Medewerkers die een eigen smartphone of tablet willen gebruiken voor hun werk, zijn ook zelf verantwoordelijk voor de beveiliging ervan. Dat stelt adviseur John Lasschuit van ict-dienstverlener Aranea. Lasschuit was op 3 november 2011 één van de sprekers bij de Computable-expertsessie met het thema Bring your own device op de Infosecurity-beurs in Utrecht.
Bedrijven die besluiten hun medewerkers de vrijheid te geven in de keuze van de apparatuur waarmee zij werken, zullen opnieuw moeten nadenken over de inrichting van hun ict-beleid en -afdeling. Nu is de apparatuur die een bedrijf ter beschikking stelt van zijn personeel veelal een dictaat van de ict-afdeling. Die is veelal ook verantwoordelijk voor de inrichting en het beheer van de apparatuur.
Als een bedrijf medewerkers de vrijheid geeft hun eigen apparatuur te gebruiken, zal de beveiliging van het apparaat op orde moeten zijn. 'De verantwoordelijkheid voor de basisbeveiliging van het apparaat ligt in eerste instantie bij de gebruiker zelf', aldus Lasschuit. Het bedrijf moet zijn medewerkers daarin wel ondersteunen en het doordringen van de basisprincipes van veilig werken. Volgens Lasschuit neemt de productiviteit van personeel met 60 procent toe, op het moment dat zij vrij zijn in de keuze van het apparaat waarmee zij hun werk doen.
Global security evangelist Eddy Willems van G-data onderstreept het belang dat elk apparaat met een besturingssysteem ook een beveiligingspakket heeft. Juist een open besturingssysteem als Android maakt gebruikers – en daarmee hun werkgevers – kwetsbaar voor malware en virussen. Hij citeerde onderzoek waaruit blijkt dat ten opzichte van een jaar geleden de besmetting met malware van Android-apparaten met 221 procent is gestegen.
Naast een basale beveiliging van het apparaat zelf is ook de beveiliging van het netwerk essentieel, stelt information systems architect Ruud Pieterse van HP. 'Je kunt het gebruik van eigen apparatuur op de werkvloer tegenwoordig niet meer verbieden. Desnoods gaan mensen om de ict-afdeling heen. Daarom wordt toegangsbeheer voor het netwerk steeds belangrijker.'
Volgens client product manager Jordi Baggen van Dell moet de ict-organisatie van een bedrijf altijd de regie over de ict-filosofie houden. 'De ict-afdeling kan uitstekend ondersteunen bij de keuze voor het apparaat dat de medewerker kiest. Vaak zijn eenvoudige applicaties e-mail en agenda al voldoende.'
Pff, lekker makkelijk om mensen verantwoordelijk te maken voor iets waar ze niet voor verantwoordelijk kunnen zijn omdat ze er (bijna) niets van snappen. Als bedrijf moet je je eigen verantwoordelijkheid nemen en proberen eigen apparatuur toe te staan zonder daarbij onacceptabele risico’s te lopen. Als bedrijf regel je dan de toegang tot je informatie, maar hou je die informatie en de beveiliging ervan in eigen hand.
Het klinkt allemaal zo hip en zo cool. Maar wat doe je nou als dat eigen-meegebrachte-coole-gadget gewoon kapot is en de hippe-coole-immer-trendy werknemer dan niet meer kan werken?
Want geen enkele prive persoon heeft zelf backup apparatuur staan. Wie zit er dan op de gebakken peren (lees kan niks meer doen c.q. is niet meer productief)? De werknemer? De werkgever? Beiden dus. Impasse… niet leuk, niet cool, niet trendy.
Moraal: bezint eer gij BYOD begint.