Bring your own device: zegen of vloek?

De massale transitie naar thuiswerken is bij veel bedrijven snel verlopen. Dit kwam mede omdat mensen hun eigen laptop, tablet of smartphone gingen gebruiken. De plotselinge hausse in Bring your own device (BYOD) is uit de nood geboren.

Maar ideaal is deze oplossing allerminst. Uit oogpunt van security zitten er veel haken en ogen aan het gebruik van consumentenapparatuur voor zakelijke doeleinden. De veiligheid is hier over het algemeen niet mee gediend, maar soms kan het even niet anders. Hoe kun je dit als ondernemer het beste aanpakken en waar moet je opletten? 

Noodoplossing

Als noodoplossing werkt BYOD misschien redelijk goed. Maar als permanente oplossing is het een crime, alle securitymensen zijn het daar over eens. Je loopt er aanzienlijke risico’s mee, zeker als thuis bedrijfsgegevens of privacygevoelige data worden verwerkt. Op overtreding van de AVG staan strenge straffen. Zeker bedrijven die overwegen om ook na de coronacrisis meer thuis te laten werken, moeten zich nog eens flink achter de oren krabben of het gebruik van persoonlijke apparatuur voor werkdoeleinden wel zo verstandig is. 

Bedenk dat cybercriminelen niet stil zitten. De dreigingen zijn sinds het uitbreken van de coronacrisis groter geworden. Een gewild doelwit wordt gevormd door het explosief toegenomen aantal thuiswerkers met BYOD. De crisis heeft het slechtste in fraudeurs naar boven gebracht.

BYOD begon met iPhone

Overigens is BYOD niet iets van de laatste tijd. De BYOD-revolutie startte in 2007 met de introductie van de iPhone. Apple-fans wilden hun persoonlijke telefoons graag voor werk gebruiken. Ook het nut van clouddiensten als Dropbox, Skype, Google Docs en Slack werd het eerst door consumenten onderkend. Recent gebeurde hetzelfde met apps voor videovergaderen zoals Zoom. 

Managers die verantwoordelijk zijn voor de security (CISO's), werden ermee overvallen. Ook wearables zoals smartwatches kwamen via consumenten het bedrijfsleven binnen.    

CISO in paniek

Al deze ontwikkelingen maakten de CISO's huiverig. In veel bedrijven kwam het tot een verbod op persoonlijke apparatuur. Het gebruik van innovatieve software was vaak hetzelfde lot beschoren. En dat was niet altijd terecht. In plaats van al die mooie technologie op een gecontroleerde manier te gebruiken werd soms puur gekozen voor risicominimalisatie.

Uit oogpunt van security is deze benadering helemaal niet zo verstandig, want mensen gaan de regels dan omzeilen. Ook worden veelbelovende ontwikkelingen zo afgeremd. Peter Alexander (Checkpoint) wees op dit gevaar in een artikel in de KPN European Cyber Security Perspectives 2019.   

Merkentrouw

Een ander argument voor het gebruik van eigen apparatuur is dat de jonge generatie vaak hecht aan bepaalde merken. Een Mac-gebruiker wenst alleen maar met een Apple te werken. Sommige werknemers willen alleen met het beste van het beste werken. Ze halen hun neus op voor de 'meuk' die de baas ter beschikking heeft gesteld. Ze kiezen voor een supersnelle laptop, een monitor die levensechte kleuren laat zien en een topmodel smartphone.

Veel werkgevers weigeren aan die hoge eisen te voldoen. Ze lopen dan het risico dat bijvoorbeeld talentvolle ontwikkelaars naar de concurrentie stappen. Het is een bekend gegeven dat jonge werknemers meteen bij sollicitatie willen weten hoe hun werkplek eruitziet. Bovendien werken mensen vaak beter en sneller met eigen apparatuur, ze voelen zich hier prettiger bij. Ook sommige ondernemers juichen BYOB toe, ze denken zo geld in de zak te kunnen houden. Maar dat is verkeerde zuinigheid.

Nachtmerrie voor systeembeheer

BYOD kan veel kopzorgen geven. Voor systeembeheerders is het een nachtmerrie, ze missen de controle over de applicaties die op BYOD-hardware worden geïnstalleerd. Het risico wordt onverantwoord groot als ongecontroleerd van alle kanten toegang wordt verkregen tot het bedrijfsnetwerk en bedrijfsgegevens.

Bij verlies of diefstal kan de ramp veel groter zijn dan alleen het gemis van een apparaat. De security-afdeling heeft namelijk geen of moeilijker zicht op de veiligheidsmaatregelen die de gebruiker van een BYOD-apparaat heeft genomen. Het is de vraag of antivirussoftware, firewalls en de laatste patches zijn geïnstalleerd. Nu we een beetje aan het nieuwe werken zijn gewend wordt het toch tijd daar scherp op te gaan letten. Soms zal training nodig zijn. 

Controle kwijt

Een ander probleem is dat het lastig is zakelijke en persoonlijke informatie op een privé-laptop gescheiden te houden. Bij smartphones mist de werkgever de controle over het telefoonnummer. Stel dat een klant de privé-telefoon van een ex-werknemer belt wat gebeurt er dan? De werknemer neemt niet op of werkt inmiddels voor de concurrentie en pakt je klant af. Wees op die situaties voorbereid en voorkom dat hier later problemen mee ontstaan. Ook vanuit compliance kan BYOD een ramp zijn met name in sterk gereguleerde sectoren als de zorg. 

Risicovol is het koppelen van een slecht beveiligd BYOD-apparaat aan een werkcomputer of de aansluiting op het draadloze bedrijfsnetwerk. Besmetting met een virus of malware kan dan het gevolg zijn. Het kan ook erg lastig worden als een BYOD-laptop kuren gaat vertonen. “Mijn computer doet raar, wat moet ik doen?” Als de IT-helpdesk niet van afstand in de laptop kan kijken, heb je echt een probleem. Het is de vraag of IT en security op dit soort uitdagingen zijn voorbereid. Bij uitbesteding van de IT-ondersteuning kunnen contractuele issues ontstaan. Medewerkers die op afstand werken, moeten ook weten wat ze moeten doen bij een datalek of soortgelijk incident. Hopelijk zijn ze zich bewust van alle consequenties. Kortom, bij BYOD is er veel werk aan de winkel als hier niets aan is gedaan.  

Alternatieven voor BYOD

BYOD is een ineffectieve strategie voor digitale transformatie op de lange termijn. In het gunstigste geval geeft het op korte termijn soelaas. Volgens Robbert Kelder, chief product owner werkplekdienstverlening bij KPN, zijn er goede alternatieven voor werkgevers die hun mensen meer vrijheid willen geven. Laat je mensen kiezen uit een aantal opties. Een andere mogelijkheid is een budget vast te stellen waarbinnen bepaalde zakelijke smartphones kunnen worden gekocht.

Volgens hem is het verkeerd om apparaten als een kostenpost te zien. “Wat heb je eraan om honderd euro op de aanschaf van een laptop te besparen als mensen daar moeilijker op werken? Bedenk dat ze vaak jarenlang veertig uur per week achter zo’n computer zitten.” Zorg wel dat je de controle houdt over de mobiele apparaten die werknemers gebruiken. Dat komt de veiligheid, het beheer en het effectieve gebruik van applicaties ten goede. Volgens een studie van Oxford Economics is het uiteindelijk voordeliger om zelf apparaten beschikbaar te stellen dan werknemers met BYOD te laten aanrommelen.

Gerelateerde artikelen