Thuiswerkplek, VoIP, beveiliging en appelsap

  1. 11 mei 2020
  2. 0 reacties

In slechts enkele weken tijd is het thuiskantoor een voorwaarde geworden voor het voortbestaan van vele industrieën wereldwijd en ook om banen veilig te stellen. Werkprocessen worden aangepast, een al lang bestaande cultuur vol persoonlijke ontmoetingen wordt met de snelheid van het licht gemoderniseerd. Een belangrijk aspect voor bedrijven is echter ook de kwestie van beveiliging: hoe veilig is telefonie vanuit de cloud? Wat betekent beveiliging in het thuiskantoor en waar moeten bedrijven die met hun communicatieorganisatie de cloud willen betreden op letten? Een interview met Jan-Peter Koopmann, Chief Technology Officer van NFON AG.

Jan-Peter Koopmann

Kan een thuiskantoor veilig zijn? “Verhuizen van een open kantoor naar een gezellige woonkamer brengt altijd risico's met zich mee”, meent Koopmann. “Het is belangrijk dat bedrijven die hun werknemers thuis laten werken, hen niet alleen voorzien van een notebook en headset, maar ook ondersteunen bij beveiligingsproblemen. Er zijn bedrijven die al een goed gestructureerde IT-organisatie hebben, die dan ook snel de beveiliging kunnen uitrollen naar het thuiskantoor. Een van de klassiekers is VPN. Maar laten we eerlijk zijn: er bestaat niet zoiets als honderd procent beveiliging. Je streeft altijd naar de hoogst mogelijke beveiliging en in die zin moeten medewerkers, superieuren en IT de komende weken of misschien wel maanden samenwerken.” Koopmann heeft een tip: “Creëer een zo kort mogelijke communicatielijn van de werknemer naar IT, dan kunnen dingen vaak sneller worden opgehelderd. Communiceer één gouden regel: er bestaan geen domme vragen. De kwaliteit van beveiliging wordt ook gekenmerkt door de communicatie van onzekerheden.”

Cloud-telefonie is veiliger

ISDN is op zijn retour. Is VoIP veiliger en betrouwbaarder dan communicatie via koperdraad? Koopmann: “Cloud-telefonie is veiliger, vooral wanneer rekening wordt gehouden met aspecten als redundante netwerkverbindingen. Die bestonden ook al in de ISDN-tijd, maar meestal maakten alleen grote bedrijven hier gebruik van. Daarmee vergeleken is het vandaag de dag veel gemakkelijker om een redundant netwerk te krijgen.” Koopmann vraagt zich af of het telefoonsysteem in de kelder echt veiliger is dan de cloud-telefonie van een provider die redundancy aanbiedt. “Er zijn zeker voorbeelden waar in dertig jaar ISDN nooit iets kapotging. Aan de andere kant was het voldoende als een auto in een verdeelkast reed om niets meer te laten werken. Met de kennis van nu en met de huidige technologie kunnen we cloud-telefonie als veiliger classificeren.”

Appelsap

Wat zijn in Koopmanns ogen de zwakke punten op het gebied van betrouwbaarheid van cloud-telefonie? “Daar kan ik kort over zijn. De aanbieder en de kwaliteit van zijn aanbod, de stabiliteit van de internetverbinding en ten derde de lokale interne netwerkinfrastructuur.” En wat betekent dit voor de werknemer in het thuiskantoor? “In de regel hoeft hij of zij zich daar geen zorgen over te maken. Als het goed is, is er een aanbieder wiens oplossing gemakkelijk te gebruiken is en een minimum aan aanpassingen vereist. Zodat deze zo betrouwbaar mogelijk werkt.” Koopmann wil benadrukken dat veiligheid ook geruststellend werkt. “Stel je voor dat de internetverbinding uitvalt omdat de vijfjarige dochter appelsap over de router heeft gegooid. Dan schakelt het datacenter automatisch over op mobiele telefonie en kan de medewerker zijn smartphone in zijn thuiskantoor gebruiken om te bellen met zijn kantoornummer. Onmiddellijke redundantie betekent ook onmiddellijke beveiliging om te kunnen blijven werken of om telefoongesprekken te kunnen voeren. Daarnaast bespaart telefonie vanuit de cloud veel verkeer. Het is de basis voor communicatie, zeg maar gerust de ultieme discipline.”

Vertrouwen op certificeringen

Er zijn veel providers, misschien wel honderden in Europa. Hoe weet een bedrijf zeker dat zijn provider een goede reputatie heeft en zijn belofte kan nakomen? Dat hangt volgens Koopmann af van hoeveel tijd het bedrijf wil investeren in de besluitvorming. Goed onderbouwde informatie is een basisvoorwaarde, ervaring van andere bedrijven kan hierbij van pas komen. Zo is het mogelijk om bepaalde factoren te onderzoeken, zoals hoe lang de overstap van klassieke telefonie naar telefonie uit de cloud naar verwachting zal duren. “Een gebruiker kan natuurlijk eerst op de kaart kijken om te zien waar de aanbieder gevestigd is en daaruit conclusies trekken - maar dat zou te gemakkelijk zijn. Een geïnteresseerd bedrijf kan ook een beschrijving van het datacenter vragen en zal dat vaak zelf mogen bezoeken om zich een goed oordeel te vormen. Daarnaast is cloud-telefonie ook een vorm van dataverwerking in opdracht, waar wet- en regelgeving voor gelden. Dit alles helpt de grotere bedrijven, maar is van weinig nut voor kleine en middelgrote ondernemingen - zoals belastingadviseurs. Die kunnen eigenlijk alleen maar vertrouwen op de certificeringen waarmee de aanbieder adverteert. Het is zeker nuttig om te praten met kennissen en collega's uit de sector om kennis en ervaring uit te wisselen.” Koopmann raadt ook aan om de reputatie van de cloud provider te controleren op portals of andere informatiebronnen zoals gespecialiseerde media. “Wordt de aanbieder als verdacht beschouwd door verdwenen gegevens of voortdurende storingen? In het internettijdperk is dit zeer makkelijk te achterhalen – of bedrijven het willen of niet.”

Transparantie

Maar hoe kan een klein of middelgroot bedrijf controleren of de informatie over beschikbaarheid en betrouwbaarheid geen sprookje is? Koopmann antwoordt met een tegenvraag: “Hoe is de beschikbaarheid van ISDN- of DSL-verbindingen in het verleden gecontroleerd? De meeste mensen nemen even de tijd om na te denken. Zeker, technisch gezien is het mogelijk om de beschikbaarheid van cloud-telefonie te controleren met behulp van meetinstrumenten. Er zijn echter maar heel weinig bedrijven bereid om de bijbehorende kosten te dragen, en het is de vraag of dat zin heeft voor een vrij klein bedrijf. De ondernemer is afhankelijk van de transparantie van de cloud-aanbieder. Welke informatie biedt die nog meer naast de belofte van 99.x% beschikbaarheid?”

NFON 1

Volgens Koopmann is achterdocht op zijn plaats als een provider niets zegt over zaken als een onderhoudsslot. “We hebben het over technische oplossingen en honderd procent beschikbaarheid bestaat niet. Aan de andere kant gaat het om de beschikbaarheid die ervaren wordt. Heeft het echt invloed op een bedrijf als de aanbieder van cloud-telefonie regelmatig tussen 3.00 uur en 3.30 uur 's nachts onderhoud pleegt? Relevanter is de vraag of er in de loop van een werkdag fouten optreden en hoe lang de dienstverlener nodig heeft om de fout te herstellen, of welke deadline hij garandeert. Als een aanbieder over dit alles geen informatie verstrekt, ga er dan gauw vandoor! En eigenlijk geldt hier hetzelfde als voor het controleren van de servicebelofte.”

Veiligheid

Telefonie via internet, PBX in de cloud. Nemen bedrijven geen onberekenbaar risico? “Ook al is dit een gerechtvaardigde gedachte, deze vraag wordt nu al steeds minder relevant. In de toekomst zal hij zeker niet meer aan de orde komen. De weg naar de cloud en de vele toepassingen zijn ingeburgerd geraakt en de technische infrastructuur verandert meer en meer, waardoor dit in de huidige situatie snel gaat. De vraag is dan: hoe veilig is een bedrijf als het niet naar de cloud gaat en wat zijn de beveiligingsaspecten eigenlijk? Encryptie, betrouwbaarheid, databeveiliging en meer. Maar hoeveel kleine en middelgrote bedrijven zijn echt in staat om te weten waar de huidige beveiligingsgaten zitten en om continu de nieuwste beveiligingsupdates te installeren? Wie van hen heeft de tijd? En tijd is geld. Uiteindelijk moet elk bedrijf, ongeacht de grootte en branche - met uitzondering van banken, verzekeringsmaatschappijen, etc. - zich de vraag stellen hoeveel tijd en geld het kan of wil investeren in veiligheid. Alleen beveiligde klanten zijn tevreden klanten. Conclusie: tevreden klanten blijven bij hun service provider.”

NFON 2

Wat kan een bedrijf zelf doen op het gebied van veiligheid, ook voor medewerkers van het thuiskantoor? “Hoe intensiever een ondernemer tijdens het selectieproces nadenkt over de aanbieder van cloud-telefonie en zijn beveiligingseisen, des te minder zorgen hoeft hij of zij zich te maken over beveiliging in de dagelijkse praktijk”, stelt Koopmann. “Wij hebben veiligheid vanaf het begin als een kernelement in de ontwikkeling van ons platform gezien en investeerden daar dan ook in. Dit is overigens een continu proces. Een goede cloud-aanbieder zal stappen ondernemen om beveiligingsproblemen bij zijn klanten te ontdekken en bijvoorbeeld misbruik zoals fraude in een zo vroeg mogelijk stadium te voorkomen. Kleine en middelgrote bedrijven moeten dit aan de experts overlaten. Maar dit hoeft niet per se de fabrikant of serviceprovider te zijn; het kan ook de IT-partner zijn. Veel systeemhuizen zijn ook gespecialiseerd in veiligheid. Als dit aspect wordt weggelaten, dan kan de gebruiker die geen ervaring heeft met beveiligingsproblemen eigenlijk alleen maar vertrouwen op de reputatie van het bedrijf. Bovendien moet hij of zij dan in de media en andere informatiebronnen kijken hoe belangrijk zaken als gegevensbescherming zijn voor de aanbieder en hoe transparant die communiceert als het niet gaat zoals het hoort. In deze context is transparantie een belangrijke vertrouwensfactor die vaak wordt onderschat. NFON gaat bijvoorbeeld zeer transparant om met fouten - die bij elke aanbieder voorkomen. Een speciaal opgezette service maakt het mogelijk om online te zien of er een probleem speelt en of de oplossing ervan al in zicht is. Transparantie en de bijbehorende communicatie zijn dus ook een essentieel onderdeel van de veiligheid.”

Geen duidelijke scheidslijn

Wanneer valt de beveiliging binnen de verantwoordelijkheid van het bedrijf en waar is de aanbieder verantwoordelijk? Is er hier een duidelijke scheidslijn? Koopmann denkt even na. “Cloudtechnologieën en hun toepassingen worden steeds populairder en dat is een goede zaak. Of de verantwoordelijkheden hier duidelijk kunnen worden afgebakend en toegewezen is nogal twijfelachtig. Vroeger was de regel: Alles wat zich afspeelt in het netwerk van het bedrijf of - op dit moment - de thuiswerker, dus achter de firewall, is de verantwoordelijkheid van de gebruiker. Dit is over het algemeen nog steeds waar. De vraag rijst echter of een cloud aanbieder de gebruiker niet moet helpen met typische fouten die hij of zij maakt of kan maken. Denk bijvoorbeeld aan gebruikers die de wachtwoordbeveiliging van IP-telefoons bewust deactiveren. Moet een cloud-aanbieder dan zeggen: ‘Dat kan me niet schelen, want het is de verantwoordelijkheid van de gebruiker.’? Of moet hij de gebruiker erop wijzen, of beter nog, op eigen initiatief zorgen voor maximale veiligheid? Uiteindelijk is dit in het cloud-tijdperk een vage grens en geen duidelijke scheidslijn meer zoals in het verleden. De wijze waarop een aanbieder van bijvoorbeeld cloud-telefonie de touwtjes in handen neemt en transparante en efficiënte informatie over verplichtingen en diensten levert, zegt ook iets over de kwaliteit van de aanbieder.”

NFON 3

Wat zijn volgens Koopmann de minimale veiligheidsmaatregelen die een aanbieder van cloud-telefonie moet bieden? “Voice encryption, redundancy van het datacenter en veilige levering vanaf de eindapparaten - deze punten zouden duidelijk standaard moeten zijn voor elke aanbieder. Maar ‘de duivel zit in de details’. Hoeveel werk doet de aanbieder echt? Hoe vaak stelt hij zijn eigen beveiligingsstrategie ter discussie, hoe actueel is deze en let hij op mogelijke fouten van de gebruiker?”

Roekeloosheid

Is de kwestie van de veiligheid niet overdreven en wordt er gewoon veel geld verdiend? Softwarelicenties, adviesdiensten, dure upgrades? Het maakt toch eigenlijk niet uit zo lang een werknemer in de trein of op andere openbare plaatsen luidkeels over bedrijfsstrategieën, zakencijfers en andere geheimen praat? Koopmann zucht. “Helaas komt dit heel vaak voor. Altijd als ik met de trein ga verbaas ik me erover hoe onnozel, roekeloos, misschien zelfs nalatig mensen kunnen zijn. Medewerkers, maar ook managers, consultants en anderen strooien bedrijfsdetails in het rond. Of het nu gaat om de telefoon, massa's uitgeprinte presentatiepagina's die voor iedereen zichtbaar op de groepstafel liggen of onbeschermde notebookschermen. En het is ongelooflijk, maar ik heb eens een notebook in het treintoilet zien liggen. Als CTO van een beursgenoteerd bedrijf vind ik het soms moeilijk te begrijpen hoe roekeloosheid de IT-beveiliging kan ondermijnen. Dit alles is een triest inzicht en haalt in het ergste geval de volledige beveiliging in het bedrijf onderuit. IT-beveiliging stopt niet bij uw eigen bureau, dit is belangrijk en geldt altijd! Dit gebruikersgedrag ontslaat een IT-manager niet van zijn verantwoordelijkheid om een zo veilig mogelijke technologie aan te schaffen en programma's aan te bieden waarmee bijvoorbeeld thuiswerkers zich veilig kunnen voelen.”

Moet de thuiswerker nu bang zijn om te werken? Koopmann schudt resoluut zijn hoofd. “Nee, zolang de werkgever de juiste technologieën gebruikt. En de werknemer zich houdt aan de richtlijnen van het bedrijf. Zoals geen enkel ander toegang geven tot de bedrijfslaptop, et cetera. De lijst met tips is eindeloos. Het belangrijkste is eenvoudig en ik blijf het herhalen: geen enkele vraag is te dom om duizend keer te stellen aan IT! Het stellen van vragen verhoogt de kwaliteit van de veiligheid. En in geval van twijfel: houd je dochters appelsap tijdens kantooruren thuis altijd ver bij je laptop en router vandaan.”