5 tips om de veiligheidsrisico’s van BYOD te beperken

Steeds meer medewerkers gebruiken hun eigen computer of tablet voor bedrijfsdoeleinden. Naast de vele voordelen die Bring Your Own Device (BYOD) biedt, brengt het wel grote risico's met zich mee voor wat betreft de beveiliging van bedrijfsdata. Hoe kunt u deze risico's binnen de perken houden? 5 gouden tips.

De verwachting is dat de populariteit van Bring Your Own Device (BYOD) de komende jaren alleen maar toeneemt. Uit cijfers blijkt dat in 2017 de helft van de bedrijven een vorm van het BYOD-beleid heeft geïmplementeerd. En dat is niet zonder reden, want het BYOD-beleid heeft een aantal belangrijke voordelen. Medewerkers vinden het vaak prettiger om met hun eigen vertrouwde apparatuur te werken. Ze hebben meer vrijheid en zijn daardoor productiever, terwijl het bedrijven kosten scheelt in de aanschaf van computers.

BYOD is voor bedrijven een simpele en kostefficiënte manier om medewerkers op hun eigen, vaak snelle, apparaten te laten werken. Dit alles maakt dat het adopteren van BYOD veel bedrijven niet snel genoeg kan gaan.

Naast de vele voordelen die BYOD biedt aan bedrijven, kleven er ook nadelen aan. Zo is een beleid op BYOD in de praktijk een grote uitdaging voor IT-afdelingen. Dit komt onder andere omdat ontwikkelaars zoals Apple en Android vrijwel wekelijks allerlei updates uitbrengen. Hierdoor kunnen werknemers zomaar nieuwe applicaties op hun apparaten installeren die door het bedrijf wellicht niet worden ondersteund of toegelaten. Dit brengt grote risico’s met zich mee voor wat betreft de beveiliging van bedrijfsdata. Om deze risico’s tot een minimum te beperken geeft Maurice Hoeneveld, Solution architect bij IT- leverancier Fujitsu, vijf tips.

1. Bezint eer gij begint
Het lijkt een open deur, maar toch vergeten veel bedrijven om alle processen goed door te denken alvorens met BYOD te beginnen. Om goed beslagen ten ijs te komen is het belangrijk dat je als bedrijf over alle mogelijke gevolgen van het implementeren van het BYOD-beleid nadenkt. In de praktijk betekent dit, dat bij het vaststellen van het BYOD-beleid niet alleen de IT-afdeling een leidende rol speelt, maar ook andere stafafdelingen zoals HR en Juridische Zaken worden meegenomen.

Om te voorkomen dat medewerkers een update op hun apparaat installeren die de IT-afdeling niet ondersteunt, moet Personeelszaken er bijvoorbeeld voor zorgen dat alle medewerkers tijdig een bedrijfsbeleid over het gebruik van eigen apparatuur ontvangen. ‘Door alle facetten van de bedrijfsvoering mee te nemen, verklein je de kans op onaangename verrassingen als het BYOD-beleid eenmaal in werking is getreden.’

2. Maak keuzes
BYOD betekent dat de scheidslijn tussen zakelijk en privégebruik van laptops en tablets vervaagt. Dit kan leiden tot veiligheidsrisico’s. Medewerkers downloaden bijvoorbeeld apps voor privegebruik, maar beseffen niet dat ze deze apps ook toegang kunnen geven tot bedrijfsinformatie uit de cloud. Er zijn bijvoorbeeld apps op de markt waarmee productontwikkelingen kunnen worden gedeeld. Het gebruik hiervan door een medewerker van een productontwikkelingbedrijf, kan betekenen dat medewerker niets vermoedend via zo’n app gevoelige informatie naar buiten brengt.
__________________________________________________________________________________

Masterclass Finance & IT
Ontdek in deze masterclass hoe u als financieel verantwoordelijke betere keuzes maakt, het rendement verhoogt, kansloze projecten tijdig stopt en snel kunt ingrijpen waar nodig. Te veel IT projecten stellen teleur. Volg de tweedaagse masterclass Finance & IT, voorkom veelgemaakte fouten en maak direct het verschil.
__________________________________________________________________________________

Om dit te voorkomen, is het belangrijk om vooraf duidelijke keuzes te maken wat het zakelijk gebruik van apparaten daadwerkelijk inhoudt. Bijvoorbeeld met betrekking tot het installeren van software updates. De gemaakte keuzes moeten vertaald worden in goede afspraken met medewerkers. De beste manier om dit te doen is door het organiseren van trainingen waarin medewerkers op een interactieve manier met het beleid kennismaken.

3. Verbind consequenties aan het niet volgen van het beleid
Medewerkers moeten zich goed beseffen wat de gevolgen kunnen zijn van het blootstellen van gevoelige informatie via onder andere social media. Via social media delen medewerkers vaak maar kleine stukjes informatie, maar een simpele zoektocht kan ervoor zorgen dat de puzzelstukjes in elkaar vallen. Met als gevolg dat de markt iets weet wat de organisatie nog niet officieel naar buiten heeft gebracht. Een consequentie van het niet naleven van het beleid kan bijvoorbeeld een aantekening in het personeelsdossier zijn, een officiële berisping of het ontzeggen van toegang tot bepaalde data. Dit klinkt hard, maar is wel noodzakelijk om te voorkomen dat bijvoorbeeld concurrentiegevoelige informatie op straat komt te liggen. Het kan niet zo zijn, dat het openbaar maken van belangrijke bedrijfsdata zonder gevolgtrekking blijft.

4. Stel controles in
Als het BYOD-beleid eenmaal geïmplementeerd is en de regels duidelijk aan alle medewerkers gecommuniceerd zijn, kan je ervan uitgaan dat het beleid wordt nageleefd. Desalniettemin verdwijnen na verloop van tijd de regels waaruit het beleid bestaat, naar de achtergrond en loop je als bedrijf het gevaar dat je medewerkers onbedoeld het beleid negeren. Om dit te voorkomen is het goed om regelmatig checks uit te voeren in hoeverre medewerkers zich nog aan het BYOD-beleid houden. Hierbij kan je bijvoorbeeld denken aan het instellen van halfjaarlijkse security audits.  

5. Wees realistisch over de mogelijkheden van je IT-afdeling
BYOD is voor IT-afdelingen een compleet andere manier van werken en brengt onbekende veiligheidsrisico’s met zich mee. De ontwikkelingen op de hard- en software markt gaan razendsnel en IT-afdelingen hebben vaak niet de mankracht om dit allemaal bij te benen. Om goed op al deze ontwikkelingen in te spelen zou de IT-afdeling meer betrokken moeten zijn bij de ontwikkeling van bepaalde software zodat ze veranderingen een stap voor zijn.

Om dit te realiseren, kan je er als bedrijf voor kiezen om een developer account bij bijvoorbeeld Microsoft te nemen. Zo ben je als bedrijf tijdig op de hoogte te zijn van nieuwe releases. Als dat niet lukt, is het raadzaam om te kijken of het mogelijk is om een deel van diensten uit te besteden aan een instantie die gespecialiseerd is in het bijhouden van deze ontwikkelingen of het beheren van BYOD- diensten.

Maurice Hoeneveld is Solution architect bij IT- leverancier Fujitsu

Gerelateerde artikelen