BYOD is een belangrijke trend op alle niveaus binnen en buiten de organisatie. Sommige organisaties omarmen deze werkwijze terwijl anderen het buiten de deur proberen te houden. Podiumauteur David Kelleher omschrijft de voor- en nadelen van BYOD.
Wat zijn de voor- en nadelen van BYOD vanuit een zakelijk perspectief gezien? En welk veiligheidsoverwegingen brengt deze trend met zich mee? Laten we eerst eens kijken naar enkele voordelen van BYOD:
Productiviteit
Wat is BYOD?
BYOD (Bring Your Own Device) is een term die wordt gebruikt om de werkwijze te omschrijven van werknemers die hun eigen mobiele apparaat (bijvoorbeeld iPhones, iPads en laptops) meenemen naar hun werk om daar vervolgens hun dagelijkse werkzaamheden op uit te voeren. Deze term heeft ook betrekking op gebruikers die hun eigen apparaten gebruiken voor hun werk, terwijl zij onderweg zijn.Het idee achter BYOD is dat medewerkers overal en altijd kunnen beschikken over zakelijke gegevens via hun eigen apparaat. Dit verhoogt de productiviteit. Wanneer medewerkers altijd en overal toegang hebben tot zakelijke e-mails, is de verleiding groter om nieuwe mails te bekijken in privétijd. Ook worden mails vaker in de vrije tijd van de medewerkers beantwoord. Dit komt de productiviteit zeer ten goede.
Gemak
In plaats van met twee apparaten rond te sjouwen, hoeft de medewerker nog maar één apparaat mee te nemen. Op dit apparaat kan hij zowel werk- als privézaken regelen.
Kostenbesparingen
Door het contract dat de gebruiker heeft met de serviceprovider, liggen de kosten voor het mobiele apparaat automatisch bij de werknemer zelf. Organisaties kunnen ervoor kiezen om niets te betalen, alleen voor het servicecontract te betalen of misschien een vergoeding te bieden aan werknemers die hun persoonlijke apparaat willen gebruiken voor zakelijke doeleinden. Waar ook voor wordt gekozen, het is belangrijk om te streven naar een eenvoudig kostenmodel. Onderscheid maken tussen kosten voor privégebruik en zakelijk gebruik zal namelijk niet meevallen.
Nadelen van BYOD
Ondanks de voordelen, zijn er een aantal zaken om rekening mee te houden. Ten eerste mag niets nieuws worden geïmplementeerd binnen de organisatie zonder een formele risicoanalyse. Een risicoanalyse moet worden uitgevoerd om:
- de BYOD-risico's die van toepassing zijn op uw organisatie te identificeren
- de werkgever te begeleiden bij het opstellen van een mitigatiestrategie voor elk geïdentificeerd risico
- te bepalen of er bereidheid is om de geïdentificeerde risico’s te accepteren
Risicoanalyse
Een risicoanalyse onderstreept de onderdelen binnen de organisatie die bekeken dienen te worden bij de implementatie van BYOD. Zaken om te overwegen zijn:
1. Welke software wordt ingezet?
Vanuit beveiligingsoogpunt zijn implementatie van de juiste software op zowel serverniveau als lokaal niveau (op het apparaat) van groot belang.
2. Wie krijgt toegang tot wat?
Wie krijgt toegang tot de agenda, contacten en e-mail? Zijn medewerkers in staat om de klant database te raadplegen? Stem een duidelijk beleid af met betrekking tot de bevoegdheden van medewerkers.
3. Dient de mobiele toegang tot gegevens afgeschermd te worden?
Wanneer bepaald is welke data beschikbaar mag zijn op mobiele apparaten, is het zaak om de toegang tot deze data te scheiden van de overige databronnen van de organisatie. Dit beperkt het risico van het lekken van gevoelige data. Hiermee gaat de manier waarop de data geleverd wordt gepaard. Zal dit via een beveiligde pagina aangeboden worden, via een in-house app of juist via een app van een externe leverancier.
4. Hoe wordt de mobiele data geleverd?
Zoals eerder gezegd is het kiezen van het juiste distributiemodel voor gegevens van cruciaal belang. Welke oplossing ook gekozen wordt, encryptiemogelijkheden dienen aanwezig te zijn op apparaat-, server- en datatransportniveau. Sommige oplossingen bieden de mogelijkheid om een applicatie te installeren op de iPhone of iPad. Deze applicaties werken als een veilige, geëncrypteerde container van waaruit bedrijfsgegevens geraadpleegd kunnen worden. Nadat gebruikers geauthentiseerd zijn, kan de data verplaatst worden van en naar de zakelijke serveromgeving en bekeken worden binnen deze beveiligde container.
5. Bij wie ligt de aansprakelijkheid?
Een ander, vaak vergeten aspect dat aandacht verdient is de aansprakelijkheid. Als gebruikers hun eigen apparaat gebruiken voor zakelijke doeleinden en er gebeurt iets met dat apparaat, wie is dan aansprakelijk voor de kosten van reparatie of vervanging?
6. Als een apparaat wordt verloren, hoe wordt omgegaan met de bescherming van bedrijfsgegevens?
Sommige organisaties hebben maatregelen getroffen die hen in staat stelt om het apparaat vanaf afstand te wissen zodra het apparaat gestolen of verdwenen lijkt te zijn. Echter, deze functionaliteit werkt alleen als het apparaat opgeladen is en bereik heeft. Wanneer iemand het apparaat ongewenst in handen heeft en de SIM-kaart verwijdert of het apparaat in vliegtuig-modus zet, is deze functie vrijwel waardeloos.
7. Welke apparaten worden ondersteund?
Eén van de grootste BYOD-beveiligingsproblemen is dat het onmogelijk is voor IT om inzicht te hebben in elk nieuw mobiel apparaat en mobiel platform dat beschikbaar is. Installatiebeheer en bijwerken van antivirus op de mobiele apparaten wordt moeilijk, evenals ondersteuning voor al deze apparaten.
8. Acceptatie van medewerkers met betrekking tot eigendom van gegevens en het gebruiksbeleid
Wanneer je als organisatie BYOD wil omarmen, betekent dit niet automatisch dat medewerkers dat ook doen. Omdat de organisatie eigenaar is van de gegevens die zich op het apparaat bevinden, zal de organisatie ook controle over het gebruik en de bescherming ervan afdwingen. De meeste gebruikers zullen niet blij zijn met het feit dat de organisatie hun telefoon zal analyseren wanneer zij het bedrijf ooit verlaten. Dit geldt uiteraard ook in een situatie als de organisatie het apparaat van een afstand wil wissen wanneer het apparaat verloren of gestolen is. Het is belangrijk om de juiste verwachtingen te schetsen door duidelijk omschreven beveiligingsrichtlijnen te hanteren. De organisatie kan zichzelf indekken door ervoor te zorgen dat werknemers deze richtlijnen lezen, begrijpen en ondertekenen.
9. Bepaal welke apparaten verbinding kunnen maken met het netwerk
BYOD moet niet gelden voor zomaar elk apparaat dat zich binnen bereik bevindt van het bedrijfsnetwerk. Er moet een streng controlebeleid komen dat de toegang tot het netwerk controleert en alleen toegestane apparaten toelaat in het netwerk.
Balans productiviteit versus veiligheid
Uiteindelijk komt alles neer op het vinden van de juiste balans tussen productiviteit en veiligheid. Is er tevredenheid over de verhouding veiligheidsrisico's versus de potentiële stijging van de productiviteit in het bedrijf die BYOD gaat opleveren? Weegt de productiviteitswinst op tegen de veiligheidsrisico's? Levert de inzet van BYOD een ROI op voor de organisatie of wegen deze voordelen niet op tegen de kosten om de veiligheidsstrategie op peil te houden? Zijn de beheerders binnen de organisatie er klaar voor in het geval er een lek ontstaat waardoor data verloren gaat? Tot welke data mag mobiel toegang worden verkregen en aan wie verleent men deze toegang? Voldoet het gekozen BYOD-model aan de bestaande regels voor databescherming?
Dit zijn allemaal vragen die beantwoord dienen te worden voor overgegaan kan worden op BYOD. Wanneer de juiste beveiligingsmaatregelen worden genomen, is het alleen nog maar een kwestie van accepteren van de additionele risico’s en de juiste mensen toegang verschaffen tot het BYOD-beleid.
Over de auteur:
Dit Podiumartikel is geschreven door David Kelleher, Global PR Coordinator bij GFI.
Over het podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium.'
