Even op je telefoon wat mailtjes beantwoorden terwijl je in de trein zit. Of je tablet pakken om te gebruiken als beeldscherm voor het geven van een één-op-één-presentatie. Gemakkelijk voor medewerkers, maar een veiligheidsrisico voor grote organisaties. Want hoe manage je al die devices en hoe blijven je gegevens veilig?
Medewerkerstevredenheid is een speerpunt voor een grote organisatie. Wanneer je personeel tevreden is, bevordert dat hun werkzaamheden en dat straalt af op jouw bedrijf. Je medewerkers zelf laten kiezen waar, wanneer en waarmee ze willen werken is daarom iets wat in een stroomversnelling zit. Tot grote vreugde van de jongere generaties op de werkvloer, want die werken het liefst zo flexibel mogelijk.
De opties voor mobiele apparaten zijn eindeloos en bieden meer vrijheid dan een vast apparaat. Zo kun je goed filmen met je telefoon en wanneer je een toetsenbord voor je tablet hebt, kun je daarop ook prima werken. Voor grote organisaties is het managen van al die apparaten echter wel een hoofdpijndossier. Want met de AVG in het achterhoofd zijn honderden devices die toegang bieden tot bedrijfsinformatie een uitermate cruciaal onderdeel van het securitybeleid en het it-management.
Overzicht creëren
Om het it-management van veel verschillende apparaten in te regelen, is overzicht noodzakelijk. Het liefst zie je in één oogopslag welke devices er binnen de organisatie zijn, wie ze in bezit heeft en of er eventuele defecten zijn (geweest). Dit kun je zelf inregelen via mdm-tooling. Maar je kunt ook gebruik maken van een daas-mobile-oplossing, dan ontvang je hierin ondersteuning.
Mobiele devices moeten altijd in een mdm-platform zitten zodat je ze op afstand zijn te managen. Wanneer je een compleet overzicht hebt van alle apparaten, kun je de security beter inregelen en sneller service bieden wanneer dat nodig is. Dat stelt de directie gerust en helpt medewerkers productief te blijven.
Choose your own device
Wanneer medewerkers eigen devices gaan gebruiken, of wanneer je als bedrijf devices koopt maar niet managet, worden privé- en zakelijke gegevens altijd naast elkaar gebruikt. Met alle gevolgen van dien.
Zo zou het vervelend zijn als iemand uit gemak even een document via een persoonlijk e-mailadres verstuurt en dit account later gehackt wordt. Of als er een inhoudelijke email naar oom Frans wordt gestuurd in plaats van naar collega Frans. Daarnaast moet je altijd maar hopen dat een medewerker financieel krachtig genoeg is om tijdig een nieuw device te kopen als ze hun eigen device verliezen, anders kun je ze niet meer bereiken. Om bovenstaande redenen hoef je geen fan te zijn van ‘bring your own device’ en kies je liever voor ‘choose your own device’.
Wanneer je mobiele apparaten vanuit het bedrijf aanbiedt, kun je ze veel beter managen en inregelen. Je kunt het apparaat volledig installeren, restricties aanbrengen op e-mailinstellingen of het downloaden van apps en je kunt alle apparaten in één overzicht managen als je dit goed inregelt. Wanneer je voor daas-mobile kiest, zijn alle gegevens van het apparaat zelfs op afstand te wissen. Als een medewerker dan een telefoon verliest, komen er geen bedrijfsgegevens meer op straat te liggen.
Verandering in technologie
Naast het creëren van overzicht en het management van de apparaten vanuit security-oogpunt, zijn ook de technologische ontwikkelingen een belangrijk aspect als het gaat om de algehele it-security. Wanneer een tablet van vijf jaar oud geen updates meer ontvangt, kunnen er beveiligingslekken ontstaan. Het is daarom van groot belang om mobile devices tijdig te vervangen voor recente versies. Wanneer je dit binnen 24 maanden doet, krijg je bovendien ook nog vaak de beste inruilwaarde en kunnen de oude devices, nadat ze volledig gewist zijn, een tweede leven krijgen – wat weer bijdraagt aan de circulaire economie.
Samengevat
Doordat medewerkers steeds minder op kantoor zijn en flexibel gebruik willen maken van verschillende (mobiele) apparaten, moet je dit als grote organisatie goed inregelen. Hoe meer devices, hoe meer kans op potentiële datalekken.
Daarom is het belangrijk om het heft in eigen hand te nemen en zelf de devices aan te schaffen voor je medewerkers. Uiteraard kun je ze wel keuzevrijheid geven in merk en design, dit zorgt weer voor meer betrokkenheid.
Al die devices wil je over de gehele looptijd kunnen managen in één overzicht waarin je precies kunt zien wie welk device bezit en waar dat device zich bevindt.
Ook wil je ervoor zorgen dat de medewerker altijd een volledig gebruiksklaar device ontvangt (zero touch deployment) en dat je restricties kunt aanbrengen waar jij nodig acht. Tot slot is het belangrijk dat je het apparaat volledig op afstand kunt wissen zodra het aan het bedrijfsbeheer ontsnapt.
Wanneer je deze punten in het achterhoofd houdt, kun de it-security beter managen en sneller anticiperen op dreigende datalekken.
Zodra je privé èn zakelijk op één toestel toestaat, kunnen ondanks het MDM-platform data uitwisselen. Telegram bijvoorbeeld leest de Contacts en dat zijn zowel zakelijke- als privécontacten. De scheiding tussen apps is zowel bij Android als iOS niet waterdicht.
Met 4 min of meer dezelfde verhalen rond hetzelfde probleem begint de boodschap over MDM as-a-service enigszins eentonig te worden. Nu is de opmerking over een circulaire economie nieuw maar niet begrepen want wat heb ik aan een device die geen updates meer krijgt? En een lifecycle van 24 maanden is niet duurzaam want de technologische ontwikkelingen gaan ook weer niet zo hard, zeker niet in de ‘enterprise’ omgevingen waar applicaties een gemiddelde lifecycle van 10 jaar hebben wat iets anders is dan de ééndagsvliegen van apps. En gebruikers willen graag een Ferarri maar hebben veelal genoeg aan een fiets want het werken op verschillende devices betekent vooral een andere delivery model, misschien wel via een niet geautoriseerde FTP server. Het poetsen van een device levert namelijk weinig op als de informatie via de e-mail gelekt is of via cloud storage want fenomeen van Shadow IT betekent dat je het grootste deel van de ijsberg niet ziet, dat stelt de directie misschien gerust maar zorgt uiteindelijk voor averij.
Ik draai het verhaal graag even om … stel ik gebruik inderdaad mijn eigen device voor zakelijk gebruik en ik laat mijn device toevoegen aan de MDM omgeving van mijn werkgever.
Welke (privé)gegevens kan mijn werkgever dan inzien?
Als je je eigen device toevoegt aan MDM, kan de beheerder alle apps en accounts zien die op dat device staan, maar niet de inhoud van jouw gegevens. De beheerder ziet ook of je apps en besturingssysteem bijgewerkt zijn.
De vele discussies op internet over de afwegingen tussen het bedrijfsbelang van gegevensbescherming en de persoonlijke belangen in privacy zijn interessant want als de beheerder ook locatiegegevens uit kan lezen dan kan je werkgever je technisch gezien 7×24 volgen via je device. Ik denk daarom dat er eerst MDM policies in samenspraak met de MR gemaakt zullen moeten worden om zodoende de verschillende belangen in evenwicht met elkaar te brengen. Het gaat uiteindelijk om meer dan alleen techniek en MDM as-a-service betekent waarschijnlijk een verwerking van persoonsgegevens door een derde wat dus verplicht tot een verwerkingsovereenkomst.
@GUUS BRUGMAN | 17 MEI 2021 15:49
“De scheiding tussen apps is zowel bij Android als iOS niet waterdicht.”
De scheiding is wel waterdicht, in ieder geval bij iOS, maar je kunt ervoor kiezen om de sluizen open te zetten. Telegram toestaan om de contacten van het systeem te zien houdt in dat Telegram alle contacten kan zien, zowel de zakelijke als de persoonlijke contacten.
Maar je kunt er natuurlijk voor kiezen om alle standaard apps privé te gebruiken, en zakelijk bijvoorbeeld MS Office plus contacten en Teams te gebruiken.
Het delen van zowel zakelijk als privé op één privé toestel voorzien van MDM levert lekken op tussen apps als WhatsApp die zowel privé als zakelijk gebruikt worden. Wat doe je met LinkedIn die je privé voor zakelijke contacten deelt? Met downloads en ga zo maar even door. Ook privé gebruik van een zakelijk toestel geeft het bedrijf toegang tot je privé apps en gegevens. Ik zou enkel https:/ versleuteld browsermail willen gebruiken, maar je privégesprekhistorie en berichten worden staan dus zakelijk geregistreerd. Hoe dat met MS Teams gaat waar je privé en zakelijk kan combineren weet ik niet.
Het delen van zowel zakelijk als privé op één privé toestel voorzien van MDM levert lekken op tussen apps als WhatsApp die zowel privé als zakelijk gebruikt worden. Wat doe je met LinkedIn die je privé voor zakelijke contacten deelt? Met downloads en ga zo maar even door. Ook privé gebruik van een zakelijk toestel geeft het bedrijf toegang tot je privé apps en gegevens. Ik zou enkel https:/ versleuteld browsermail willen gebruiken, maar je privégesprekhistorie en berichten worden staan dus zakelijk geregistreerd. Hoe dat met MS Teams gaat waar je privé en zakelijk kan combineren weet ik niet.