Home Security Het BYOD-dilemma

Het BYOD-dilemma

207

Als je ook maar iets te maken hebt met IT, krijg je ongetwijfeld inmiddels een beetje jeuk van de term ‘Bring Your Own Device’, of, zoals wij hippe IT-ers het ook graag mogen noemen, BYOD (zelf zeg ik altijd graag ‘Bring Your Own Ding’, maar die grap werkt natuurlijk alleen maar bij Nederlandstaligen). Van het concept achter de term zou je eigenlijk iets ergers moeten krijgen dan jeuk, vooral als je verantwoordelijk bent voor de beveiliging van je bedrijfsnetwerk. Ik denk hierbij aan een paniekaanval, hyperventilatie, hoge bloeddruk en meer van dat soort symptomen. Want als security-expert ken je vooral de nadelen van BYOD.

Voordelen van BYOD zijn er ook. Vooral voor de gebruiker. Die mag lekker zijn eigen apparaat kopen, en voelt zich daardoor door zijn werkgever vertrouwd en serieus genomen. Het apparaat dat hij kiest ligt hem, hij werkt er graag mee en springt er erg voorzichtig mee om. Voordeel voor de werkgever is dat hij een blije werknemer heeft, die ook na kantooruren graag op zijn device zijn mail nog even checkt, en die voorzichtig met zijn apparaat, en daarmee ook met de bedrijfsgegevens die er al snel opstaan, omspringt.

De nadelen van BYOD zijn evident. Door het gebruik van allerlei verschillende soorten en merken devices binnen hetzelfde netwerk, ontstaat een zeer heterogeen netwerk, dat veel moeilijker te beveiligen is dan een homogeen netwerk. Daarbij komt, dat in de meerderheid van de gevallen, de it-beheerder helemaal geen idee heeft welke apparaten er op het netwerk worden aangesloten, laat staan dat ze er ook maar enige controle over kunnen uitoefenen[1]. En aan mobiele devices zijn hele andere gevaren verbonden dan aan vaste pc’s of laptops. Een smartphone verlies je nu eenmaal makkelijker dan een desktop. En ook een laptop valt niet zo makkelijk uit je zak in de trein. Om nog maar te zwijgen over de malware en frauduleuze apps die er allemaal voor tablets en smartphones in omloop zijn.

De laatste problemen kun je moeilijk uitsluiten. Ook als je als bedrijf geen BYOD toestaat, en werknemers zelf een apparaat geeft om mee te werken, blijft het gevaar op diefstal, verlies of malware even groot. Het voordeel is wel, dat je dan op software- en beleidsoplossingen kunt richten die voor dat ene type van dat ene merk werken. Zo bouw je een expertise op voor de beveiliging van dat specifieke apparaat, wat de beveiliging van het bedrijfsnetwerk ten goede komt. Maar dan heb je wel te maken met ontevreden werknemers, die het gekozen apparaat mogelijk maar aftands en gebruiksonvriendelijke vinden, en er niet (veel) mee willen werken. Weg zijn dan al die nachtelijke antwoorden op e-mails die eigenlijk ook best tot de ochtend hadden kunnen wachten.

BYOD-binnen de perken

Ik pleit voor een middenweg tussen deze twee uitersten. Als bedrijf is het verstandig om een ‘BYOD binnen de perken’-beleid in te voeren. Geef werknemers de mogelijkheid om hun eigen apparaat te kiezen, en stel ze hiervoor een redelijk bedrag ter beschikking. Geef ze alleen wel een duidelijk kader. Bijvoorbeeld: het besturingssysteem moet Android zijn, vanaf versie 2.1.  Laat duidelijk zijn dat het apparaat echt het persoonlijke apparaat van de werknemer is, maar dat hij in ruil hiervoor akkoord dient te gaan met de Mobile Security Policy die wordt opgesteld. Daarin kun je het verplicht stellen, dat er een bepaalde security-oplossing op het apparaat geïnstalleerd wordt, dat alle bedrijfsdata worden versleuteld, dat het apparaat zelf wordt beveiligd met een sterk wachtwoord, en dat er speciale anti-diefstalsoftware op staat, waarmee het apparaat in geval van verlies of diefstal kan worden geblokkeerd, gewist en / of kan worden gelokaliseerd. Ook kan verplicht worden gesteld dat apps alleen mogen worden geïnstalleerd als ze uit de officiële appmarkt vandaan komen en aan bepaalde voorwaarden voldoen. Als aan de voorwaarden niet wordt voldaan: geen toegang tot het bedrijfsnetwerk.

Zorg dat je in de Mobile Security Policy ook aandacht besteedt aan het waarborgen van de privacy van de werknemer. Ik zou het geen enkel bedrijf aanraden om spyware op de telefoon van medewerkers te installeren, zoals in de US inmiddels eerder regel dan uitzondering lijkt te zijn[2]. Als je dat doet, zijn alle voordelen van een ‘BYOD binnen de perken’- beleid teniet gedaan, want wie voelt zich dan nog door zijn werkgever vertrouwd en serieus genomen?

1 REACTIE

  1. “Wie jeuk heeft, moet krabben” is een gevleugelde uitdrukking. Dat geldt niet minder voor een CIO die geconfronteerd wordt met trends als BYOD, Consumerization, Mobility en Collaboration. Aannemende dat deze trends niet overwaaien (zie Gartner), is het aan de IT manager te profiteren van de voordelen en oplossingen te zoeken voor de nadelen. Voordelen zijn er voldoende, U noemt er zelf enkele. Vaak zijn ze terug te voeren op empowerment van medewerkers, flexibiliteit, het anders kunnen organiseren van werk etc. Veel gehoorde nadelen stellen in de basis de rol van de IT manager ter discussie. Wat beheert deze nu echt? Zijn dat PC’s/laptops/devices, of applicaties, bedrijfsdata, of is zijn rol eigenlijk het ontsluiten van middelen om een bedrijfsproces vorm te geven? Zie bv de Jericho uitgangspunten voor een uitwerking van dit inzicht. Waar hij ook kiest te zitten in het adoptie spectrum rond BYOD, er zijn passende oplossingen voorhanden voor elk scenario. Zie de whitepaper van Bring-iT op bring-it.nl voor een verdere verdieping.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in