Er blijkt bij veel bedrijven, tot schrik van de it-beheerder, veel meer privé-apparatuur te zijn op aangesloten op het netwerk en gebruik te maken van applicaties dan verwacht. Het betreft hier meestal smartphones en een enkele laptop. Meestal uit persoonlijke voorkeur of om een hype te volgen.
De werknemer wil graag privé en zakelijk consolideren op één apparaat om niet met twee devices rond te hoeven lopen. Uiteraard gebruikmakend van de nieuwste modellen en niet de oude opgelegde spullen van de baas. En als u een keer met de nieuwste iPhone of een Android telefoon hebt gewerkt, dan begrijpt u wellicht ook waarom.
Op de vraag of gebruik van privé-apparatuur de efficiëntie op de werkvloer positief beïnvloedt is het antwoord: niet direct. Als de werkgever met apparatuur aankomt met dezelfde mogelijkheden, dan is er qua functionaliteit en werkbaarheid geen verschil, hoogstens werkt het privé-apparaat prettiger. Misschien dat de werknemer eerder geneigd is ook buiten kantooruren zakelijke berichten te behandelen als hij alle berichten op één apparaat ontvangt, maar het is twijfelachtig of dat zo’n grote invloed zal hebben. De bereidwilligheid om buiten de kantooruren zakelijke activiteiten op te pakken is sterk afhankelijk van de persoon in kwestie.
Nee, je zult de mogelijke winst eerder in de hoek moeten zoeken van het tevreden maken of houden van de werknemers en hiermee indirect een efficiëntieslag maken. Een bedrijf is ‘modern/hip’, zodra het privé-apparatuur toestaat op de werkvloer of via een budgettoekenning zelfs aanmoedigt, in plaats van centraal te bepalen wat de werknemer mag gebruiken. Een werknemer stelt keuzevrijheid over het algemeen erg op prijs. Net zoiets als kies/breng je eigen auto, kies je eigen pensioen of het ‘cafetariamodel’. Gemotiveerd personeel creëert in potentie betere en efficiënter werkende werknemers. Directe efficiëntieslagen zijn op het bedrijfseconomische vlak wel te verwachten. Centrale onderhandelingen en inkoop van apparatuur of verzekeringen zijn bij BYOD niet nodig en aan de interne helpdesk wordt minder gevraagd. BYOD-gebruikers worden geacht deze zaken min of meer allemaal zelf te regelen.
Gebruikers zijn daarnaast geneigd netter om te gaan met privé-spullen dan met die van de werkgever. Dit is wederom ook geen zwart-wit verhaal. Een werknemer die zijn privé-smartphone kwijtraakt, zal toch een vervanger nodig hebben om te kunnen werken. Wie betaalt dat? Hoe zit het met de juridische verantwoordelijkheid van bijvoorbeeld de data en de beveiliging ervan op dergelijke devices? Moet de werkgever dat dan wel weer centraal regelen en controleren? Daarmee zou de gekozen vrijheid weer op een hellend vlak komen te staan.
Bedreigingen
Is de ict-infrastructuur van de organisatie voldoende beveiligd tegen de eventuele bedreigingen van BYOD? In deze context zijn bedreigingen niet direct gerelateerd aan het type hardware dat gebruikt wordt. Het gaat meer om het eigendom en bescherming van de aanwezige data. Als een organisatie momenteel geen bescherming biedt in zijn bedrijfs-it-infrastructuur, dan is de vraag of introductie van privé-apparatuur dat zal veranderen. Dit is wellicht wederom een juridisch aspect over risico's van activiteiten die door een privé-persoon worden uitgevoerd op een apparaat dat ook geliëerd is aan een organisatie.
Een bedrijf zal moeten kiezen hoe het zijn applicaties wil aanbieden met betrekking tot privé-apparatuur. Er zijn tegenwoordig oplossingen om zogenaamde ‘bubbles' te creëren, gebruik te maken van server-based computing of zelfs devices te virtualiseren om een afgesloten zakelijke omgeving te creëren op een privé-apparaat, die inhoudelijk bepaald is door de organisatie zelf. Veel technische en juridische aspecten worden daarmee wellicht ondervangen. Een ander voordeel is dat beveiligingsoplossingen hiermee centraal op een datacenter uitgevoerd kunnen worden, buiten de invloedsfeer van de gebruiker. Praktisch gezien kan er eventueel ook vrij eenvoudig ‘meegelift' worden op de huidige interne virtual dekstop-implementaties. Sommige van dergelijke oplossingen eisen wel een continue netwerkkoppeling met de organisatie, omdat de data voornamelijk alleen in datacenters staan.
Andere oplossingen gaan juist meer in de richting van een volledige centrale controle over het apparaat, met patchmanagement, antimalware, encryptie, etc. Dit is een andere methode, maar de vraag is of de werknemer dit op prijs stelt, omdat het bedrijf dan centrale controle heeft over privé-bezit.
Het scheelt per organisatie en diens wens/beleid welke richting op gedacht dient te worden. Er bestaat met betrekking tot BYOD geen ‘silver bullet'. Geen enkele leverancier heeft een perfecte oplossing of een ‘one-size-fits-all'. Ze redeneren logischerwijs voornamelijk vanuit hun eigen software.
Mobiele antimalware
Welke methode een bedrijf ook kiest om zijn infrastructuur te beschermen, het is tegenwoordig altijd raadzaam om een antimalware-product te installeren op een mobiel apparaat. Met de toename van het aantal malware-bedreigingen van tegenwoordig, die ook hun weg vinden naar smartphones is, wordt deze behoefte groter. Als een organisatie hier controle op wil uitoefenen, is het raadzaam corporate antimalware-oplossingen te implementeren of persoonlijke, individuele antimalware-licenties ter beschikking te stellen vanuit de organisatie. Hierbij gaan we ervan uit dat een Nederlandse gebruiker een gratis antimalware-product altijd op prijs stelt en ook zal gebruiken.
Via cloud security-diensten kan het web- en mailverkeer van privé-apparatuur gescand worden buiten de corporate gateway-beveiligingsoplossingen om. Dit kan een organisatie aanbieden aan gebruikers vanuit het oogpunt om ‘gratis' privé-apparatuur en de medewerkers te beschermen, en indirect de organisatie zelf, zonder opzichtelijke bemoeienis vanuit de organisatie. BYOD, je hoeft er niet meer van te schrikken.
BYOD is inderdaad een heel andere aanpak. Voor wat betreft beveiliging is het imo zaak om niet afhankelijk te zijn van een egg-shell principe, waarbij alleen de buitenkant goed beveiligd is. De beste remedie is vooral weten wie waar mee bezig zou moeten zijn, en daar de beveiliging op instellen. Je komt er echter niet alleen met technische oplossingen. Mensen moeten weten met welk type informatie ze vanuit hun functie mee werken, en dus wat ze er wél en niet mee mogen doen. Als iemand daar (herhaaldelijk) niet toe in staat blijkt, mag wat mij betreft het functioneren ter discussie staan. De gebruiker een goede gebruikersovereenkomst laten ondertekenen is een noodzakelijke basis daarvoor.
“…het is tegenwoordig altijd raadzaam om een malware-product te installeren op een mobiel apparaat.”
Breekt toch spontaan mijn klomp in tweeën 🙂
Goed dat dit foutje gecorrigeerd is, maar blijft natuurlijk het probleem dat dergelijke aparaten kenlijk erg fraude gevoelig zijn.
Als je dan ook nog de beveiliging bij de eigenaar neerlegt kan ik me voorstellen dat systeembeheerders daar niet op zitten te wachten.
Eerste kriteria dus, zorg dat enkel devices die niet middels een simpele druk op de knop het hele netwerk kunnen compromiteren zijn toegelaten.
Een onredelijke eis uiteraard want daar onder vallen in elk geval alle MicroSoft OSX en Android apparaten.
Kun je dus eens afvragen of gewone gebruikers wel met hun prive spul op het kantoornetwerk moeten komen ?
Uitzonderingen bevestigen uiteraard de regel maar geloof me… JIJ (als in generiek) bent niet die uitzondering op de regel !
Daar zit dus nou net de crux. Als je de bedrijfseigen apparaten goed beveiligt, en je centrale diensten afzondert en beveiligt, dan zal het je toch een biet zijn wat die privé gebruikers “op het kantoornetwerk” doen? De hele term “kantoornetwerk” vervaagt al sinds jaar en dag. Zorg dat je (eigen) apparaten secured zijn, wat er dan nog over het kabeltje gaat is een stuk minder belangrijk.
Volledig met Peter eens, security at the source of the information. Of te wel, we zijn de afgelopen jaren wel erg makkelijk bezig geweest. De door de werkgever aangedragen eindgebruikers apparatuur werd volledig ‘dichtgetimmerd’ en gezien als een eerste verdedigingslinie.
Fout dus.
Met de BYOD en ook bijvoorbeeld Cloudservices is de controle over eindgebruikersapparatuur verdwenen. Je eigen interne netwerken zijn untrusted en gelijkgesteld aan internetomgevingen. De eerste verdedigingslinie ligt nu bij het datacenter. De inteligente firewalls dienen hier als eerste laag en voor de rest moeten de waardevolle gegevens gelaagd worden beveiligd (tiered web/application/database model). Op de interne kantoornetwerken is het nog wel zinvol om met behulp van inteligente netwerkmonitoring ongebruikelijk/ongewenst netwerkverkeer te signaleren en eventueel te blocken.
Vertrouwen dat je eindgebruikers goede anti virus/malware software op hun eigen apparatuur hebben geinstalleerd ? Nee, dan maken we dezelfde fout als met de bedrijfs PC. “It’s a jungle out there” is het nieuwe motto.
Martin
Dat ik niet zo geloof in BYOD, heb ik in reacties op andere artikelen m.b.t. dit onderwerp al eens toegelicht.
Maar een tweetal zinnen in het artikel riepen toch wat vraagtekens op:
“Een werknemer die zijn privé-smartphone kwijtraakt, zal toch een vervanger nodig hebben om te kunnen werken. Wie betaalt dat?”
Dit snap ik niet (of misschien wil ik het niet snappen). Als ik een smartphone nodig heb om mijn werk te kunnen doen, dan dient mijn werkgever hiervoor zorg te dragen, niet ik. Met een beetje geluk mag ik deze zakelijke smartphone ook privé gebruiken.
Het citaat schetst een omgekeerde wereld. Wanneer ik er voor kies privé materiaal te gebruiken voor mijn werk, en het materiaal sneuvelt, dan is dit mijn probleem, niet dat van mijn werkgever (ZZPers uitgezonderd uiteraard).
Veel bedrijven zijn zich hier overigens terdege van bewust. Wanneer ik voor mijn werk naar een klant of andere locatie toe moet, wordt ik geacht een huurauto te nemen in plaats van mijn eigen auto, puur om verzekeringstechnische redenen.
“Misschien dat de werknemer eerder geneigd is ook buiten kantooruren zakelijke berichten te behandelen als hij alle berichten op één apparaat ontvangt”
Met als keerzijde dat werknemen ook allerlei privé berichten zal gaan behandelen tijdens kantooruren…. Hoe ga je deze balans in de gaten houden?
Ik zeg niet dat men niets voor privé doeleinden mag doen tijdens werktijd; soms ontkom je daar niet aan gezien de openingstijden van sommige instanties. Maar als de werkgever er vanuit gaat dat ik in mijn eigen tijd dingen voor het werk ga doen, dan gebeurt dat ook andersom. En misschien doe ik overdag dan wel meer privé dan ’s avonds zakelijk…..