Bring Your Own Device BYOD-device

BYOD, het gebruik van eigen apparatuur op de werkvloer, vraagt om duidelijk beleid

- 31 July 2018

Het gebruik van persoonlijke apparatuur, zoals laptops en tablets, is in het bedrijfsleven niet ongebruikelijk. Sterker nog, in de praktijk zal het merendeel van de werknemers gebruikmaken van persoonlijke devices op de werkvloer, al dan niet met volledige toegang tot het bedrijfsnetwerk. En dat is nog los van de rol die we onze smartphone ook voor onze dagelijkse werkzaamheden toebedelen. Dat kan bijdragen aan de productiviteit, maar ‘BYOD’ kan ook nadelen hebben. Een duidelijk beleid is daarom noodzakelijk.

BYOD: Bring Your Own Device

BYOD staat voor Bring Your Own Device, ofwel het zelf meebrengen en op de werkvloer gebruiken van apparatuur zoals laptops en tablets. Je eigen devices gebruiken heeft diverse voor- en nadelen. Het kan productiviteit verhogen, maar levert bijvoorbeeld ook beveiligingsrisico’s op.

Medewerkers die met eigen apparatuur inloggen op het bedrijfsnetwerk zijn bijvoorbeeld een gewild doelwit van cybercriminelen. Ongeveer 70 procent van de kwetsbaarheden binnen bedrijven is namelijk gerelateerd aan de eindgebruiker. Werknemers koppelen steeds vaker eigen apparatuur aan het bedrijfsnetwerk. Doordat die devices meestal onvoldoende beheerd en beveiligd zijn, vormen ze voor cybercriminelen de snelste toegangspoort tot bedrijfsdata. In het kort:

  • persoonlijke devices zijn vaak slechter beveiligd dan hardware van kantoor;
  • extra apparaten en verbindingen zorgen voor extra kwetsbaarheden op het netwerk;
  • een mobiel device is vatbaarder voor diefstal en verlies.

 

Wie met zijn eigen apparatuur op het bedrijfsnetwerk werkt, moet daarom altijd extra opletten. Doordat er binnen één netwerk nu veel extra verbindingen zijn, is het voor buitenstaanders bijvoorbeeld gemakkelijker binnen te dringen. Immers, via de zwakste schakel kan het gehele systeem worden geïnfiltreerd. Daarnaast is opslag op dergelijke devices minder veilig en zijn bedrijfsgegevens daardoor extra kwetsbaar.

BYOD-beleid

Vanuit een IT- en informatieveiligheidsperspectief is BYOD een lastige. Apparaatbeheer was voorheen een stuk eenvoudiger. Beveiligingsvereisten veranderen namelijk niet, ongeacht wie de eigenaar is van het device of welk besturingssysteem er uitgevoerd wordt. Daarom zijn er diverse belangrijke vragen die in een organisatie gesteld moeten worden met betrekking tot BYOD, inclusief de vraag of het überhaupt toegestaan zou moeten zijn. Sommige bedrijven zijn namelijk simpelweg niet geschikt voor BYOD. Als de veiligheidsrisico's te hoog zijn of de regelgeving en naleving te strikt, dan kan het bedrijf er beter voor kiezen om standaardapparaten aan de medewerkers te verstrekken waarbij de zorg voor beveiliging binnenshuis blijft.

Is het binnen een organisatie wel toegestaan, zorg dan inderdaad voor duidelijke regelgeving met betrekking tot gebruik, beveiliging, software(updates) en virusbescherming. Die regels moeten bovendien opgesteld worden vanuit een vast kader, waarbij aandacht is voor vragen als: welke apparatuur kan er onder welke omstandigheden en door wie gebruikt worden; welke medewerkers komen wel of niet in aanmerking voor BYOD-toestemming; hoe is toegang tot en opslag en verzending van informatie georganiseerd - et cetera. Een apart bedrijfsnetwerk met beperkte toegang specifiek voor devices van buitenaf is bijvoorbeeld een optie.

Daarnaast is het zaak om afspraken te maken over verantwoordelijkheid. Ligt dat bij IT, bij de eindgebruikers of bij beiden? Vervolgvragen hebben betrekking op vasttellen wie de apparaten zal ondersteunen (opnieuw IT-personeel en/of de medewerkers zelf?), hoe die ondersteuning georganiseerd wordt en wie er verantwoordelijk is voor updates en andere factoren rond apparaatbeheer. 

Daarbij is het cruciaal om beveiligingsafspraken te maken met betrekking tot (oa): 

  • wachtwoorden, vergrendeling, 2-factor authenticatie;
  • versleuteling, vooral voor losse datadragers zoals het SD-kaartje van een telefoon/tablet;
  • antivirus-bescherming en updates;
  • toegestane apps en besturingssystemen.

 

Tot slot dient een organisatie te voorzien in oplossingen voor BYOD-veiligheidsconcepten binnen het grotere plaatje van noodscenario's. Met andere woorden, is er in het incident response-plan (zie voor meer informatie over IR ook ons verslag van het derde FERM Port Cyber Café) aandacht voor inbraak in, diefstal van en malware op mobiele apparaten? En is er binnen de organisatie voldoende bekend dat men zich bij een incident met een persoonlijk device ook altijd bij de leidinggevende en/of de IT-servicedesk moet melden. Een belangrijk onderdeel van een effectieve beveiligingssituatie is ervoor zorgen dat er überhaupt geen vertrouwelijke bedrijfs- of persoonsgegevens op een BYOD-apparaat opgeslagen worden, maar een eenduidig plan voor wanneer er zich toch een incident voordoet is minstens zo belangrijk. 

 

LEES OOK: Persoonlijke cybersecurity: 2-factor authenticatie en fysieke beveiligingssleutels