Bring Your Own Device: vergeet de informatiebeveiliging niet!
Bring Your Own Device, het is steeds gebruikelijker in bedrijven. Maar hoe is het ingeregeld met de informatiebeveiliging? In dit artikel geven we je 8 tips.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlSinds de intrede van het nieuwe werken op de werkvloer gebeurt het steeds vaker dat medewerkers hun mail lezen op hun privé mobiele telefoon of thuis op de laptop nog even wat afmaken voor het werk en uploaden in de bedrijfscloud. Het nieuwe werken geeft medewerkers flexibiliteit en bovenal onafhankelijkheid van tijd, plaats en apparatuur. Het gebruik van eigen apparaten voor zakelijke doeleinden, ook wel het ‘Bring Your Own Device (BYOD)’ principe genoemd, biedt de medewerker gemak. Het brengt echter ook risico’s met zich mee op het gebied van informatiebeveiliging. Hoe ga je als bedrijf veilig om met het BYOD-principe? Het is namelijk belangrijk dat er passende maatregelen getroffen worden op basis van de classificatie die gehangen wordt aan informatie.
Bring your own device: kostenvoordeel of toch niet?
Wanneer medewerkers eigen apparatuur gebruiken voor zakelijke doeleinden scheelt dat het bedrijf aardig wat aanschafkosten. Om die reden, maar zeer zeker ook vanuit gebruiksgemak oogpunt, zien we dat er steeds vaker gebruik wordt gemaakt van privé apparaten op de werkvloer. In veel gevallen wordt er dan echter voorbijgegaan aan het feit dat deze ontwikkeling ook risico’s met zich meebrengt met het oog op informatiebeveiliging. Privé en zakelijke data worden door elkaar gebruikt en er wordt niet nagedacht over de veiligheid van die zakelijke data. Het managen van al die verschillende apparaten brengt op zijn beurt weer extra kosten voor de IT-afdeling met zich mee, wat het kostenvoordeel met betrekking tot het niet hoeven aanschaffen van apparaten in een bedrijf weer (deels) opheft. En dan spreken we nog niet over de gevolgen die een datalek met zich meebrengt.
BYOD: Zakelijke en privébelangen
Het BYOD-principe leidt ertoe dat er goed moet worden gekeken naar een zorgvuldige omgang met bedrijfs- en klantdata. Want wat gebeurt er in geval van verlies van het privé apparaat, een virus of een datalek? Dan komen er ook juridische complicaties om de hoek kijken. En wat als een apparaat wordt gestolen, terwijl er belangrijke informatie op staat? Het is dan mogelijk om het apparaat op afstand te wissen (wipen), maar mag dat zomaar? De kans dat er dan persoonlijke data mee wordt gewist is immers groot. Je kunt een medewerker dus niet zomaar dwingen hieraan mee te werken, omdat hij of zij hier persoonlijke schade van kan ondervinden.
Bring Your Own Device en informatiebeveiliging
Uit het ‘Data Protection Trends Research’ rapport van Acronis & Ponemon Institute blijkt dat 60% van de organisaties vertrouwelijke bedrijfsgegevens en klantdata in gevaar brengt omdat veilige beleidsregels voor het BYOD-principe op de werkvloer ontbreken. 80% van de bedrijven informeert de medewerkers zelfs niet eens over de risico’s van het Bring Your Own Device principe.
- Slechts 31% van alle bedrijven vraagt haar werknemers persoonlijke mobiele apparatuur te beveiligen met wachtwoord of pincode.
- 21% van de bedrijven whiped op afstand bedrijfsgegevens van mobiele apparaten zodra de werknemer de organisatie verlaat.
Werk aan de winkel dus! Er moet immers zorgvuldig worden omgegaan met bedrijfs- en klantdata. Je moet er als bedrijf op kunnen vertrouwen dat systemen weerstand kunnen bieden aan pogingen tot misbruik en aanvallen van binnenuit of buitenaf. Maar hoe doe je dat? Hieronder een 8-tal handige tips.
Tip 1: Creëer bewustwording onder personeel
Doorgaans een lastig, maar bovenal erg belangrijk aspect is het creëren van bewustwording onder de medewerkers met betrekking tot de informatiebeveiligingsrisico’s die het BYOD-principe met zich meebrengt. Medewerkers moeten bewust worden gemaakt van het feit dat digitaal werken niet alleen nieuwe mogelijkheden, maar ook verantwoordelijkheden met zich meebrengt. Als medewerker moet je jezelf bewust zijn van de waarde van informatie en daarnaar handelen om zo vertrouwelijke bedrijfsdata veilig te kunnen stellen. Een hulpmiddel dat je als bedrijf in kunt zetten om bewustwording te creëren is het met regelmaat organiseren van awareness sessies.
Tip 2: Stel een BYOD-beleid op en creëer draagvlak
Het is verstandig om als bedrijf een duidelijk bedrijfsbeleid met betrekking tot Bring Your Own Device en telewerken op te stellen. Zo weet iedereen wat wel en niet is toegestaan en is ook duidelijk wat de consequenties zijn. Uiteraard is het daarbij van belang om niet alleen een beleid op te stellen, maar dit ook kenbaar te maken onder de medewerkers zodat zij ook op de hoogte zijn van de richtlijnen en procedures. En wil je het helemaal goed doen dan is het aan te raden om mensen op de werkvloer te betrekken bij het opstellen van het beleid; zij zijn immers de gebruikers die ermee om moeten gaan. Op die manier creëer je ook draagvlak.
Tip 3: Controleer, test en stimuleer
Wanneer het BYOD-beleid is ontwikkeld, dan is het van belang dat het personeel hiermee om leert gaan. Dat vergt een stukje opvoeding en zal niet van de ene op de andere dag voltooid zijn. Het is een proces dat je met elkaar ingaat. Om er in ieder geval voor te zorgen dat iedereen in de juiste stroom meegaat, kun je regelmatig controles en testen uitvoeren om te checken of het beleid wordt gehandhaafd. Van daaruit kun je medewerkers dan weer stimuleren om zaken anders of beter te doen. Ook kunnen dergelijke testen weer input vormen voor het organiseren van een awareness sessie.
Tip 4: Device management inregelen?
Device management is een manier waarbij je als bedrijf de aanwezige apparatuur in je organisatie efficiënt beheert. Denk daarbij aan het beheer van software, instellingen, gebruiksrechten en beveiligingsbeleid. Vaak zie je daarbij dat een apparaat, ook al is het een privé toestel, opgedeeld wordt in een zakelijke en een privé omgeving om zo te voorkomen dat zakelijke gegevens weglekken bij privé gebruik. Veel organisaties maken daarbij ook gebruik van wiping. Dat houdt in dat wanneer een apparaat wordt gestolen of kwijtraakt je de data op het apparaat kunt wissen. Doordat het apparaat is opgedeeld in twee omgevingen voorkom je dat hierbij ook privé data gewist wordt. Device management biedt vele mogelijkheden en is zeker interessant om als bedrijf te overwegen.
Als organisatie kun je ook remote beheer inzetten voor de controle van je apparatuur. Met remote beheer worden ICT-systemen en netwerken op afstand beheerd vanaf een centrale locatie. Als organisatie ben je zo proactief bezig met de controle van je apparatuur in plaats van reactief. Je controleert namelijk continu de werking van systemen om ervoor te zorgen dat potentiele problemen in de kiem gesmoord worden.
Tip 5: Open een meldpunt datalekken
Als bedrijf ben je verplicht om datalekken te melden. Wanneer je een beleid op hebt gesteld rondom Bring Your Own Device, dan zal daar ongetwijfeld iets in op zijn genomen over het melden van datalekken. Wanneer medewerkers eigen apparatuur voor zakelijke doeleinden gaan inzetten, dan is de kans op datalekken vanzelfsprekend groter. Er zijn immers meer apparaten waarop zakelijke data in omloop is. Bovendien zal niet ieder apparaat even goed beveiligd zijn. Om te stimuleren dat medewerkers hun meldplicht omtrent datalekken nakomen kun je een meldpunt inrichten waarop datalekken gemeld kunnen worden. Geef medewerkers een duidelijke instructie over hoe zij dat kunnen doen.
Tip 6: Het wifi-netwerk inrichten
Het BYOD-principe draait niet enkel om apparaten, maar vooral om de connecties die apparaten maken. Het is niet vreemd om als medewerker of bezoeker van een bedrijf met je eigen apparatuur in te loggen op het wifi-netwerk van het bedrijf. Dat betekent echter ook dat de data over hetzelfde netwerk wordt verstuurd als de bedrijfsdata. Je ziet daarom steeds vaker dat er een wifi-netwerk wordt ingericht voor gasten en eventueel voor privé apparatuur van medewerkers. Hierdoor scheid je deze data.
Een andere oplossing hierbij is gebruik maken van een systeem dat het inloggen op een wifi-netwerk reguleert. Er wordt dan aan bezoekers en/of medewerkers een tijdelijke inlog verstrekt welke na een x-aantal uur weer verloopt. Bij een volgend bezoek moet er dan opnieuw een code worden opgevraagd. Zo kun je precies reguleren (en achterhalen) wie er op welk moment toegang heeft tot het netwerk. Kortom, ook de omgang met het wifi-netwerk in combinatie met eigen apparatuur is dus iets om goed over na te denken.
Tip 7: Werk met autorisatie
Niet iedere medewerker hoeft toegang te hebben tot alle data en systemen. Het is daarom aan te raden om te werken met autorisatie, waarbij medewerkers enkel toegang krijgen tot documenten en systemen die voor hun werkzaamheden van belang zijn. Zo weet je als organisatie ook altijd wie waar toegang toe heeft. Zo verklein je de kans dat gevoelige data en kritische systemen worden geopend op een privé apparaat van medewerkers die daar eigenlijk helemaal niet in hoeven te zijn.
Tip 8: Een wachtwoordbeleid of wachtwoordmanager inregelen
Wanneer je een BYOD-beleid opstelt, is het ook zaak om stil te staan bij een wachtwoordbeleid. Hoe vaak gebeurt het niet dat medewerkers voor ieder systeem dezelfde wachtwoorden gebruiken? Met een wachtwoordbeleid verklein je daarop in ieder geval de risico’s.
BYOD-beleid als onderdeel van informatiebeveiligingsbeleid
Zoals in dit artikel te lezen valt is werken met eigen apparaten op de werkvloer toch complexer dan je denkt. Zeker vanuit informatiebeveiligingsoogpunt komt er veel bij kijken. Om de informatiebeveiligingsrisico’s zoveel mogelijk uit te sluiten is het verstandig om een BYOD-beleid op te stellen. En wanneer je het helemaal goed wilt doen dan laat je het BYOD-beleid onderdeel uitmaken van je informatiebeveiligingsbeleid. Wanneer je met een informatiebeveiligingsbeleid aan de slag gaat, dan komt al snel ISO 27001 om de hoek kijken. Met deze internationaal erkende norm voor informatiebeveiliging toon je aan dat je de informatiebeveiliging in je organisatie op orde hebt. Het Bring Your Own Device beleid vormt hier een verplicht onderdeel van.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlMeer weten over ISO 27001?
Download de handige informatiegids!
- Alles over informatiebeveiliging
- Stap voor stap inzicht
- Antwoord op al je vragen