Beleid inzake werken op afstand

Het Beleid inzake werken op afstand (P09) biedt een uitgebreid kader voor het beheren van veilige toegang op afstand en het beperken van de unieke risico’s die samenhangen met gedistribueerde werkomgevingen. Het is ontworpen voor al het personeel, waaronder fulltime, parttime, contractmedewerkers, dienstverleners van derde partijen, consultants, derdepartijleveranciers en projectteams, die geautoriseerd zijn om werkzaamheden uit te voeren buiten de bedrijfsgebouwen. Het beleid is van kracht in alle geografieën en tijdzones waarin de organisatie actief is en waarborgt een uniforme baseline van beheersmaatregelen, ongeacht waar of wanneer werken op afstand plaatsvindt. Het kerndoel is het handhaven van vertrouwelijkheid, integriteit en beschikbaarheid van informatieactiva van de organisatie die off-site worden benaderd of verwerkt. Het beleid bereikt dit door robuuste technische en procedurele mitigerende maatregelen in te voeren, zoals verplichte encryptie, sterke authenticatie (waaronder multifactorauthenticatie), endpointbescherming en beveiligde toegangskanalen zoals virtueel privénetwerk (VPN) of externe bureaubladen. Het sluit nauw aan op de eisen van ISO/IEC 27001:2022, waaronder Annex A beheersmaatregel 6.7, die zich richt op veilige omstandigheden voor werken op afstand en waarborgt dat zowel fysieke als logische toegang worden afgedekt. De beheersmaatregelen sluiten ook aan op sectorregelgeving zoals NIST SP 800-53 (voor toegangs- en cryptografische beschermingen), GDPR en NIS2 (voor gegevensbeveiliging en gegevensprivacy) en DORA (voor financiële ICT-veerkracht). Specifieke onderdelen van het beleid beschrijven rollen en verantwoordelijkheden binnen uitvoerend leiderschap, informatiebeveiligingsleiding (Chief Information Security Officer (CISO)/ISMS-manager), IT-operaties, Human Resources (HR), lijnmanagers, Juridische zaken en compliance, en het personeel dat op afstand werkt. IT is bijvoorbeeld verantwoordelijk voor het uitrollen en ondersteunen van veilige infrastructuur, het volgen van apparaatnaleving en het onderhouden van logs. Werknemers en gecontracteerde medewerkers op afstand moeten zich houden aan veilig gebruik van apparaten, goedgekeurde toegangsmethoden, regels voor gegevensverwerking en het tijdig melden van beveiligingsincidenten of verlies van apparaten. Het beleid verbiedt strikt toegang op afstand buiten geautoriseerde configuraties en vereist dat alle apparaten, zowel bedrijfs-IT-activa als Bring Your Own Device (BYOD), voldoen aan basiseisen voor beveiliging (configuratiebeheer, patchen, encryptie, malwarebescherming) en vereisten voor registratie van bedrijfsmiddelen. Governancemechanismen binnen het beleid behandelen risicobehandeling, uitzonderingsbeheer en handhaving en naleving op rigoureuze wijze. Risicocategorieën zoals diefstal van authenticatiegegevens, data-exfiltratie, mitigatie van dreigingen van binnenuit, overtredingen van nalevingsverplichtingen en malwarecompromittering worden direct aangepakt met gelaagde beheersmaatregelen: rolgebaseerde toegangscontrole, SIEM-waarschuwingen, endpointbeveiliging, regels voor gegevensverwerking en beveiligingsbewustzijnstraining. Verder moeten alle uitzonderingen door de Chief Information Security Officer (CISO) worden goedgekeurd, worden gedocumenteerd en periodiek worden beoordeeld. Continu toezicht wordt geborgd via monitoring, gecentraliseerde logging en gedefinieerde auditprocessen. Beleidsinbreuken zijn onderworpen aan intrekking van toegangsrechten, disciplinaire maatregelen, beëindiging van het contract of juridische actie. Het beleid integreert ook nauw met gerelateerde beleidslijnen, waaronder Informatiebeveiligingsbeleid, Beleid inzake aanvaardbaar gebruik, Beleid inzake toegangscontrole, risicobeheerkader, inventaris van bedrijfsmiddelen, Gegevensbewaringsbeleid en logging- en monitoringbeleid, om een end-to-end governancemodel voor werken op afstand te vormen. De jaarlijkse of eventgedreven herzieningscyclus waarborgt responsiviteit op evoluerende dreigingen, regelgevende verschuivingen of technologische ontwikkelingen, waarbij alle updates formeel worden gecommuniceerd en via beleidskennisname worden bevestigd. Dit handhaaft consistent veilige, conforme en betrouwbare operaties in alle scenario’s voor werken op afstand.