De consumentenmarkt fungeert steeds vaker als aanjager van ict-innovatie op de werkvloer. Nieuwe apparaten en applicaties komen eerst op de consumentenmarkt voordat zij worden overgenomen in het bedrijfsleven. Maar kleven hier ook gevaren aan? De Computable-experts zijn verdeeld.
De ene expert denkt dat het beveiligen van mobiele apparaten de grootste uitdagingen voor bedrijven is op dit moment, terwijl de ander vindt dat de ‘consumerization of IT’ (CoIT) zoveel potentie heeft, dat het grootste gevaar is dat bedrijven mogelijkheden laten liggen.
Tonny Roelofs, Country Manager Nederland bij Trend Micro:
‘Voor bedrijven is het beveiligen van mobiele apparaten die medewerkers meebrengen naar het werk een van de grootste uitdagingen. Toch is dit te beheersen met de juiste beveiligingsmaatregelen en een goed doordacht byod-programma. Volgens een onderzoek van Trend Micro heeft bijna de helft van de bedrijven met een byod-programma te maken gehad met dataverlies door mobiele apparaten. De risico’s zijn jail-broken smartphones waardoor malware op het netwerk kan komen, lekken in browsers waar malware gebruik van maakt, apps met malware, links in sms-berichten of sociale media posts die gebruikers naar malafide websites loodsen of malafide app stores. Hierdoor is het mogelijk dat de geïnfecteerde apparaten bedrijfsdata lekken naar cybercriminelen.’
‘Er zijn een aantal oorzaken waardoor er juist minder aandacht voor beveiliging is vanuit de ict-afdeling. Zo weet deze vaak niet hoeveel mobiele apparaten er aan het bedrijfsnetwerk worden gekoppeld. Ook het updaten van alle mobiele apparaten kan weken in beslag nemen door de verschillende besturingssystemen en het aantal patches. Belangrijk is dus dat het doel van mobile device management voor een ict-afdeling is om ieder apparaat dat op het bedrijfsnetwerk komt te kunnen identificeren en te beheren.’
Erik Lamers, vice-president business development & marketing bij Avanade:
‘In lijn met byod zie ik zeker geen gevaar. Maar zorg wel voor goede regels en afspraken. Dat voorkomt teleurstelling en beveiligingsproblemen. Wat zijn bijvoorbeeld de regels bij verlies of diefstal van een privé device tijdens werktijd? Waarop heeft de medewerker recht en wat als hij of zij zijn werk niet meer optimaal kan doen? Het technisch ondersteunen en aansluiten van de verschillende devices is goed te realiseren, zowel vanuit eigen voorzieningen als vanuit de cloud.’
‘Bij clouddiensten zijn er zelfs nog een aantal voordelen te bedenken om dat deze diensten juist zijn ingericht op gebruik vanaf meerdere en verschillende apparaten. Daarbij groeit de landelijke dekking van snel internet en is de uitdaging van dataopslag deels verholpen omdat de data niet meer op het device wordt opgeslagen. Authenticatie en autorisatie worden daarmee het belangrijks,t dus moeten bedrijven dubbel zo goed nadenken over hoe de directory is ingericht. Dit is een vaak vergeten of verwaarloosd onderdeel.’
Maarten Stultjens, VP business development bij iWelcome:
‘Het grootste gevaar ligt niet in CoIT, maar juist in het feit dat de potentie van CoIT voor medewerkers niet wordt benut. Wie heeft via zijn mobiele device immers al inzicht in zijn actuele werkrooster? Vaak komt dat nog via de mail? Ook zijn er nog weinig medewerkers die hun mobiele device kunnen gebruiken als authenticatiemiddel. Meestal moeten thuiswerkers nog steeds hardware tokens bij zich hebben. Managers die snel kunnen inspelen op actuele ontwikkelingen op de zaak terwijl ze op pad zijn, zijn een meerwaarde voor de bedrijfsvoering. Als de ict-afdeling hierin niet het voortouw neemt, zullen werknemers zelf oplossingen vinden. En dan hebben we het nog niet gehad over het gevaar van het onbenut laten van de mogelijkheden van CoIT voor de concurrentiepositie van een bedrijf.’
Maarten Hartsuijker, security consultant bij Classity:
‘Wanneer bedrijven op een goede manier en bewust met de risico’s omgaan en goede acceptatiecriteria hebben hoeft CoIT niet tot grote gevaren te leiden. Je hebt als bedrijf immers altijd de keuze om apparatuur wel of niet op je infrastructuur toe te staan.’
‘De risico’s bevinden zich met name binnen de minder volwassen organisaties die zonder controle de volledige keuze voor device-gebruik bij de werknemer laten. Deze bedrijven lopen een zeer verhoogd risico dat er apparatuur met malware op het netwerk wordt aangesloten, of dat er gevoelige bedrijfsinformatie wordt verwerkt op privéapparatuur waar hackers al een achterdeurtje in hebben geplaatst. Op dat moment zijn bedrijfsgegevens en het bedrijfsnetwerk toegankelijk voor hackers.’
‘Werknemers gebruiken ook graag consumentenoplossingen, zoals Dropbox, Skydrive en Google drive om bestanden met elkaar te delen. Op het moment dat vertrouwelijke bedrijfsgegevens hierop worden geplaatst, kan de vertrouwelijkheid van die gegevens veel slechter gegarandeerd worden. Daarnaast handel je als bedrijf in sommige gevallen zelfs in strijd met de privacywet.’
Vincent van Kooten, IPV Specialist bij RSA:
‘Ik zie gevaren genoeg. We leven in een tijdperk waarbij de consument 24×7 toegang wil hebben tot mobiele en online diensten. Ict en mobiele devices spelen hierbij een rol. Want waar een markt is, heb je criminelen. Snelheid van diensten zijn handig voor beide partijen, de consument en de crimineel. Android is dan ook een broedplaats van nieuwe malware. Zo zijn er sms forwarders, premium beldiensten, spionage apps et cetera. Dit brengt veel gevaren met zich mee. Zeker als privé devices worden meegenomen naar de zaak of in het bedrijfsnetwork worden ingebracht.’
‘Ten eerste spelen er privacy issues. De consument wordt structureel gelokt met nieuwe toepassingen, die vaak in eerste instantie gratis zijn. Wat er vaak over het hoofd wordt gezien is dat met het bijvoorbeeld downloaden van een nieuwe mobiele app, toegang wordt verleend aan je adresboek, dus telefoonnummers van vrienden en familie, sociale media, en locatiegegevens. Aangezien de gemiddelde consument liever lui dan moe is, worden gebruikersvoorwaarden niet of slecht gelezen.’
‘Ook allerlei diensten die we uit de cloud kunnen gebruiken, kunnen gevaarlijk zijn. Consumenten beseffen niet goed waar die cloud zich begeeft waardoor er in bepaalde gevallen toegang tot jouw gegevens wordt gegeven aan overheidsdiensten. Bij het maken van een backup naar de cloud is het tenslotte de vraag of zakelijke data daar ook wordt opgeslagen.’
Als ik dit zo lees zie ik niet waarom IK MIJN telefoon zou laten beheren door een – meestal rigide – beheersafdeling die via Exchange allerlei policies gaan pushen naar mijn toestel. En me ook nog allerlei beperkingen laat opdringen omdat men iets tegen rooten heeft: ik wil echt niet meer zonder adblocker op mn telefoon.
Dat heb ik een keer gedaan, en ik kon de telefoon herformatteren en een backup terugzetten om weer controle over mn eigen toestel te hebben. Dat nooit weer – als de baas wil dat ik in onderweg met een Exchange server ga verbinden levert hij maar een toestel dat dat kan, of betaalt hij me om zelf een bedrijfstoestel te halen. Mijn prive toestel ondersteunt vanaf toen geen Exchange meer.
@Johan, goed punt, zeker als het je eigen toestel is. Nou zijn er gelukkig oplossingen voor waarbij bedrijfssoftware gescheiden van je eigen apps gepusht wordt en ook weer kan worden weggehaald. Dit geeft een aardige tussenweg.
Weglekken van data voorkom je nooit helemaal en je moet dat denk ik ook niet honderd procent willen proberen te voorkomen maar IT afdelingen kunnen een heel eind komen zonder al te rigide te doen naar hun gebruikers.
Het artikel en de opgevoerde professionals belezend is het vooral erg predikend voor eigen parochie. Er zijn m.i. toch een paar aspecten volkomen onderbelicht.
1. Privé vs Professional
Wat een consument privé doet, IT wise, moet die consument natuurlijk helemaal zelf weten. Maar wanneer die onsument optred als professional, kom je plots in aanraking met een heel andere wereld. Een wereld vol conflicten zogezegt.
Veel professionals hebben geen enkel idee van IT, roepen wat als het niet goed gaat en hebben talloze wensen. ‘Dat kan ik thuis toch ook dus waar gaat dit over?!?’ Dat die professional niet begrijpt, deels omdat de IT community het hem/haar nog steeds niet helder heeft uit weten te leggen, dat er bepaalde do’s en dont’s zijn die je in acht moet blijven nemen, daar willen veel van die professionals vaak maar moeizaam aan.
2. Beheer en beheersing
Er zijn wetmatigheden in IT, als materie, waar heel veel IT professionals niet eens weet van blijken te hebben. En dat gebrek is de bron van menig P