BYOD versus informatiebeveiliging

In het verlengde van de “consumerization” van IT en het Nieuwe Werken is ook BYOD oftewel “bring your own device” sterk in opkomst. Uit internationaal onderzoek van BT bij bedrijven is gebleken dat 60% van de werknemers al eigen apparatuur gebruikt voor het werk. Daar waar in eerste instantie de verwachting was dat dit zou leiden tot structurele besparingen, horen we steeds vaker andere geluiden. Bovendien wordt er steeds meer gewezen op de risico’s met betrekking tot de beveiliging van gegevens. Het één kan niet los worden gezien van het ander. Een adequate beveiliging van de informatiehuishouding brengt nu eenmaal investeringen met zich mee.

 

Beveiligingsrisico’s

Volgens een recente publicatie van Vodafone bevat bijna de helft van de privé-apparaten die voor het werk worden gebruikt gevoelige data. Daarbij kan het gaan om e-mail, klantgegevens en inloggegevens voor het bedrijfsnetwerk. Belangrijkste bedreigingen met betrekking tot het uitlekken van deze gegevens zijn internetgebruik, onveilige WiFi-verbindingen, gestolen of verloren apparaten (vorig jaar zijn er wereldwijd bijvoorbeeld 9 miljoen smartphones verloren), het downloaden van onveilige apps (vooral onder Android) en last but not least de medewerkers zelf.

Mobile device management

Genoemde risico’s kunnen voor een belangrijk deel worden afgevangen door het gebruik van een Mobile Device Management (MDM) tool. Daarmee kan bijvoorbeeld naast de persoonlijke omgeving van de medewerker een aparte zakelijke en beveiligde omgeving op het apparaat van de medewerker worden ingericht. Op het moment dat het apparaat gestolen of kwijt is, kan deze omgeving op afstand geblokkeerd of gewist worden. Dit vraagt uiteraard wel om medewerking van de medewerker, die ermee akkoord moet gaan dat er bedrijfssoftware op zijn/haar mobiele device wordt geïnstalleerd. Op het moment dat de medewerk(st)er dit weigert zou je als werkgever de medewerk(st)er de toegang tot bedrijfsgegevens via een eigen apparaat kunnen/moeten ontzeggen.

De zwakste schakel

Zelfs in het geval van mobile device management kunnen echter niet alle risico’s op het uitlekken van gevoelige data worden afgedekt. Zwakste schakel is en blijft namelijk de medewerk(st)er. Deze kan bewust of onbewust toch gegevens laten uitlekken. Bijvoorbeeld door slordig om te gaan met inloggegevens, door het apparaat onbeheerd achter te laten terwijl hij/zij is ingelogd, of door bewust gevoelige data te mailen.

Beleid en controle nodig

De beveiligingsrisico’s liggen bij mobiele devices in de meeste gevallen hoger dan bij vaste werkplekken. Dit omdat aanvullende fysieke beveiligingsmaatregelen, die bij vaste werkplekken vaak wel aanwezig zijn, bij mobiele devices vaak ontbreken en ook de sociale controle van directe collega’s in veel gevallen ontbreekt. Bovendien raak je een smartphone of een tablet nu eenmaal makkelijker kwijt dan een PC.

Op het moment dat je als organisatie overweegt om BYOD toe te staan, moet je behalve over de potentiële meerwaarde zodoende ook goed nadenken over de risico’s die dit mee zich mee brengt, en of en hoe die adequaat kunnen worden afgedekt. Op het moment dat je als organisatie besluit BYOD toe te staan, is het vervolgens zaak duidelijk aan te geven onder welke condities e.e.a. toegestaan is en periodiek te controleren of medewerk(st)ers zich aan de gemaakte afspraken houden.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *