Onze auditoren zien een trend in organisatiestructuur: de virtuele organisatie. Vooral in de IT- en dienstensector zien we een groei van het soort bedrijven dat voornamelijk digitaal bestaat. Collega’s hebben een laptop en telefoon waarmee ze remote werken, maar een kantoorpand komt er niet meer aan te pas. Dit fenomeen zorgt voor een verschuiving van informatiebeveiligingsrisico’s en daarmee focus van audits. Hoe deze trend invloed heeft op uw informatiebeveiligingssystemen en audits nemen we met u door.
Wat is een virtuele organisatie?
Als gevolg van de COVID-19 pandemie is remote werken in een stroomversnelling geraakt, maar sommige organisaties gaan een stapje verder. Zo zien wij steeds vaker organisaties die voornamelijk digitaal bestaan. Een hoofdkantoor maakt plaats voor thuis- of remote werken en werknemers hebben hun meetings ook voornamelijk digitaal. Werken doet men vanuit en in de cloud, dus het beheer van een eigen fysiek netwerk komt er niet aan te pas. Bovendien wordt er voor fysieke meetings (al dan niet tijdelijk) een ruimte gehuurd op een geschikte locatie. Dat brengt natuurlijk voordelen met zich mee. Zo bespaart dat in de kosten, is het schaalbaar en daardoor goed voor het milieu, en hebben werknemers de vrijheid om te werken waar ze willen, zoals thuis, in een café, of zelfs in het buitenland als digital Nomads. Hierbij is naast de laptop en telefoon alleen nog maar een wifi-verbinding vereist.
Beweging richting een virtuele organisatie
Zelfs voor de pandemie kwam deze beweging al op gang, waarbij thuiswerken steeds populairder werd. Echter zorgde het geforceerd thuiswerken door lockdowns voor een versnelling van deze trend, met als gevolg dat organisaties hun structuur aanpasten en nieuwe organisaties direct een virtuele(re) organisatiestructuur aannamen. Toch bestaat er een grote groep tussen de volledig virtuele en volledig fysieke organisaties.
Het prototype schoolvoorbeeld van een organisatie zonder kantoorpand is hierbij te zien als een ver uiterste, maar een groot aantal organisaties in Nederland, voornamelijk werkzaam in de dienstensector, zette over de afgelopen jaren grote stappen richting zo’n virtuele organisatiestructuur. Met thuiswerken als norm, in plaats van uitzondering, is een beweging in de maatschappij voelbaar en dat heeft gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie waaronder ook persoonsgegevens.
Verschuiving van risico’s & focus van audits
Een groot deel van audits richt zich op de bestrijding van risico’s van een bepaald onderwerp. Bij een bezoek op een kantoorpand zou bijvoorbeeld gekeken kunnen worden of gevoelige informatie niet bij de printer blijft liggen, maar een paperless office heeft geen printer. Sterker nog, een bedrijf zonder kantoorpand heeft geen plek om een algemene printer neer te zetten. Dat lijkt gemakkelijk op te vangen met een “Niet van toepassing” notitie in de aantekeningen. Echter moet een organisatie die thuiswerken promoot er wel voor zorgen dat de werknemers thuis ook goed omgaan met gevoelige informatie. Het risico is daarmee dus niet verdwenen, maar verschoven. De audit zal dan de focus krijgen op hoe het bedrijf de werknemers stimuleert om ook thuis aan de kantoor regelementen te voldoen. En of er zich thuis niet juist andere risico’s voordoen die er op kantoor niet waren zoals de aanwezigheid van (nieuwsgierige) kinderen.
Het bovenstaande voorbeeld is een van de vele verschuivingen die het gevolg zijn van de trend. Zo is er het risico dat hoort bij dataopslag. In plaats van een goed afgeschermd datacenter op het hoofdkantoor waar de organisatie hun gedeelde informatie in opslaat, wordt nu gebruik gemaakt van clouddiensten die de data opslaan in mega-datacenters. Daarbij wordt uitgegaan van veiligheid van de informatie, maar de data heb je fysiek niet in eigen beheer. Bovendien loop je het risico dat de clouddienst provider de data naar het buitenland verplaatst als er een datacenter over de grens wordt gebouwd.
Niet alleen het product of de dienst wordt virtueel gecreëerd en geleverd, het bedrijf zelf wordt ook virtueel gerund. Geen traditionele eigen fysieke afdelingen zoals Personeelszaken en Financiële Zaken, maar recruiters en accountants die remote samenwerken en gebruikmaken van tooling van weer andere leveranciers in de cloud. Zelfs het (tijdelijke) kantoor wordt als een dienst geleverd, inclusief de WiFi. In algemene zin maken virtuele organisatie meer gebruik van leveranciers. En dat maakt e.e.a. schaalbaarder maar de afhankelijkheid van de prestaties van leveranciers en de daarmee gepaard gaande risico’s neemt toe. Zo spelen zowel fysieke, digitale, en organisatorische risico’s een rol bij deze verschuiving.
Aanpassing norm
Omdat informatiebeveiligingsrisico’s worden gereduceerd of verdwijnen met betrekking tot fysieke apparatuur, netwerken, en locaties, leveren meer en meer best practices in (de bijlage van) ISO 27001 geen bijdrage meer aan het reduceren van die risico’s. Daardoor worden maatregelen niet meer (of beperkter) geïmplementeerd. Trends als deze zullen tot aanpassingen in de standaarden zelf leiden. Zo is eerder dit jaar een nieuwe versie van de ISO 27002 verschenen waarin niet voor niets ook meer aandacht voor clouddiensten.
Echter hebben normen voornamelijk een reactieve aard; ze worden geüpdatet op basis van relevante trends. Dit zorgt ervoor dat normen, net als wetgeving, altijd wat achter de feiten aanlopen. Eerder hadden we het al over de twee uitersten: volledig virtueel- en volledig fysieke organisaties, en de grote tussengroep in het grijs gebied. Een norm moet hierin een weg weten te vinden, want: wat is relevant? De uiterste gevallen, de 100% virtuele organisaties, zijn niet representatief voor het geheel, maar leren ons wel met de toekomst en diens risico’s omgaan.
Audit bij SonicBee: het perfecte voorbeeld
Tijdens de audit bij SonicBee kwam de theorie over de verschuiving van de risico’s in de praktijk. Het bedrijf positioneert zich als virtuele organisatie en onze auditor kon dus geen bezoek brengen aan het ‘hoofdkantoor’ om de dagelijkse gang van informatiebeveiliging te controleren. Dat zorgde voor een bijzondere uitdaging: speelruimte in de norm: welke risico’s zijn wel en niet van toepassing? SonicBee benutte de speelruimte door relatief veel maatregelen uit de best practices uit te sluiten maar ook heel duidelijk te verwoorden en te rechtvaardigen waarom deze onderdelen voor hen niet van toepassing waren. Niet zomaar dingen doen omdat het logisch lijkt of omdat het gangbaar is, maar heel gedecideerd dingen uitsluiten omdat ze simpelweg geen bijdrage leveren aan de informatiebeveiligingsrisico’s waarvoor die best practices opgesteld zijn. Een sterk staaltje risicobehandeling en juist waarom we het altijd hebben over het management systeem voor informatiebeveiliging.
Onze TÜV NORD Lead Auditor en expert op het gebied van informatiebeveiliging, Nico Nijenhuis, was voornamelijk onder de indruk van oplossingsgerichte aanpak van SonicBee: “Mijn kritische vragen waren genoeg om SonicBee te laten nadenken over hun processen.”
“Zo kwamen ze door TÜV NORD tot de conclusie dat risicomanagement centraal moest staan.”
Binnen TÜV zijn wij ook aan de slag gegaan met deze beweging en bijbehorende leermomenten. Een audit bij een bedrijf als SonicBee geeft ons namelijk wijze lessen over hoe auditors met het veranderende professionele werkveld om kunnen en gaan. Dat houdt in dat onze auditoren cases als deze inhoudelijk met elkaar delen en ervoor zorgen dat de wijze van interpreteren wordt geharmoniseerd.
Weten hoe deze trend bij u van toepassing is?
Leer meer over virtuele organisaties en hun informatiebeveiligingssystemen. We hebben het bijzondere verhaal en de bijbehorende audit bij SonicBee voor u uitgewerkt in deze klantcase. Zo kunnen niet alleen wijzelf, maar u samen met ons leren over deze nieuwe trend.
Klik hier om de casestudy te downloaden.
Onderwerpen:
