Inmiddels zijn ze al behoorlijk ingeburgerd in ons it-woordenboek: Het begon met bring your own device (byod), dat later uitmondde in bring your own software (buos), bring your own cloud (byoc) en bring your own application (byoa). Deze byo-trends vallen allemaal onder de parapluterm Consumerization of IT (CoIT).
Inmiddels lees ik ook steeds meer over corporate owned personally enabled (cope). Bij cope leveren organisaties devices die de werknemer professioneel én privé kan gebruiken. Vooral de laatste lijken erg op elkaar, omdat binnen deze trends werknemers allemaal hun eigen stukje software gebruiken om hun werkzaamheden te vergemakkelijken. Of het hier nu gaat om het downloaden van een applicatie of om het wegzetten van documenten in een private cloud, werknemers kiezen zelf welke manier voor hen de handigste is. Maar hoe is het eigenlijk gesteld met de veiligheid omtrent deze ontwikkelingen? Ik pleit voor een hoger bewustzijn van alle medewerkers van de risico’s die aan byo kleven.
Zoals je wellicht al hebt gemerkt, worden de bovengenoemde trends alsmaar belangrijker. Eigenlijk is het woord trend dan ook niet meer op zijn plaats, want het lijkt er op dat dit steeds meer een gewoonte begint te worden. Tegelijkertijd staan we in een tijdperk waarin we wakker worden geschud door allerlei veiligheidsschandalen. Denk hierbij bijvoorbeeld aan PRISM of de DDoS-aanvallen op allerlei Nederlandse instellingen. Security is hot, maar is meer dan alleen bits en bytes. Het gaat niet alleen om de veiligheid van data, maar ook om de pijlers vertrouwen en zekerheid. Denk bij vertrouwen aan zaken als privacy statements en het cookiebeleid van cloudproviders. Bij zekerheid draait het meer om onafhankelijke keurmerken. Zo bestaan er diverse keurmerken die worden afgegeven door onafhankelijke organisaties. Met bijvoorbeeld een ISO-certificaat weet je zeker dat je cloudprovider voldoet aan internationale standaarden.
In een ideale wereld houdt iedere cloudoplossing zich vast aan deze drie pijlers. Vooral bij gratis clouddiensten is dit niet het geval, omdat hun verdienmodel juist opgehangen is aan de data die je in de cloud plaatst. Houd daarom altijd goed in het achterhoofd dat het gebruik van cloudapplicaties altijd risico’s met zich mee brengen. Bij gratis applicaties zijn dat meer risico’s dan bij betaalde tools. Maar bij beide geldt: de mens is, als het gaat om it-security, altijd de zwakste schakel. Denk bijvoorbeeld aan gebruik van (te) makkelijke wachtwoorden.
Als binnen een organisatie iedereen bewust is van de risico’s die gepaard gaan met de online tools die ze gebruiken, is dat al een (kleine) stap in de richting een veiligere organisatie. Want bewustzijn zet aan tot acties en maatregelen. En die zijn zeker nodig als organisaties een byo-beleid hanteren.
Sind MS het ISO-proces gekorrumpeerd heeft met docx als “open” document format heeft de ISO certificering een probleem, hoeveel vertrouwen kan men daar hebben?
Een goed punt is dat een gratis aanbod meestal niet “gratis” is. Vandaar dat ik iedereen aanraadt om E-Mail via een eigen server/domain te doen en voor gmail, windowslive etc. te bedanken. Met nog geen 20 Euro p.mnd. koop je een beetje meer privacy.
Het feit dat de mens de belangrijkste security-schakel is, heeft niets te maken met BYO-hypes. Dat is al zo vanaf de dag dat er geheimen bestaan, en heeft zelfs niets met computers te maken.
Ik kan ook even niet zoveel met die stelling. Byod is gewoon vragen om problemen omdat jij je buurman ook niet toe staat dat die bij jou aan komt kloppen voor de sleutel van je auto. Omdat hij die op dat moment nodig heeft.
Diezelfde buurman komt mij ook niet daag vooraf vertellen hoe normaal dat allemaal wel niet is. Gewoon aankloppen en de sleutel vragen. Of die buurman ook een rijbewijs en eigen wagen heeft? Oh joh, dat heb ik hem eigenlijk niet gevraagd…. ik heb hem meteen de sleutel maar gegeven.
Ik vind het prima wat elke werkgever besluit te doen als zijn/haar werkgever roept dat die zoooo lekker werkt…. op eigen laptop en smartphone en hoe goedkoop het allemaal wel niet voor de werkgever zou zijn als….
Wie betaald de nonproductieve uren die ontstaan door? wie regelt er een nieuwe laptop of tablet als die gestolen is? In al die artikelen word daar vrijwel niet over gesproken. Nee wel dat byod een geweldig verhaal is en de werknemer dit ‘eist’?!?
Ik heb daar toch een beduidend ander beeld bij.
edit is niet mogelijk – het is “nog geen 20 euro per jaar” voor domain/email.
Er wordt nogal krampachtig gedaan als het om BYOD of een soortgelijk iets gaat.
Wat je ook gebruikt, public of private cloud, eigen device, of die van de werkgever, je eigen servers beheerd, of dit laat hosten op locatie, in alle gevallen wil je dat er een mate van privacy is…. en dat werknemers bewust zijn van phishing, virussen, en dergelijke.
Ik zie nogal wat bedrijven van binnnen. Van klein tot erg groot, en praktisch nergens zie ik een groter bewust zijn.
Wat veel mensen zich ook niet realiseren is dat een werkgever (waarvan je de email gebruikt), alle emails in kan zien, so much for privacy.
Vijftien jaar geleden was internet op je werkcomputer zeker niet normaal. Op de beurs waar ik toen werkte stonden er PC’s op de gang waarop geinternet kan worden en deze waren fysiek gescheiden van het netwerk.
Nu neem je een baan niet eens meer aan als er geen internet op je werkcomputer is, dat is overigens vaak ook niet eens werkbaar. Elke node op het internet is een potentieel gevaar van buitenaf, maar maakt het ook bijna onmogelijk om data van binnen naar buiten toe te voorkomen.
Zoveel ellende hoor ik niet van dingen die mis gaan (al is de kans om gehackt te worden steeds groter), maar meestal gaat het vooralsnog best goed. De nadruk ligt in ieder geval op techniek om iets veilig te maken, niet op het integraal mensen bewust te maken. Ik kan dit artikel dus onderschrijven, maar wat betekent dit dus?
Dat veel bedrijven vertrouwen op de techniek?
Dat veel bedrijven niet echt met privacy en veiligheid bezig zijn?
Dat de meeste mensen het dus blijkbaar wel goed doen?
Of dat er nog vooral veel security by obscurity is?
Overigens ken ik ook maar weinig BYOD ramp verhalen die sec met het feit te maken hebben dat het een device was waarvan de werknemer de eigenaar is.
Mijn advies: Kies een strategie die om kan gaan met verandering, stel productiviteit centraal, zorg voor een beleid waarin kennis wordt gedeeld over goede mores qua veiligheid zodat elke werknemer beter hiermee om gaat dan de werknemer van het gemiddelde bedrijf. En als laatste, probeer niet zelf alles over veiligheid te weten te komen, maar doe zaken met bedrijven die het bewezen goed doen. Veranderingen gaan zo hard, dat alles weten en goed beveiligen steeds moeilijker wordt. Afnemen van diensten lijkt mij een betere strategie dan alles zelf doen.
@Henri
De kern van je betoog zit in het bewustzijn, alle eye-candy ten spijt zijn gebruikers er namelijk niet veel slimmer op geworden. Hier thuis is er ook een BYO slag geweest waarbij bepaalde eindgebruikers zich heer en meester wanen. Helaas voor hun heeft de koning echter nog steeds de sleutel tot de toegangspoort naar Internet, welke bij tijd en wijlen dus gewoon dicht gaat. Zeg maar een soort van modern kamerarrest om afgesloten van de wereld na te denken over hun zonden.
Nu heb ik al een opinie over dit fenomeen geschreven: ‘Rescocialisatie van sociale media’ want betreffende je opmerking over inzien van e-mail is het ongeziene (mail)verkeer namelijk de oorzaak van veel ‘Rogue IT’ gevallen. Betreffende de rampverhalen let je dus gewoon niet goed genoeg op, je bent nog weleens de struisvogel die zijn kop in het zand steekt om de mol te vertellen dat het prachtig weer is. Eerder heb ik je gewezen op het rapport van de AIVD hierover en naar ik mij kan herinneren zijn er meer aanwijzingen dat gebruik van eigen middelen niet altijd raadzaam is, tenminste niet zonder controle wat de cirkel eigenlijk weer rond maakt omdat juist dat altijd als verstikkend ervaren wordt.
En voor alle mede-gluurders, ik ben het eens met de kern van je betoog…. met geweld neem je één ezel, met beleid de hele kudde. De vraag die mij rest is of je hierbij de regie in- of extern moet beleggen?
Gezien de vele voorbeelden met ‘Rogue IT’ wordt er namelijk teveel vertrouwd op de markt en niet genoeg in de spiegel gekeken. We nemen genoegen met predicaten van predikanten die ons sprookjes vertellen want alles gaat misschien wel hard maar niet altijd beter. En ik ben het niet oneens met je betoog over diensten maar sommigen leveren je spijkers terwijl je druk bezig bent met ze in je voet te schieten waarna een ander je weer vrolijk pleister verkoopt.
Henri, je zegt:
“Zoveel ellende hoor ik niet van dingen die mis gaan”
Dat is toch logisch, bedrijven hangen niet aan de grote klok dat er wat fout gegaan is, dat was altijd al zo.
Ewout heeft gelijk als hij stelt dat beleid nodig is omdat techniek niet kan voorkomen dat mensen verkeerd handelen en toch kontroleren wat dat voor bijlage is in die email.
Vreemd genoeg geef je hier aan dat het steeds moeilijker wordt alles (internet en verbindingen) te beveiligen, hoe is dat te rijmen met een pro-cloud instelling, daar heb je toch hoofdzakelijk met dit probleem te kampen, je data/diensten bereik je met de cloud via internet.
Jan,
Wat ik bedoel te zeggen is dat als alle PC’s op een kantoor verbonden zijn met het internet, en overigens ook zo’n beetje alle devices zoals tablets, laptops en smartphones, dan maakt dat het onderscheid tussen cloud en on-premises alleen maar kleiner.
Cloud diensten of geen cloud diensten gebruiken is dus steeds minder de vraag en omdat veiligheid steeds complexer wordt lijkt het zinvol om de beveiliging uit te besteden c.q. ergens anders onder te brengen.
Mijn ervaring is dat zeer veel bedrijven aan kasteel beveiliging doen. Ze hebben grachten en hoge muren voor de buitenwereld, maar als je eenmaal binnen bent is er nauwelijks meer beveiliging c.q. versleuteling. Online diensten hebben altijd al te maken met multi-tenancy en hebben dus vaak ook de beveiliging aan de binnenkant op orde. Dit is echter per online dienst aanbieder verschillend! Vandaar dat trackrecord zo belangrijk is naast certificering en audits.
Locatie onafhankelijk werken legt alleen maar meer nadruk hierop en vandaar dat bewustzijn ook zo belangrijk is. Het is namelijk heel gemakkelijk om een publieke hotspot te spoofen en daarmee al het onversleutelde verkeer van mobiele devices af te vangen. Met goede gewoontes en bewustwording kun je ervoor zorgen dat jouw gebruikers net wat slimmer zijn als die van de buren. En gezien de huidige praktijk (bewustzijn is laag, iets wat je ook leest in het rapport waar Ewout aan refereerd), dus je doet het al snel beter dan de rest.
Cloud of geen cloud diensten is een achterhoede gevecht. De beweging is al lang ingezet, alle Snowdens ten spijt….