daarom altijd een nulmeting: hoe gaat het nu en wat willen medewerkers graag anders?

Zo zorg je voor een breed gedragen beleid en voorkom je shadow-IT. “In de praktijk zie je bijvoorbeeld dat medewerkers even snel iets naar zichzelf mailen om thuis te printen”, vertelt Robert.

Lees meer over hoe je een beleid kunt laten aanslaan onder je medewerkers.

Voorbeeld hybride beleid

Zoals de meeste bedrijven is Aces Direct begin 2020 ook plotseling thuis gaan werken. Zij hadden hierbij het voordeel dat er al een thuiswerkbeleid was. “We werkten al vaker thuis, zeker als solutions advisors. Het was voor ons sowieso al prettiger om thuis rustig documenten uit te kunnen werken.”

“Het beleid dat we al hadden is de afgelopen twee jaar voortdurend aangescherpt, ook nu we weer naar kantoor mogen zijn we daar erg mee bezig. Het is dus een heel levend document.”

“Bij ons werd ook wel geworsteld met het weer teruggaan naar kantoor. Wanneer werken we op kantoor en hoe gaan we dat overbrengen? Je wilt mensen niet dwingen.” 

Flexibel opstellen

De medewerkers van Aces Direct werd gevraagd hoe zij het liefst hybride willen werken. Door daar rekening mee te houden, zorgt de organisatie voor draagvlak van onderaf. Ook besloot Aces Direct zich flexibel op te stellen waar het gaat om werktijden en werkplek. 

“Heel veel mensen zijn nu ingesteld op het thuiswerken. Kijk bijvoorbeeld naar scholen, die er vanuit gaan dat je toch wel thuiswerkt als je kind niet naar school mag wegens een uitbraak. Dan moet je bij veel werkgevers maar hopen op begrip.”

“Bij ons is dat geen enkel probleem, er staat geen prikklok bij de deur. Het is gewoon de bedoeling dat je je uren functioneel vult. We verwachten wel dat iedereen twee dagen op kantoor is, waarvan één dag voor de teammeetings”.

Waar gaat het wel eens mis zonder hybride beleid?

Robert komt soms bij klanten waar het nog niet zo goed geregeld is. “Zo kwam ik onlangs bij een bedrijf dat snel een terminal server had opgezet zodat mensen thuis konden inloggen. Die hadden ze publiek opengezet zonder VPN. Dat is natuurlijk nogal kwetsbaar, want met alleen een gebruikersnaam en wachtwoord ben je er niet.”

In eerste instantie zag het bedrijf de urgentie nog niet zo, totdat Robert hun hele financiële systeem tevoorschijn toverde. “Ik laat dan zien waar de zwakke plekken liggen, zodat we daarmee aan de slag kunnen.”

Gelukkig kon Robert snel een noodoplossing opzetten, zodat het acute gevaar verholpen was. “We hebben nu een tijdelijke VPN opgezet, er komt nog een structurele oplossing.”

Dergelijke adviezen zijn volgens Robert dan ook de grote meerwaarde van Aces Direct: “We leveren niet alleen de systemen, maar vertellen ook hoe je daar het beste op een veilige manier mee om kunt gaan.”

Wil je weten waar een goed beveiligingsbeleid aan voldoet en hoe je het onderdeel maakt van je integrale bedrijfsvoering? Download dan de gratis whitepaper ‘Het belang van een securitybeleid’.

Lees ook