Het gebruik van persoonlijke mobiele apparatuur binnen organisaties is eerder een ad hoc ontwikkeling dan het gevolg van een officiële bedrijfsstrategie die werknemers stimuleert te werken met het mobiele apparaat van hun keuze. Helaas conflicteert dit soms met de bestaande zakelijke en beveiligingsrichtlijnen, zeker wanneer werknemers gevoelige bedrijfsgegevens op hun persoonlijke apparatuur opslaan.
De explosieve groei in het ongecontroleerde gebruik van persoonlijke mobiele apparatuur op de werkplek lijkt onstuitbaar. Deze ontwikkeling dwingt werkgevers om hun personeel de mogelijkheid te bieden om gegevens uit te wisselen vanaf elk type mobiel apparaat. Deze visie wordt duidelijk gedeeld door marktonderzoeksbureau Gartner, dat voorspelt dat rond 2017 maar liefst de helft van alle werkgevers hun personeel zal vragen om hun persoonlijke mobiele apparatuur voor werkdoeleinden te gebruiken.
Het fenomeen bring your own device (byod) belooft niet alleen de productiviteit en samenwerkingsmogelijkheden van werknemers te vergroten, maar zorgt ook voor belangrijke beveiligingsproblemen waarvoor bedrijven een oplossing zullen moeten vinden.
Verantwoordelijkheid
Het is aan de werkgever om ervoor te zorgen dat de opkomst van byod wordt ondervangen met beleidsregels en het personeel vertrouwd te maken met best practices op dit gebied. Op dit moment lijkt het er op dat maar weinig werkgevers zich hiermee bezig houden. Uit het Acronis 2013 Data Protection Trends-onderzoek dat door het Ponemon Institute werd uitgevoerd, blijkt namelijk dat een meerderheid van bedrijven geen beleidsregels hanteert voor het gebruik van persoonlijke mobiele apparatuur op de werkplek. Daarnaast is gebleken dat 77 procent van alle wereldwijde werknemers niet was geïnformeerd over de risico’s die met byod gepaard gaan.
De onderzoeksresultaten lijken erop te wijzen dat werkgevers nog veel werk moeten verrichten voordat ze beschikken over een omgeving waarin byod kan opbloeien en tegelijkertijd wordt voldaan aan de standaarden voor zakelijke beveiliging.
Geen weg terug
Sommige bedrijven proberen het tij te keren door hun werknemers te verbieden om met hun eigen mobiele apparatuur toegang tot het bedrijfsnetwerk te zoeken. Voor organisaties die actief zijn in branches waarop speciale wet- en regelgeving van toepassing is, zoals de financiële sector of de gezondheidszorg, is dit natuurlijk een aantrekkelijke optie. Hoewel deze aanpak op de korte termijn effectief kan zijn, is dit op de lange duur niet haalbaar. De kans bestaat namelijk dat werknemers de interne richtlijnen overtreden en vanaf hun persoonlijke apparatuur gegevens uitwisselen via ongeoorloofde toepassingen van externe leveranciers. Het verbieden van byod kan ook talent wegjagen. Dit blijkt onder meer uit een recent onderzoek van VMware. 39 procent van alle ondervraagde werknemers gaf aan te overwegen om hun baan op te zeggen als ze geen toestemming zouden krijgen om hun mobiele toestel voor hun werk te gebruiken.
Bedrijven moeten daarom maatregelen treffen om grip op byod te krijgen. Hun netwerk moet ruimte bieden voor de persoonlijke apparatuur van werknemers op een manier die niet in strijd is met de bestaande beveiligingsrichtlijnen. Dit is de enige manier om de hogere productiviteit te realiseren waarnaar zij op zoek zijn én de veiligheid van hun bedrijfsgegevens te waarborgen.
Voor een optimale bescherming van bedrijfsgegevens is het nodig dat het beveiligingsbeleid overal binnen de organisatie consistent wordt toegepast. De beleidsregels moeten bovendien voor alle personen binnen de organisatie gelden. Bedrijven nemen maar al te vaak grote risico’s door uitzonderingen te maken voor topmensen, terwijl zij juist toegang hebben tot de meest gevoelige bedrijfsinformatie. In een byod-context worden de risico’s hierdoor alleen maar groter.
Byod… en dan?
Het toenemende gebruik van persoonlijke mobiele apparatuur houdt nauw verband met een aantal gerelateerde ontwikkelingen. En een van de meest in het oog springende ontwikkeling is misschien wel de toevloed aan apparatuur van Apple als gevolg van het doorslaande succes van de iPhone en iPad. Maar ook Macs maken een opleving door, zeker in vergelijking met de markt voor pc’s.
Volgens het eerder genoemde Acronis 2013 Data Protection Trends-onderzoek maakt drie kwart van alle bedrijven gebruik van producten van Apple of zijn ze van plan om die in gebruik te nemen. De populariteit van Apple dwingt bedrijven ertoe om te erkennen dat gegevens platformonafhankelijk moeten zijn. Dit vraagt om systemen en beveiligingsmechanismen die werknemers in staat stellen om gegevens op te vragen vanaf het apparaat van hun keuze.
De keerzijde van byod is take your own device (tyod): werknemers die mobiele apparatuur meenemen wanneer ze de organisatie verlaten. De kans bestaat dat er nog altijd bedrijfsgegevens op deze apparaten liggen opgeslagen. Werkgevers kunnen dan ook niet zonder de mogelijkheid om bedrijfsbestanden op afstand van de persoonlijke apparatuur van werknemers te wissen als daar aanleiding toe is. Momenteel beschikken maar weinig bedrijven over deze mogelijkheid. Volgens het Acronis-onderzoek heeft slechts een vijfde van de ict-organisaties maatregelen getroffen om gevoelige bedrijfsgegevens te beschermen.
Wat gevoelige informatie betreft moeten bedrijven zich terdege bewust zijn van de valkuilen rond byod. Werknemers kunnen bijvoorbeeld gebruikmaken van publieke cloud-oplossingen zoals Dropbox als eenvoudige manier om bestanden op te slaan en uit te wisselen. De kans is echter groot dat die oplossingen niet voldoen aan de zakelijke eisen op het gebied van informatiebeveiliging. Het ongecontroleerde gebruik van dit soort publieke cloud-oplossingen maakt het moeilijk voor bedrijven om na te gaan waar hun gevoelige gegevens worden bewaard, laat staan om aan te geven op welke manier ze moeten worden opgeslagen en wanneer ze moeten worden verwijderd. Want hoe kun je er nu zeker van zijn dat de bestanden die een werknemer in Dropbox heeft opgeslagen worden gewist zodra hij of zij de organisatie verlaat?
Conclusie
Bij byod werkt het net zoals bij de meeste technologische innovaties. Wanneer het gebruik van persoonlijke mobiele apparaten op de werkplek de kritische massa bereikt, wordt het steeds moeilijker voor werkgevers om de gewenste mate van controle uit te oefenen zonder dat hun personeel de regels begint te omzeilen. Het is een veel beter idee om nu al effectieve beleidsregels en strategieën voor de beveiliging, toegang en het beheer van gegevens op te stellen om ruimte te kunnen bieden voor byod zodra het de mainstream bereikt.
Dirk,
Op zich leuke cijfers en conclusies. Maar ik krijg hier toch een heel erg “Wij van WC eend” gevoel bij. Je eigen onderzoek promoten in een opinie artikel vind ik iets veel zelf bevlekking.
uit het artikel:Bij byod werkt het net zoals bij de meeste technologische innovaties.
Byod is geen technologische innovatie, maar een ICT-armoede. Op zich is met de top 3 van de markt 96% van de markt devices afgedekt. Een intelligente keuze kan dat voor een specifieke selectie nog verbeteren
Dirk,
Idee dat wissen van mobiele telefoon of tablet helpt om bedrijfsgegevens te beschermen werkt alleen in een ‘gesloten’ omgeving. Informatie is namelijk device onafhankelijk en kan dus eenvoudig gekopieerd worden naar andere INFORMATIEDRAGERS zoals USB-stick of een setje DVD’s, al dan niet in de cloud. Dus vergeet Sneeuwwitje met haar Apple en kijk eerst eens naar de 7 dwergen voor holistisch beveiligingsbeleid:
1. Zorg voor bewustzijn van risico’s
2. Denk na over informatie lifecycle
3. Plan ook voor een regenachtige dag
4. Vertrouw maar blijf het controleren
5. De zwakste schakel bepaalt de sterkte
6. Stem beleid af door aan/toe te passen
7. Technologie is de minste van je zorgen