De migratie naar de cloud en de sterke toename van het thuiswerken sinds het uitbreken van de pandemie zijn ontwikkelingen die elkaar versterken en de nodige security-uitdagingen opleveren. Is de werkplek thuis wel veilig? Is er controle over de gehele keten, van gebruiker tot cloud? En zeker zo belangrijk: hoe zit het met de werkervaring van de medewerker? Tijd om cybersecurity en employee experience (EX) in samenhang te bekijken. We spraken hierover met Citrix, een bedrijf dat zich al jaren op beide terreinen beweegt.
De oude benadering van cybersecurity, het aanleggen van een slotgracht rond het kasteel, werkt niet meer. Ook buiten de slotgracht is het trouwens niet pluis, want zelfs koelkasten bij mensen thuis en USB-poorten van publieke oplaadpunten worden tegenwoordig gehackt. Dit kan weer een impact hebben op de werkplek van iemand die buiten het kantoor werkt. Ook de move naar de cloud brengt uitdagingen met zich mee. Zo neemt het aantal aanvalsvlakken toe, zeker als je in aanmerking neemt dat de meeste organisaties niet voor een enkele cloud kiezen.
Geen controle
Neem het gebruik van SaaS-diensten, waarbij je een deel van de controle over het gebruik van het netwerk aan de provider overlaat. Deze kan aanpassingen op het gebied van security doen, zonder dat je daar zeggenschap over hebt, constateert Citrix. Het is immers contractueel geregeld dat de provider dit mag doen. Als klant zou je de verbinding tussen applicatie of clouddienst en anderzijds de gebruiker willen controleren. Die uitdaging is er bepaald niet kleiner op geworden, nu applicaties op steeds meer plaatsen te vinden zijn en vanuit steeds meer locaties worden benaderd.
Geen oplossing
Helaas zie je in cybersecurity nog de waan van de dag regeren en hebben organisaties veel puntoplossingen voor de beveiliging van allerlei silo’s in huis, stelt Citrix. Zo proberen ze hun security onder controle te houden. Een goede benadering is dat zeker niet, omdat er allerlei ‘gaten’ tussen die oplossingen zitten. Vaak ook gaat men prat op het afdekken van de laatste 5% risico terwijl het erom gaat de basis op orde te krijgen. Iedereen heeft firewalls en tools, maar vrijwel geen organisatie is in staat een overzicht van de hele security stack te geven…
“Je zou de verbinding tussen clouddienst en gebruiker willen controleren”
Veel bedrijven en instellingen hebben hun strategie, de organisatie en het budget op orde en evalueren die zaken ook regelmatig. In de operatie richt men zich dan soms toch nog op brandjes blussen, de held willen zijn. Als het goed is, is security eigenlijk heel saai.
Basis op orde
Wat moet je doen om de basis op orde te krijgen? Volgens Citrix kun hiervoor het beste naar drie aspecten kijken:
- Het beveiligen van de werkplekken
- Zorgen dat medewerkers op internet geen vreemde dingen doen
- Je digitale assets beveiligen
Dit vormt een simpele en inzichtelijke basis, mits aangevuld met een goede discussie over risk appetite: wat vindt de directie een acceptabel risico? Voortdurend aanpassen is daarbij wel het motto, want je vindt nergens meer dynamiek dan in de wereld van cybersecurity.
Hoe kom je van een ratjetoe aan tools naar ‘de basis op orde hebben’? Het begint met een analyse van de situatie en de risico’s die je organisatie loopt. Begin bij de directe nood en ga vandaaruit verder bouwen. Het heeft geen zin te proberen de hele oceaan op te warmen. Belangrijk is ook om nieuwe cloudgebaseerde securityservices in te zetten, stelt Citrix. Doe dat naast je bestaande omgeving en zet die services in voor elke workload die van on premise naar de cloud gaat.
De rol van Citrix
Citrix is lang geassocieerd met virtualisatie van de desktop. In feite heeft het bedrijf altijd security geboden, maar was dit een integraal onderdeel van de producten. Nu Citrix zijn diensten vanuit de cloud aanbiedt, is security ook als een afzonderlijke service verkrijgbaar.
Tegelijkertijd ziet Citrix security in een bredere context. Het constateert dat bij veel bedrijven medewerkers op diverse locaties werken, dat hun werk complex gemaakt wordt door een diversiteit aan applicaties en ze zodoende een deel van hun tijd aan weinig productieve taken kwijt zijn. Je ziet teams vaak worstelen met complexe applicatieomgevingen, waardoor medewerkers minder productief zijn.
De CISO wil meer inzicht hebben in al die complexiteit en vraagt zich af hoe zulke complexe omgevingen goed te beveiligen zijn – zeker met het huidige tekort aan security-talent. De voortschrijdende IT-modernisering brengt extra uitdagingen met zich mee, zoals het beheren van hybride omgevingen, kosten die oplopen en de noodzaak apps en oplossingen voor app delivery te integreren. Al met al wordt de wendbaarheid er niet beter op.
Hoge eisen
In de visie van Citrix moeten de CIO en de CISO het mogelijk maken dat elke gebruiker op elk apparaat, van elke locatie elke applicatie kan gebruiken. Dat moet dan ook nog eens via elk kanaal kunnen – een browser of een app bijvoorbeeld – en voor elk type werk, van business workflow tot project. Daarbij komt dat je de ervaring van de medewerker – de employee experience of EX – de security, de productiviteit en de performance continu wilt meten.
Dit stelt hoge eisen aan technologie, zoals toegang tot on-premise bronnen zonder VPN, single sign-on, web filtering, browserisolatie (geen toegang tot ongekwalificeerde apps), zero trust toegang via multi-factor authentication en met controle van endpoints, en data governance met controle over cloud apps. Dit alles inclusief continu monitoren en verifiëren.
Een hele mond vol, maar het komt neer op cybersecurity in een bredere context zien, de context van multi-cloud, het hybride werken en de EX. Het komt volgens Citrix neer op transformeren en uniformeren van de employee experience, het vereenvoudigen van de toegang tot apps en zorgen dat medewerkers hun werk beter kunnen doen. De gebruiker staat centraal, ook als die thuis met eigen devices werkt.
RIVM
RIVM, het bekende Rijkinstituut voor Volksgezondheid en Milieu in Bilthoven, is een organisatie die de uitdaging met succes aanging. RIVM kreeg zelf ook te maken met de impact van covid-19. Het aantal medewerkers nam na het uitbreken van de pandemie snel toe en thuiswerken werd de norm.
“Teams worstelen al te vaak met complexe applicatieomgevingen”
Aangezien RIVM al sinds 2010 Citrix heeft geïmplementeerd en sindsdien geduldig is blijven voortbouwen en doorontwikkelen, bleek thuiswerken geen probleem. Frank Schuler, bij RIVM verantwoordelijk voor de digitale werkplek: “We hoefden alleen enkele gebruikers te helpen met hun computers of wifi. Al met al is het heel bijzonder dat nu 3.100 mensen zonder problemen vanuit huis werken.”
EX en cybersecurity gaan ook bij RIVM hand in hand: “De bij Citrix ingebouwde security is voor een instelling als RIVM ook heel belangrijk. RIVM gebruikt al langer een Citrix frontend in de cloud, maar doordat de Virtual Desktop Infrastructure (VDI) intern draait, verlaat data het datacenter niet.”
Frank Schuler en zijn team werken nu aan een volledige implementatie van Citrix Workspace: “Dit gaat voor ons de basis worden om uiteindelijk vanuit een portal te gaan werken. Daarbij vinden we microapps – kleine, taakgerichte toepassingen – heel belangrijk. Ik denk dat ze het werk een stuk efficiënter gaan maken.”
Schuler constateert dat de productiviteit is gestegen en de organisatie wendbaarder is geworden. De IT-omgeving is complexer geworden, maar kan door minder mensen worden beheerd. “We zijn nog volop in transformatie en zetten telkens kleine stappen, maar we zitten op de juiste weg”, concludeert hij.
