Van BYOD- naar WYOD-beleid: De volgende stap in IT-veiligheidsbeleid
Flexibel werken is tegenwoordig het toverwoord, steeds meer medewerkers vinden het een geweldig idee en het bedrijfsleven is er niet alleen aan gewend, het blijkt uitstekend te werken. Maar er zijn haken en ogen.
Investeren in laptops, ipads en andere devices is kostbaar, dus gebruikmaken van bestaande capaciteit ligt voor de hand. Vrijwel elke Nederlanders beschikt immers over een eigen laptop en die kunnen met toestemming van de medewerkers prima worden gebruikt voor professionele doeleinden. Dat heet Bring Your Own Device (BYOD). Door het gebruiksgemak – elke medewerker kent zijn eigen laptop – is BYOD populair in bedrijfsomgevingen. Volgens onderzoek door technologie analist Gartner zullen in 2017 de helft van alle bedrijven wereldwijd van hun personeel verlangen dat zij hun eigen mobiele devices voor werkdoeleinden gebruiken. Kanttekening is dat het daarbij met name gaat om grotere bedrijven in Amerika, India, China en Brazilië, Europa blijft enigszins achter.
WYOD-BELEID
Er kleven ook nadelen aan, bijvoorbeeld waar het gaat om beveiliging van bedrijfssystemen en –geheimen, er kunnen juridische complicaties optreden – wie is verantwoordelijk voor verlies of diefstal, of bij een virus? – en er zullen afspraken over de kosten moeten worden gemaakt. En dan heb je als bedrijf net een BYOD-beleid geformuleerd, word je door de technologie ingehaald. Complete computers in smartphones en horloges worden vervangen door multimediagadgets. Beide raken steeds verder geïntegreerd in het dagelijks leven en werken. Draagbare technologie – denk aan smartwatches, fitness trackers en slimme brillen (Google Glass) – is waarschijnlijk de snelst groeiende van alle IT-trends en de populariteit van die wearables in de werkomgeving zou best wel eens die van de smartphone achterna kunnen gaan. Voor ondernemingen zou dit problemen kunnen gaan opleveren op het gebied van veiligheid, privacy en compliance. Het BYOD-beleid moet dus worden uitgebreid met een Wear Your Own Device WYOD- beleid.
VEILIGHEIDSVOORZIENINGEN
Veel draagbare devices kunnen data opslaan en verzenden, maar zijn gewoonlijk niet uitgerust met ingebouwde veiligheidsvoorzieningen zoals een PIN-code of gebruikers authenticatie en over het algemeen slaan ze data plaatselijk (niet in de cloud) op zonder encryptie. Met draagbare devices kunnen gebruikers ook eenvoudig en discreet video en audio opnemen. Een kwaadwillende hacker zou van de vastgelegde informatie een analyse kunnen maken over de dagelijkse routines van de gebruiker, evenals zijn of haar huidige locatie vaststellen.
GEÏNTEGREERD
Net zoals met alle nieuwe technologie zouden organisaties een alomvattende assessment moeten uitvoeren op het gebied van persoonlijke privacy, veiligheid van bedrijfsgegevens en compliance, maar ook moeten vaststellen of de medewerkers wel voordeel hebben van het gebruik van wearables en of deze gadgets een toegevoegde waarde kunnen vormen voor de business, voordat er geïnvesteerd wordt in de beveiliging ervan. Het beheren van een grote hoeveelheid nieuwe en verschillende devices is een enorme uitdaging die zijn weerslag heeft op de beschikbare medewerkers: de systeembeheerders (administrators) zullen van elk device de mogelijkheden en beveiligingsvereisten moeten kennen. Bedenk echter wel dat wanneer wearable technologie botweg verboden wordt, de medewerkers die er wel mee willen werken, hun toevlucht zullen nemen tot zogeheten ‘rogue IT’ ofwel een eigen, alternatief netwerk en dat is veel moeilijker te bestrijden.
ALLEEN IN COMBINATIE
Voorlopig kunnen de wearable gadgets alleen functioneren in combinatie met een smartphone om een verbinding tot stand te brengen met het internet en dat betekent dus een koppeling met BYOD. Daarom is BYOD- beleid een uitstekende eerste stap voor het beheren van wearables-beveiliging in de werkomgeving. Toch zal een apart WYOD- beleid moeten worden geformuleerd om de verschillen in functionaliteiten en werking af te dekken. Het beleid voor een acceptabel gebruik moet duidelijk de verantwoordelijkheden van de gebruiker definiëren. Maak bijvoorbeeld duidelijk welke medewerkers (afdelingen) draagbare technologie mogen toepassen. Bepaal waar deze technologie wel en waar niet mag worden gebruikt – in sommige afdelingen zal het gebruik ervan beperkt moeten worden. Sta toegang tot bedrijfsgegevens alleen toe middels goedgekeurde apps die gebruikers authenticatie hebben en een veilige content-houder. Verbied derden het gebruik van wearables voor het maken van video’s, foto’s, geluidsopnames of andere vormen van informatie over de business, klanten of medewerkers.
WAPENWEDLOOP
Medewerkers moeten zich realiseren welke gevaren er in (onbedoeld) verkeerd gebruik schuilen. Bied trainingen aan en zorg ervoor dat slechts de minimale hoeveelheid data wordt verzameld die nodig is om de zakelijke taken uit te voeren. Beleid is één, handhaven is belangrijker. Zorg er dus voor dat de beveiliging van het netwerk optimaal en actueel is om de transfer van data van en naar de wearables te monitoren. Zorg er bijvoorbeeld ook voor dat wearables na verlies of diefstal op afstand onbruikbaar kunnen worden gemaakt. Ondernemingen moeten zich in elk geval voorbereiden op de beveiligingsrisico’s van wearables. Nieuwe technieken, nieuwe aanvalsmogelijkheid voor kwaadwilligen. Het lijkt wel een wapenwedloop!