De ‘R’ zit weer in de maand en dat betekent dat steeds meer mensen ziek worden. Alleen heeft dat dit jaar maar weinig te maken met het veranderende seizoen en des te meer met een Corona golf die het land wederom teistert. En dat heeft nogal wat gevolgen. En dan doel ik niet op de volksgezondheid maar vooral op de gevolgen voor bedrijven op het gebied van IT-security. In een poll op ons LinkedIn-account enkele weken geleden vroeg ik u naar de, in uw optiek, grootste risicofactor op het gebied van IT-security. Het nummer 1 antwoord was een ontbrekend of slecht beleid (cyber-hygiene), u vindt de blog hier. Maar een optie die ook op veel stemmen mocht rekenen was het steeds meer voorkomende BYOD-beleid, ofwel ‘Bring your own device’. In het artikel van deze week staan we stil bij het risico van BYOD en goede alternatieven voor BYOD.
Wegen de voordelen van BYOD op tegen de nadelen?
Het devies vanuit Den-Haag is simpel, werk zoveel mogelijk thuis behalve wanneer dit echt niet mogelijk is. En laten we eerlijk zijn, veel werknemers vinden dit helemaal niet erg. Ze hebben minder reistijd, kunnen tussendoor een keer een was draaien en kunnen besluiten om in hun pauze pas te gaan douchen. Veel voordelen voor de werknemer dus. Maar hoe zit dit eigenlijk voor de werkgever? Er zijn zeker voordelen te benoemen. Zoals bijvoorbeeld een verhoging van de productiviteit, meer tevreden werknemers en dalende hardware kosten. Maar weegt dat op tegen de overduidelijke nadelen en risico’s? Nee, het ziet er voor de werkgever een stuk minder florisant uit.
Zo heb je als werkgever weinig tot geen controle over de beveiliging van het privéapparaat van je werknemer. Je kent, uiteraard, de persoonlijke wachtwoorden niet noch heb je inzage in welke apps een werknemer gebruikt. Laat de werknemer zijn of haar laptop achter in een trein of ergens in het buitenland? Loop je daarmee meteen het risico dat bedrijfsgegevens zoals klantgegevens, patentaanvragen of financiële informatie kwijtraken of massaal worden verspreid op het internet. En dat wil je niet. Wat je ook niet wilt is dat een werknemer via een onbeveiligd netwerk bij de Starbucks gaat zitten werken. Of dat deze zelfde werknemer gemakshalve bedrijfsinformatie naar een privé e-mailadres stuurt. Omdat het hier om een privéapparaat gaat heeft u als werkgever geen recht om dit te monitoren (behalve bij explicite toestemming van de werknemer). Kortom, het risico dat de organisatie loopt is plots veel groter.
De voornaamste risico’s van BYOD
Kostenbesparing en gebruiksgemak zijn dus de voordelen. Aanvankelijk was er dan ook veel enthousiasme over deze voordelen van BYOD. Het Nederlandse bedrijfsleven blijft echter kritisch, vooral vanwege de vele potentiële problemen. Hieronder een overzicht van problemen waar de gemiddelde werkgever al snel mee te maken krijgt.
- Hoge verbogen kosten: Ja ik weet het, kosten hebben niet direct iets te maken met IT-security. Maar heb even geduld. De grootste problemen van BYOD liggen met name bij de IT-afdeling. De kosten voor het inzetten van digitale apparatuur beperken zich niet alleen tot de aanschafkosten. Voor elk type device dat toegang tot het bedrijfsnetwerk krijgt, moeten speciale voorzieningen getroffen worden. En wat gebeurt er als de IT-afdeling constant druk is met BYOD zaken? Precies, dan blijft de rest liggen. Updates, onderhoud en het monitoren van omgevingen en servers heeft hieronder te lijden. Een IT-security risico dus.
- Databeveiliging: Misschien wel het grootste en meest voor de hand liggende risico. Men gaat te werk op hun eigen apparaten en als organisatie is het maar gissen wat betreft de aanwezige beveiliging. Als die überhaupt aanwezig is. Dit zorgt ervoor dat devices een makkelijker doelwit zijn voor cybercrime en dat dataverwijdering niet kan worden gegarandeerd. Kiest een organisatie er toch voor om elk privé-device toch te beveiligen? Leest u dan vooral punt 1 nogmaals.
- Privacy: Het vinden van de juiste balans tussen veiligheid en privacy is een enorme uitdaging. Er bestaan oplossingen, zoals een MDM (Mobile Device Management). Maar uit onderzoek is gebleken dat 4 op de 5 werknemers dit beschouwt als ernstige inbreuk op hun privacy. En daar valt zeker wat voor te zeggen. Dus als een organisatie dit doorvoert zorgt dit niet enkel voor een morele daling maar ook voor een juridische uitdaging.
- Aansprakelijkheid: Wellicht had u hier nog niet aan gedacht, maar aansprakelijkheid is ook nog een belangrijk kritiekpunt wanneer de werknemer zelf de apparatuur faciliteert. In het geval van diefstal of een virus ligt de verantwoordelijkheid vaak bij de werkgever.
Alternatieven voor BYOD?
Met het bovenstaande in het achterhoofd is het best logisch dat veel organisaties wat huiverig zijn om een BYOD-strategie te gebruiken. Maar juist daarom is het zo belangrijk om naar alternatieven te kijken. Een alternatief dat veel wordt genoemd is CYOD, ofwel Choose your own device. Hierbij maakt de werkgever een beperkte selecte uit het totaal aantal beschikbare mobiele devices, en laat de werknemers hieruit kiezen. Dit apparaat wordt vervolgens aangeschaft door de werkgever. Omdat er nu veel minder verschillende apparaten gebruikt worden neemt de werkdruk voor de IT-afdeling drastisch af waarmee het device-management eenvoudiger wordt.
Optie B is het zogenaamde COPE, Corporate Owned, Personally Enabled. Hierbij hebben werknemers nog steeds de keuze om te werken met een apparaat naar hun keuze, maar houdt de werkgever de regie over het aanbod van devices en hoe deze worden beheerd. Deze COPE-apparaten zijn vaak optimaal beveiligd en daarom kan een werkgever met een geruster hart zeggen dat deze ook privé gebruikt mogen worden.
Opteert uw organisatie voor een BYOD-strategie maar twijfelt u aan de veiligheid hiervan? De IT-security experts van Rootsec kunnen u hiermee helpen. Wilt u meer informatie? Neem dan contact met ons op en wij vertellen u er graag meer over.