Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het risico van byod’ers zoals Hillary Clinton die in de praktijk niet te stuiten zijn.
Verbijstering, leedvermaak en lachen als een boer met kiespijn. De it-omzeiling van Hillary Clinton heeft veel reacties opgeleverd. De voormalige minister van Buitenlandse Zaken voor de Verenigde Staten heeft een eigen mailserver gebruikt voor het versturen, ontvangen en ook wissen van haar werkmail. Waarom? Omdat ze koos voor gemak: ‘Ik dacht dat het makkelijker zou zijn om maar één device mee te dragen voor mijn werkmails en mijn persoonlijke mails, in plaats van twee’, luidde haar officiële reactie.
Het lijkt onvoorstelbaar, maar overheidsregels en ict-voorschriften zouden de ex-minister hiertoe hebben aangezet. Maar Hillary Clinton valt nog mee, vergeleken met iemand als de voormalige Amerikaanse ambassadeur in Nairobi. Hij heeft een ‘byod-breedbandverbinding’ laten aanleggen in de badkamer van het ambassadegebouw en deed van daar uit zijn werk. Zulke hardnekkige en/of hooggeplaatste byod’ers zijn niet tegen te houden. Dus moet it er slim mee omgaan. Wat vind jij?
Apart dat Hillary niet vervolgd wordt door het OM omdat ze diverse wetten heeft overtreden. Zij staat blijkbaar boven de wet.
Bij directieleden zal het vaak niet anders gaan en komen ze ongeschonden weg terwijl de geleden (imago) schade significant kan zijn.
Als een bedrijf een BYOD policy heeft, dan zijn Hillary-toestanden niet te vermijden, sterker, dan zal dit de standaard zijn.
Als een bedrijf z’n ICT serieus neemt, dan stelt het (een beperkte set) devices beschikbaar als ze dat belangrijk vinden voor hun personeel. Deze moeten dan voorgeconfigureerd zijn met oa VPN en bedrijfsmail, en app-aankopen buiten de app store moeten geblokkeerd zijn (indien men voor Android kiest).
Verder staat of valt beveiliging met z’n gebruikers: computers ingelogd niet-gelockt onbeheerd achterlaten, geeltjes met wachtwoorden, …
De totaaloplossing bestaat uit devices van het bedrijf, met een strikte policy hoe deze te gebruiken.
En je mag verwachten dat de policies voor een medewerker van een bakkerij wat losser zijn dan de policies van een medewerker van een ministerie!
Beleid ten aanzien van BYOD moet passen bij de eisen van het bedrijf of instelling. Er zijn vele goede BYOD policies ontwikkeld gebaseerd op de praktijk. Zie bijvoorbeeld http://www.techrepublic.com/blog/it-consultant/learn-byod-policy-best-practices-from-templates/.
Maar adequate beveiliging bij BYOD is alleen mogelijk als de ondersteunende ICT afdeling bij de tijd is, voldoende resources krijgt voor de ondersteuning van BYOD en voldoende commitment krijgt voor de afspraken over het gebruik van BYOD. Bijvoorbeeld; tablets, phablet en smart phones, USB sticks, ze blijven vaak ergens liggen of ze worden gestolen. Als de ICT afdeling geen middelen heeft voor onder andere vergaande encryptie van de devices, dan ligt de boel op straat als de vinder of dief in de inhoud geïnteresseerd is. Een alternatief voor BYOD zijn beveiligde devices beschikbaar gesteld door het bedrijf, maar daar wil men niet altijd aan.
Helaas vinden bobo’s en politici vaak dat ze boven de wet, afspraken en ander “geneuzel” staan. Dus wat bijvoorbeeld Hillary Clinton en Jeb Bush hebben gedaan, dat komt voor en dat blijft voorkomen, ook al is de informatie die dit soort mensen krijgt erg interessant voor afluisteraars en hackers. Bovendien willen dit soort mensen nog wel eens expres lekken, waarbij zij er vanuit gaat dat ze controle over het lek hebben (nee dus). Hillary Clinton en Jeb Bush hebben beter beveiligde middelen tot hun beschikking gekregen, maar ze meenden die niet nodig te hebben.
Als de CIO en hoger, het ICT personeel niet wil steunen t.a.v. de BYOD afspraken – en dat komt voor- , dan hebben de ICT’ers alleen nog de mogelijkheid van een C.Y.A. policy. En daar lopen Hillary Clinton en Jeb Bush nu tegenaan en ze zijn niet de enigen. Het zijn net kinderen, je moet ze eens los laten.
Overigens ben ik van mening dat de oplossing van Frank Heikens handiger is dan BYOD bij goed te beveiligen informatie. Maar ook als dat geaccepteerd wordt, dan ben je er nog niet.
Heb van de zijlijn meegemaakt dat politici zelf wilden bepalen of zij hun account met een (sterk) wachtwoord gingen beveiligen. Het waren dezelfde politici die een onderzoek naar datalekken eisten. Na (herhaalde) uitleg over hun risicovolle gedrag t.a.v. gevoelige informatie, vroegen ze om een beleidsonderzoek of een wachtwoord wel afgedwongen mag worden via een instelling van het OS. Uit het feit dat sommigen pas na maanden vroegen hoe ze een sterk wachtwoord moesten instellen, bleek dat hun account heel lang open heeft gestaan. Via minimaal één account heeft journalist van een landelijk dagblad kunnen rondneuzen in beleidsvoornemens.
Interessant is natuurlijk dat deze gebruiker een eigen oplossing ging gebruiken omdat de standaard dienstverlening niet voorzag in haar behoefte of niet leek te voorzien in haar behoefte. Dat is altijd en overal de drijfveer om zelf te gaan pionieren en ‘hoge bomen’ hebben daartoe meestal wat meer mogelijkheden en als ze het niet goed doen valt het wat meer op. En als je goed rondkijkt zie je in ieder groot bedrijf een verrassend aantal medewerkers met eigen oplossingen die meer of minder riskant zijn.
Het enige wat je er echt aan kunt doen als ICT-afdeling is zo benaderbaar zijn dat je in de meeste gevallen geraadpleegd wordt. Het geeft je zowel de kans je portfolio te verbeteren als de mogelijkheid om de risico’s uit te leggen als het om iets echt gevaarlijks gaat. En die credibility die met maximale benaderbaarheid gepaard gaat, is je enige echte wapen. En het werkt niet op volslagen eigenzinnigen.