09 augustus, 2019
Auteur: Benjamin Williams
BYOD valt niet meer weg te denken uit het hedendaagse bedrijfsleven. Steeds meer organisaties stellen hun medewerkers in staat om voor zakelijke doeleinden te werken met hun eigen privéapparaten . Bring Your Own Device (BYOD), biedt voordelen als gebruiksvriendelijkheid en keuze voor de medewerker. Hiernaast zien werkgevers als voornaamste voordelen een toename in de productiviteit en kostenbesparing betreffende hardware investeringen. BYOD brengt echter ook de nodige uitdagingen met zich mee op het gebied van security, maar zeer zeker ook op het gebied van privacy van de medewerkers. De AVG eist van organisaties dat zij gepaste technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens, dus ook door en van medewerkers, in overeenstemming met de AVG uit te voeren. Dit moet onder de AVG ook kunnen worden aangetoond. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. De volgende vraag luidt dan: wat zijn de specifieke BYOD-uitdagingen en wélke maatregelen moeten er vervolgens worden genomen?
Twee van de voornaamste uitdagingen zijn:
- Het zorgdragen voor een juiste omgang en het beschermen van de privacy.
- Beveiliging van het apparaat tegen malware, verlies of diefstal.
We bespreken hieronder een aantal maatregelen die in samenhang ervoor kunnen zorgen dat de additionele risico’s die ontstaan door het gebruik van BYOD kunnen worden verkleind.
Procedurele maatregelen
Op het gebied van procedurele maatregelen kan er gedacht worden aan:
- Het toepassen van een mobile security reglement waarin de rechten en plichten van medewerkers omtrent het gebruik van mobile privéapparaten wordt beschreven. De eerste stap is het verkrijgen van (indien aanwezig) instemming van de ondernemingsraad voor het mobile security reglement en het informeren van de medewerkers middels een memo, of schriftelijke toestemming voor het toepassen van de voorwaarden van het mobile security reglement.
- Duidelijke communicatie naar de medewerkers over onder welke voorwaarden de priveapparaten mogen worden gebruikt op het bedrijfsnetwerk.
- Er moeten, conform het mobile security reglement, security-oplossingen op het apparaat geïnstalleerd worden. Alle bedrijfsdata moet worden versleuteld Het apparaat zelf moet worden beveiligd met een sterk wachtwoord, en voor zover mogelijk moet er speciale anti-diefstalsoftware op het apparaat geïnstalleerd staan waarmee het apparaat in geval van verlies of diefstal kan worden geblokkeerd, gewist en/of kan worden gelokaliseerd. Bij deze laatste oplossing is er mogelijk wel een aandachtspunt voor de continue monitoring van locatie van middelen. Als het apparaat gekoppeld is aan een gebruiker is de locatie van het apparaat ook een locatie van de medewerker geworden.
Data is het hedendaagse goud en is dus erg waardevol – dat blijkt wel uit het feit dat cybercrime de Nederlandse samenleving 10 miljard euro kost op jaarbasis en het feit dat één op de vijf MKB-organisaties last heeft gehad van een hackaanval. Cybercriminelen gebruiken zeer geavanceerde aanvalsmethodes met als doel zo lang mogelijk onopgemerkt te blijven op het bedrijfsnetwerk om onder andere data aan een organisatie te onttrekken. Er bestaat geen zilveren kogel tegen cyberaanvallen, wat kunnen organisaties dan wel doen inzake BYOD?
Oplossingen op securitygebied
Een passende oplossing op technolgisch gebied is een (NAC)netwerktoegangscontrole in combinatie met een Mobile Device Management (MDM), waardoor de identiteit van apparaten en gebruikers wordt vastgesteld zodra men inlogt op het bedrijfsnetwerk. Op deze manier kan er een check worden gedaan waarbij wordt gekeken of het securityniveau van het apparaat (nog) voldoet aan de security eisen van het mobile security reglement. Er dient dan gekeken te worden naar de aanwezigheid van o.a. de volgende type oplossingen: Antivirus, antimalware, Firewall, Operating System ((bijvoorbeeld iOS of Android) en versie en het patchniveau), en overige context (zoals locatie, tijdstip) die van invloed kunnen zijn op het verlenen van toegang. Tot slot is de rol van de medewerker in kwestie doorslaggevend om het uiteindelijke toegangsniveau te bepalen.
Beveiliging tegen verlies of diefstal
Een passende beveiliging tegen verlies of diefstal is het toepassen van een Mobile Device Management-oplossing die het mogelijk maakt om de data op verloren apparaten te versleutelen, om de apparaten te vinden (GPS), en het op afstand te kunnen wipen (wissen) van de data.
Tot slot
De mens is de eerste defensielinie en is tevens de grootste bron van datalekken. Organisaties dienen hun medewerkers privacy- en securitybestendig te maken door middel van het creëren van bewustwording over de gevolgen van een datelek en middels op de functie afgestemde training betreffende het privacy- en informatiebeveiligingsbeleid.
Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.