Steeds meer werknemers gebruiken hun privételefoons en tablets ook zakelijk. Het maakt uw medewerker een stuk productiever en efficiënter. Podiumauteur Theo Schutte waarschuwt wel dat weinig bedrijven beleidsregels hebben opgesteld om de opmars van mobiele apparaten op de werkvloer te beteugelen.
De meeste organisaties kunnen niet meer om BYOD (Bring Your Own Device) heen. Werknemers willen ook met hun persoonlijke mobiele platform of toestel zakelijk werken, waardoor de noodzaak en wil om met de aanwezige bedrijfs ict-middelen te werken steeds vaker verdwijnt. Veel werknemers sluiten zelfs hun eigen abonnement af voor smartphones en tablets. Om tegemoet te komen aan de wensen van de werknemers zetten steeds meer bedrijven de deur open voor allerlei apparaten, van iPads tot Android-toestellen. Ceo’s en directeuren moeten snel beslissen hoe zij om willen gaan met het beveiligen van de devices, want het gevaar dat bedrijfsinformatie op straat komt te liggen is groter dan ooit.
Voordelen
De wildgroei aan persoonlijke apparaten op de werkvloer heeft voordelen: het brengt ongekende efficiëntie en verhoogde productiviteit. En, niet te vergeten, minder abonnementskosten voor mobiele telefonie en internet. Medewerkers kunnen hun e-mail beantwoorden, informatie up- en downloaden, bestanden delen en websites bijwerken in de trein, op het stand of naast het voetbalveld. Meestal dragen zij hier zelf de kosten voor. Uit verschillende studies blijkt dat BYOD medewerkers meer tevreden en effectief maakt.
Dilemma
Klinkt als een win-win-situatie, toch? Nou, er is wel een dilemma: terwijl medewerkers maximaal effectief zijn dankzij BYOD, lopen ict-organisaties achter de feiten aan. Er zijn verbazingwekkend weinig bedrijven die beleidsregels hebben opgesteld om de opmars van mobiele apparaten op de werkvloer te beteugelen. Zonder gedrags- en gebruiksregels hebben zij eigenlijk geen andere keuze dan ‘nee’ te zeggen tegen de privétoestellen, en daarmee ook tegen verhoogde productiviteit, tevredenheid en kostenbesparingen.
Zorgen over beveiliging
Het afgelopen jaar lieten we onafhankelijk onderzoek uitvoeren onder ict-beslissers bij 300 middelgrote tot grote ondernemingen in Europa. Daaruit blijkt dat maar liefst 60% van de respondenten zich zorgen maakt over het beveiligen van bedrijfsgegevens in deze nieuwe wereld, waar gebruikers de dienst uitmaken. De meeste bedrijven denken dat ze eigenlijk niet in staat zijn om persoonlijke mobiele toestellen goed te beveiligen. Twee derde van de ict-beslissers zegt vooralsnog alleen bedrijfstoestellen toe te staan op de werkvloer, omdat beleidsregels daar direct op toegepast kunnen worden. Ruim een op de vijf (21%) van de bedrijven legt de verantwoordelijkheid voor het beveiligen van persoonlijke apparaten volledig bij de gebruiker/eigenaar, wat natuurlijk uitermate riskant is.
Maatregelen
Het wordt steeds moeilijker voor organisaties om BYOD te weigeren. De bedrijfsleiding kan het zakelijke gebruik van privétoestellen niet tegenhouden, al zou men willen. Medewerkers vinden dan zelf wel een manier om het verbod te omzeilen. Bedrijfsapplicaties zijn met mobiele apparaten toegankelijk vanaf ieder mobiel of draadloos netwerk, of dit nu beveiligd is of niet. Hierdoor bevatten de toestellen een verbijsterend aantal gevoelige en vertrouwelijke bedrijfsgegevens. Dat kan bijzonder nadelige gevolgen hebben voor de werkgever. Wat is dus het antwoord op de beveiligingsvraagstukken rond BYOD? Er zijn een paar maatregelen die de gemoederen een beetje kunnen sussen:
Hanteer een relevant mobiel beleid
De meeste organisaties moeten even de tijd nemen om, op basis van doelstellingen, te beoordelen wat de werkelijke bedreigingen zijn voor het netwerk (bijv. kwaadaardige websites, verlies van productiviteit, overmatig bandbreedteverbruik). Als leidraad kunnen IT-afdelingen zich de volgende vragen stellen:
- Welke applicaties zijn vereist en welke zijn verboden?
- Welke medewerkers mogen deze toestellen gebruiken?
- Wie heeft toegang tot het netwerk, op basis van wie, wat, waar en wanneer?
Bedrijven moeten ook de toegang beheren op basis van de noodzaak dat een medewerker überhaupt bij de bedrijfsgegeven moet kunnen. En een blijvende risicoanalyse uitvoeren. Vanzelfsprekend moeten zij ook weten hoe zij de beleidsregels bekrachtigen en toezien op het naleven daarvan.
Beheer apparaten op afstand
Het is belangrijk om een reeks basale beveiligingsmaatregelen te treffen op ieder apparaat dat bedrijfsgegevens bevat. Dit gaat bijvoorbeeld om antivirussoftware of software om toestellen op afstand te beheren. Met dit laatste kunnen ict-organisaties de apparaten van gebruikers automatisch bijwerken met de laatste updates. Dat voorkomt dat bekende kwetsbaarheden misbruikt worden in mobiele aanvallen. Bedrijven moeten ook maatregelen nemen voor het lokaliseren, volgen, schoonvegen, back-uppen en herstellen van apparaten. Daarmee kunnen zij bedrijfsgegevens op gestolen of verloren mobiele apparaten beschermen en herkrijgen.
Blokkeer niet-conforme apparaten
Vaak willen medewerkers weliswaar heel graag hun privétoestel zakelijk gebruiken, maar minder graag extra software installeren om dit toelaatbaar te maken. Tenslotte kunnen sommige applicaties ook waardevolle contacten en foto’s van hun toestel verwijderen. Als compromis kunnen organisaties de regel hanteren dat medewerkers alleen privétoestellen mogen gebruiken als zij akkoord gaan met het installeren van de applicaties die het beveiligingsbeleid voorschrijft. Zo niet, dan kunnen zij een bedrijfstoestel gebruiken. Bedrijven kunnen ook overwegen de privétoestellen op te delen in een zakelijke en een persoonlijke partitie. De ict-organisatie heeft dan alleen de controle over het zakelijke deel van het toestel.
Beveiligen van netwerk
Er is echter een belangrijker punt voor een effectieve bescherming van bedrijfsnetwerken en -gegevens tegen potentiële aanvallen vanaf mobiele apparaten. Dat is dat de beveiliging van het netwerk boven dat van de toestellen moet gaan. Het is zelfs erg lastig om individuele smartphones en tablets te beschermen met beveiligingssoftware. Aan de technische kant hebben mobiele apparaten vandaag de dag niet voldoende computerkracht. Er zijn bovendien veel te veel verschillende besturingssystemen en apparaten om zeker te weten dat de software voor allen bijgewerkt is. Aan de gebruikerskant is het moeilijk om erop toe te zien dat de beveiligingssoftware geïnstalleerd is op het privétoestel van iedere medewerker.
Daarom is de enige oplossing zekerheid te hebben dat het netwerk beschermd is. En dat zowel het inkomende als uitgaande verkeer tussen het bedrijfsnetwerk en apparaten op afstand beheerd kan worden. Deze strategie vraagt om strikte controle over gebruikers en applicaties, bovenop rechtvaardig apparatuurbeheer. Het vereist dat ict-organisaties de macht hebben om het gebruik van applicaties op de mobiele apparaten en hun netwerk op te sporen en te beheren. Dat moeten zij kunnen baseren op classificatie, gedragsanalyses en de verbinding met gebruikers. Ook moeten zij webgebaseerde applicaties kunnen herkennen en beheren op gedetailleerd niveau, inclusief inspectie van versleuteld applicatieverkeer, ongeacht de gebruikte poorten en protocollen.
Het is duidelijk dat organisaties een helder BYOD-beleid moeten instellen om de nieuwe manier van werken te ondersteunen. Want BYOD is here to stay.
Eerdere bijdragen:
Over de auteur:
Dit artikel is geschreven door Podiumauteur Theo Schutte, countrymanager Nederland bij Fortinet
Over het Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.
