door Robert Schmidt 2 jaar geleden

Op steeds meer plekken zie je dat hybride werken populair is. Toch worstelen veel organisaties met de daadwerkelijke uitvoering. Want welke afspraken maak je precies? En hoe weet je zeker dat de beveiliging gewaarborgd is? Je legt het allemaal vast in een hybride beleid.

De manier waarop je een hybride beleid voor je eigen bedrijf inricht is sterk afhankelijk van de sector waarin je werkzaam bent. Wat voor bedrijfsvoering heb je op dit moment en wat is er nu al mogelijk voor medewerkers op het gebied van thuiswerken? Een oplossing die voor iedereen werkt, is er dus niet. Maar er zijn wel een aantal standaard onderwerpen die in elk goed beleid moeten terugkomen. Zorg er daarom voor dat je in elk geval een antwoord hebt op de meest gestelde vragen rondom het opstellen van een hybride beleid:

• Waar moet je beginnen als je een hybride beleid gaat schrijven?
• Wat kun je doen om ervoor te zorgen dat je hybride beleid wordt nageleefd?
• Bestaat er een algemeen voorbeeld van een hybride beleid?
• Wat kan er misgaan als je geen hybride beleid hanteert?

Waar moet je beginnen als je een hybride beleid gaat schrijven?

Ga je een hybride beleid schrijven? Bepaal dan eerst de belangrijkste processen en data. Welke zaken moeten er koste wat kost blijven draaien en daardoor beveiligd worden? Zo hielp ik zelf een keer twee bedrijven tegelijk. Er was een museum dat wilde dat de diaprojectors altijd bleven werken en in een fabriek moest de fabricagelijn constant blijven draaien. Je gaat dan eerst na hoe alles precies werkt en kijkt in hoeverre het allemaal mobiel is. Is er een centrale of een decentrale IT-omgeving? Moeten we overstappen op de cloud of juist niet? Dat soort zaken en beslissingen zijn allemaal van invloed op de manier waarop je het beleid schrijft.

Twee mogelijkheden bij het beveiligen van data

Databeveiliging vormt een belangrijk onderdeel van elk hybride beleid. Je hebt daarbij twee mogelijkheden: conventioneel en datacentric. Bij conventioneel maak je gebruik van een gelaagd securitymodel waarbij de focus ligt op de beveiliging van apparaten, het netwerk, de applicaties en de toegang hiertoe. Dat kan door bijvoorbeeld gebruik te maken van VPN. Datacentric is een manier die vooral gericht is op het beveiligen van data. Het is hierbij minder belangrijk welk device de gebruiker inzet. Je kunt denken aan situaties waarbij je eerst moet inloggen als je als medewerker een document wilt openen dat naar je is doorgestuurd.

Aangezien er bij hybride werken vaak locatie- en apparaatonafhankelijk gewerkt wordt, is datacentric vaak de beste keuze voor je hybride beleid.

Alle datadragers vallen onder hybride beleid

Houd er rekening mee dat je bij een hybride beleid niet alleen mobiele apparaten of laptops als uitgangspunt pakt, maar dat je alle datadragers moet meenemen. Van USB-sticks tot laptops: alles valt onder het hybride beleid.

Wat kun je doen om ervoor te zorgen dat je hybride beleid wordt nageleefd?

Bij het schrijven van een hybride beleid moet je niet alleen kijken naar wat IT, HR of het management willen, maar juist ook naar wat medewerkers willen. Wij beginnen zelf daarom altijd met een nulmeting. Daarbij stel je vast hoe dingen nu gaan en wat medewerkers graag anders zouden willen. Dit helpt je om een breed gedragen beleid te creëren en voorkom je shadow-IT. Het komt in de praktijk namelijk best vaak voor dat medewerkers even snel iets naar zichzelf mailen om thuis uit te printen.

Bestaat er een algemeen voorbeeld van een hybride beleid?

Net als veel andere bedrijven gingen wij begin 2020 ook plotseling vanuit huis werken. Ons voordeel was dat we al een thuiswerkbeleid hadden. Het grote verschil was dat er nu gewoon vaker werd thuisgewerkt. Wij vonden het sowieso al prettiger om thuis rustig documenten uit te kunnen werken. Ons beleid hebben we de afgelopen twee jaar continu verbeterd en aangescherpt. Ook nu we weer meer naar kantoor mogen, blijven we daar mee bezig. Hierdoor blijft het hybride beleid een levend document. En af en toe blijft het nog een worsteling. Want wanneer gaan we weer op kantoor werken en hoe brengen we dat goed over zonder mensen te dwingen?

Stel je als bedrijf daarom flexibel op

We vroegen onze medewerkers op welke manier zij het liefste werken. Op die manier hebben we als organisatie voor draagvlak van onderop gezorgd. Ook stelden we ons flexibel op met betrekking tot de werktijden en de werkplek. De meeste mensen zijn nu ingesteld op het thuiswerken. Bij ons is dat in elk geval geen enkel probleem. We hebben echt geen prikklok bij de deur staan. Je uren functioneel invullen, dát vinden we belangrijk. Wel verwachten we dat iedereen twee dagen op kantoor is, waarbij er één dag kan worden ingeruimd voor de teammeetings.

Wat kan er misgaan als je geen hybride beleid hanteert?

Soms kom ik bij klanten waar het allemaal nog niet zo goed geregeld is. Laatst was ik bij een bedrijf dat snel een terminal server had opgezet waarop mensen thuis konden inloggen. Alleen hadden ze die publiek opengezet zonder VPN. Dat is enorm kwetsbaar natuurlijk. Je bent er echt niet door alleen een gebruikersnaam en wachtwoord te hanteren. Maar zelfs toen ik dat meldde, zagen ze de urgentie nog niet. Vervolgens toverde ik hun financiële systeem tevoorschijn en liet zien waar de zwakke plekken lagen. Dan heb je meteen iets om mee aan de slag te gaan. Allereerst heb ik een noodoplossing geregeld door een tijdelijke VPN op te zetten. De structurele oplossing volgt dan later.

En precies dit soort adviezen zijn wat mij betreft de grote meerwaarde die we met ons bedrijf leveren. We leveren niet alleen de systemen, maar leggen ook uit hoe je er goed en op een veilige manier mee om kunt gaan.