Het BYOD-dilemma

Als je ook maar iets te maken hebt met IT, krijg je ongetwijfeld inmiddels een beetje jeuk van de term ‘Bring Your Own Device’, of, zoals wij hippe IT-ers het ook graag mogen noemen, BYOD. Van het concept achter de term zou je eigenlijk iets ergers moeten krijgen dan jeuk, vooral als je verantwoordelijk bent voor de beveiliging van je bedrijfsnetwerk. Ik denk hierbij aan een paniekaanval, hyperventilatie, hoge bloeddruk en meer van dat soort symptomen. Want als security-expert ken je vooral de nadelen van BYOD.

Voordelen van BYOD zijn er ook. Vooral voor de gebruiker. Die mag lekker zijn eigen apparaat kopen, en voelt zich daardoor door zijn werkgever vertrouwd en serieus genomen. Het apparaat dat hij kiest ligt hem, hij werkt er graag mee en springt er erg voorzichtig mee om. Voordeel voor de werkgever is dat hij een blije werknemer heeft, die ook na kantooruren graag op zijn device zijn mail nog even checkt, en die voorzichtig met zijn apparaat, en daarmee ook met de bedrijfsgegevens die er al snel opstaan, omspringt.

De nadelen van BYOD zijn evident. Door het gebruik van allerlei verschillende soorten en merken devices binnen hetzelfde netwerk, ontstaat een zeer heterogeen netwerk, dat veel moeilijker te beveiligen is dan een homogeen netwerk. Daarbij komt, dat in de meerderheid van de gevallen, de it-beheerder helemaal geen idee heeft welke apparaten er op het netwerk worden aangesloten, laat staan dat ze er ook maar enige controle over kunnen uitoefenen . En aan mobiele devices zijn hele andere gevaren verbonden dan aan vaste pc’s of laptops. Het verliezen van een smartphone is nu eenmaal gemakkelijker te bewerkstelligen dan het verliezen van een desktop.

En ook een laptop valt niet zo makkelijk uit je zak in de trein. Om nog maar te zwijgen over de malware en frauduleuze apps die er allemaal voor tablets en smartphones in omloop zijn.

De laatste problemen kun je moeilijk uitsluiten. Ook als je als bedrijf geen BYOD toestaat, en werknemers zelf een apparaat geeft om mee te werken, blijft het gevaar op diefstal, verlies om malware even groot. Het voordeel is wel, dat je dan op software- en beleidsoplossingen kunt richten die voor dat ene type van dat ene merk werken. Zo bouw je een expertise op voor de beveiliging van dat specifieke apparaat, wat de beveiliging van het bedrijfsnetwerk ten goede komt. Maar, dan heb je wel te maken met ontevreden werknemers, die het gekozen apparaat mogelijk maar aftands en gebruiksonvriendelijke vinden, en er niet (veel) mee willen werken. Weg zijn dan al die nachtelijke antwoorden op e-mails die eigenlijk ook best tot de ochtend hadden kunnen wachten.

Ik pleit voor een middenweg tussen deze twee uitersten. Als bedrijf is het verstandig om een ‘BYOD binnen de perken’-beleid in te voeren. Geef werknemers de mogelijkheid om hun eigen apparaat te kiezen, en stel ze hiervoor een redelijk bedrag ter beschikking. Geef ze alleen wel een duidelijk kader.

Bijvoorbeeld: het besturingssysteem moet Android zijn, vanaf versie 2.1. Laat duidelijk zijn dat het apparaat echt het persoonlijke apparaat van de werknemer is, maar dat hij in ruil hiervoor akkoord dient te gaan met de Mobile Security Policy die wordt opgesteld. Daarin kun je het verplicht stellen dat er een bepaalde security-oplossing op het apparaat geïnstalleerd wordt, dat alle bedrijfsdata worden versleuteld, dat het apparaat zelf wordt beveiligd met een sterk wachtwoord, en dat er speciale anti-diefstalsoftware op staat, waarmee het apparaat in geval van verlies of diefstal kan worden geblokkeerd, gewist en / of kan worden gelokaliseerd. Ook kan verplicht worden gesteld dat apps alleen mogen worden geïnstalleerd als ze uit de officiële appmarkt vandaan komen en aan bepaalde voorwaarden voldoen. Als aan de voorwaarden niet wordt voldaan: geen toegang tot het bedrijfsnetwerk.

Zorg dat je in de Mobile Security Policy ook aandacht besteedt aan het waarborgen van de privacy van de werknemer. Ik zou het geen enkel bedrijf aanraden om spyware op de telefoon van medewerkers te installeren, zoals in de US inmiddels eerder regel dan uitzondering lijkt te zijn . Als je dat doet, zijn alle voordelen van een ‘BYOD binnen de perken’- beleid teniet gedaan, want wie voelt zich dan nog door zijn werkgever vertrouwd en serieus genomen?

Blog door: J. van Haver werkzaam bij Gdata