De titel hierboven is de populairste reactie als er gewezen wordt op de risico's van gratis te gebruiken systemen, applicaties en tools. In veel organisaties zijn immers procedures ingericht ter goedkeuring van betaalde systemen, applicaties en tools (waarbij de beslissingsbevoegdheid is gekoppeld aan de hoogte van de bedragen). Voor de gratis varianten is niks geregeld.
Een organisatie heeft er vanuit verschillende oogpunten belang bij om o.a. data, systemen en omgevingen zo goed mogelijk te beschermen. Zo is dit bijvoorbeeld belangrijk voor de concurrentiepositie, reputatie, naleving van de wetgeving en (niet onbelangrijk) voor het in het geheel kunnen functioneren van een organisatie. Alle apparaten die toegang hebben tot de data, systemen en omgevingen van een organisatie, vormen daarbij in principe een risico.
Digitale werkomgeving
In de praktijk is te merken, dat het beschermen van deze belangen in de digitale werkomgeving in het algemeen goed lukt. Zo maakt bijna elke organisatie gebruik van een beveiligde digitale werkomgeving voor toegang tot de ‘digitale organisatie’ waar medewerkers enkel met multi-factorauthenticatie (dus bijvoorbeeld een wachtwoord + een code op een telefoon) bijkomen. Daarbij kunnen organisaties (de toegang tot) de digitale werkomgeving op afstand controleren, en bijvoorbeeld bij melding van verlies van een apparaat de toegang door dit apparaat volledig blokkeren.
Niet onder controle
Niet alle delen van zakelijke apparaten zijn echter onder controle van de werkgever. Denk aan de lokale omgeving (dus voordat op de digitale werkomgeving wordt ingelogd). Daarbij wordt in veel gevallen de mobiele telefoon over het hoofd gezien. Dit, terwijl medewerkers ook op lokale omgevingen en mobiele telefoons zakelijke informatie kunnen verzamelen en verwerken. Denk aan de contactenlijst, lokaal opgeslagen bestanden, downloads, berichten die via systemen/applicaties/tools op de lokale omgeving worden verstuurd en de toegang tot zakelijke applicaties (zoals de zakelijke mailbox of werkapps) die hierop wordt verschaft.
Downloaden van apps
Dat het downloaden van apps op mobiele telefoons in deze een specifiek en veelvoorkomend risico vormt, blijkt ook een artikel van Cyberark. Vergeet hierbij niet de andere zakelijke apparaten waarop gratis (online-)systemen zijn te gebruiken waarvoor een download niet vereist is, maar waarvoor een ‘gratis’ account aanmaken al voldoende kan zijn. Denk aan tools om grote bestanden mee te versturen, om events mee te organiseren of waarmee met externen kan worden gecommuniceerd.
‘Gratis’ applicaties, systemen en tools verzamelen vaak veel data, zonder dat men zich hier bewust van is (even een domper: niks is gratis, vaak betaal je juist met data). En, wat nou als het apparaat waarop bijvoorbeeld een app is geïnstalleerd ook vol staat met zakelijke informatie, zoals contacten, foto’s van documenten, bezochte webpagina’s en locatiegegevens van de plekken waarop werkzaamheden worden verricht? Of, als in de tool data (zoals adressenlijsten) worden geladen om de functionaliteiten te kunnen gebruiken? Dan kan al die informatie terechtkomen bij (internationale) partijen waarop totaal geen grip is.
Vijf tips!
Wat kun je als organisatie nu doen tegen de risico’s die horen bij het gebruik van gratis systemen, applicaties en tools?
- Sluit risico’s waar mogelijk technisch uit, door bijvoorbeeld (waar mogelijk) installatieopties te blokkeren en minimaal sandboxing (het plaatsen van zakelijke apps in een aparte container waardoor ze niet kunnen communiceren met apps buiten deze omgeving, en remote wipe kan worden toegepast bij verlies) toe te passen op mobiele telefoons;
- Richt beleid en procedures in voor ingebruikname van alle applicaties, systemen en tools, ook voor de gratis varianten, en maak het uitvoeren van een (korte) privacy en security check voorafgaand aan ingebruikname hiervan een standaard onderdeel van de procedure;
- Vraag via een medewerkers-onderzoek welke (gratis) systemen, applicaties en tools veel worden gebruikt en waarvoor, en voer hiervoor een (korte) privacy en securitycheck uit en, afhankelijk van de resultaten hiervan: keur het gebruik goed, zoek een alternatief, voer een uitgebreide privacy- en securitycheck uit en/of geef instructies om deze niet meer te gebruiken;
- Stel een lijst op met applicaties/systemen die wel mogen worden gebruikt (whitelist) en/of die niet mogen worden gebruikt (blacklist), en communiceer dit intern (*);
- Werk aan de awareness van medewerkers om te borgen dat medewerkers zich bewust zijn van de privacy en security risico’s waarmee ze in hun dagelijkse werkzaamheden te maken krijgen.
* Een pijnlijk voorbeeld van een groot risico dat zich op deze manier heeft geuit, is bijvoorbeeld de geheime Amerikaanse basis die is ontdekt doordat aanwezige soldaten gebruikmaakten van een fitnessapp.
Benieuw hoe lang het duurt voordat er gewezen wordt op FOSS waar zelfs Microsoft aan bijdraagt hoewel er natuurlijk altijd een mogelijkheid is dat je als nog betaalt met je data. Linux is dan ook een prima alternatief waarbij je uit een enorm scala aan gratis oplossingen kunt kiezen zonder dat je betaalt met je data. En dat is wat anders dan de vele cloud services die sowieso een risico vormen als het om bedrijfsinformatie gaat omdat niet duidelijk is waar de data opgeslagen wordt. Een probleem wat je niet oplost met multi-factor-authenticatie maar met encryptie van de data hoewel dat eenvoudiger gezegd is dan gedaan als we kijken naar de wijze waarop we data delen. Wat betreft de toegang is het altijd beter om de gebruiker naar de data te brengen dan andersom aangezien het gratis van bezuinigen op de postzegels nog altijd de meest voorkomende oorzaak van datalekken is. Multi-factor-authenticatie helpt nu eenmaal niet tegen gebruikersfouten.