06 jul
Een OoO instellen – wat kort is voor out of office-melding: de meesten van ons doen het gedachteloos. Maar het loont vanuit cybersecurityoogpunt om daar van tevoren over na te denken.
Het lijkt wel alsof we er deze zomer met z’n allen nog meer naar uitkijken dan gewoonlijk: de zomervakantie. Even lekker nietsdoen na een drukke tijd, thuis of op een heerlijk vakantieadres. Geen collega’s die met vragen of een kopje koffie komen, of klanten en leveranciers die geholpen willen worden. Om de interne en externe verzoeken niet tussen de wal en het schip te laten vallen, zetten velen een Out of Office (OoO)-melding aan.
Omwille van duidelijkheid en servicegerichtheid een slimme zet. Maar een OoO kan ook bepaalde veiligheidsrisico’s met zich meebrengen. Vooral als die wordt gebruikt als automatisch antwoord op een mail van externen (intern kan de OoO zorgeloos worden gebruikt). Wees daarom extra alert hoe het bedrijf omgaat met een OoO voor externe mails.
Een OoO-melding maakt direct duidelijk dat een bepaalde medewerker niet aanwezig is. Dat is niet per se het grootste probleem. Waar het listiger wordt is wanneer er wordt verwezen naar een collega die wel aanwezig is, met naam en toenaam en mailadres of telefoonnummer. Daarmee gaat de deur al wat verder op een kier voor kwaadwillenden. Zij kunnen met een gewiekst praatje die collega benaderen en zo bijvoorbeeld fraude plegen door gerichte informatie te misbruiken.
Daarbij komt dat ook de IT-afdeling minder bezetting kent. Dus als er iets misgaat, wordt dat wellicht later ontdekt dan gewoonlijk – wat de gevolgen nog impactvoller kan maken.
Of de OoO-melding zorgt ervoor dat criminelen gaan inbreken op een privéadres, omdat zij weten dat die persoon hoogstwaarschijnlijk op een terras elders zit te genieten van een espresso of een koud biertje.
De oplossing: helemaal geen OoO instellen? Dat is een erg rigoureuze. Want de melding kan wel degelijk een nuttige functie hebben. Er zijn andere opties. Zoals het vaststellen van een OoO-richtlijn voor het hele bedrijf, met een voorbeeldtekst en de elementen die de OoO wel en niet mogen bevatten. Een andere mogelijkheid is om mails van medewerkers die met vakantie zijn voor de duur van hun afwezigheid uit te schakelen. Daarmee is de informatievoorziening aan degene die een mail stuurt wel minimaal. Maar dat is een afweging die je als bedrijf moet maken.
Wij wensen iedereen een fijne, rustige en veilige zomer!