Bring Your Own Device (BYOD)
Zakelijk en privégebruik lopen door elkaar als jij, en je eventuele werknemers, de eigen computer, tablet of smartphone ook voor werkdoeleinden gebruiken. Een bekende term voor deze manier van werken is Bring Your Own Device (BYOD).
BYOD biedt voordelen, zoals het verhogen van de productiviteit, meer tevreden werknemers en dalende hardware kosten. Maar slechts een kwart van de werkgevers heeft afspraken gemaakt over BYOD. En dat is niet zonder risico voor zowel jou als werkgever, als voor de werknemer.
Wat zijn de risico's van BYOD?
Je hebt als werkgever weinig tot geen controle over de beveiliging van het privé-apparaat van je werknemer. Je kent de persoonlijke wachtwoorden niet en je weet bijvoorbeeld niet welke apps een werknemer gebruikt. Als je werknemer zijn tablet op vakantie verliest of zijn mobiele apparaat in de trein laat liggen, loop je daarmee het risico dat je bedrijfsinformatie zoals klantgegevens, patentaanvragen of uitbreidingsplannen kwijtraken. Ook wil je als werkgever niet dat een werknemer via een onveilig openbaar wifi-netwerk werkt. Of dat bedrijfsinformatie voor het gemak naar een privé-mailadres wordt gestuurd, of wordt gedeeld via diensten zoals Google Drive en Dropbox.
Tips voor het veilig gebruik van BYOD
Hieronder enkele tips voor het veilig gebruik van BYOD:
Inventariseer het gebruik van mobiele apparaten in je bedrijf
Zorg dat je op de hoogte bent van de gebruikte apparaten binnen je bedrijf. Hiermee voorkom je verrassingen. Inventariseer welke toestellen worden meegebracht, hoe ze beveiligd zijn en waarvoor ze gebruikt worden. Voorkom dat er schaduw-IT ontstaat.
Stel een BYOD-beleid op
Maak duidelijk aan je medewerkers wat wel en niet mag. Een duidelijk BYOD-beleid voorkomt problemen en schept vertrouwen en veiligheid. Onderwerpen die je in een BYOD-beleid kunt opnemen, zijn bijvoorbeeld afspraken over het gebruik van het apparaat, de beveiliging, aansprakelijkheid en toegestane modellen en support. Handhaaf dit beleid. Een beleid heeft geen nut als het niet wordt gehandhaafd. Controleer daarom het gebruik van apparaten en neem maatregelen als medewerkers zich niet aan de regels houden.
Sla bedrijfsgegevens centraal op
Zorg ervoor dat zowel jij als je werknemers alle bedrijfsgegevens niet (alleen) lokaal op de eigen laptop of smartphone opslaan, maar ook goed de centrale opslagmogelijkheden blijven bijhouden. Het gevaar bestaat dat door drukte en laksheid een e-mailadres, telefoonnummer of document op de laptop of smartphone wordt opgeslagen en niet in het systeem waar structureel back-ups van worden gemaakt, zoals het bedrijfsnetwerk.
Licht je medewerkers voor over de voordelen én risico's van BYOD
Het gebruik van een privé-apparaat voor zakelijke doeleinden kan veel voordelen hebben voor je werknemers. Zij kunnen efficiënter werken met vertrouwde software, waardoor hun productiviteit toeneemt. Je medewerkers zijn zich waarschijnlijk niet bewust van alle veiligheidsrisico's die zij lopen en hoe deze risico's je bedrijf kunnen raken. Licht daarom medewerkers voor over de belangrijkste veiligheidsrisico's. Denk hierbij aan de risico's van apps die privé- en bedrijfsgegevens doorsturen, het afvangen van het toestel via openbare wifi-netwerken en het gebruik van de camera, microfoon en GPS.
Laat werknemers een wachtwoord instellen op hun toestel
Wanneer zakelijke data op een mobiel apparaat wordt geopend, wil je niet dat dit apparaat zomaar door iedereen gezien wordt. Zorg daarom dat je medewerkers het toestel minimaal beveiligen met een wachtwoord of pincode.
Verplicht beveiligingssoftware en gebruik beveiligde verbindingen
Net zoals computer, kunnen ook mobiele apparaten virussen en malware binnenhalen. Verplicht daarom je medewerkers om beveiligingssoftware, zoals antivirusscanners te installeren om je bedrijfsdata en netwerk veilig te houden. Daarnaast is het aan te raden om beveiligde verbindingen, zoals VPN, te gebruiken voor het ontvangen en versturen van zakelijke data.
Zet een apart netwerk op voor mobiele apparaten
Denk goed na over hoe je de beveiliging van je bedrijfsnetwerk inricht. Is het bijvoorbeeld nodig dat je medewerker met zijn eigen mobiele apparaat toegang krijgt tot alle bedrijfsnetwerken? Of kun je een apart draadloos netwerk (wifi-netwerk) voor de BYOD-apparaten instellen dat een beperkte toegang heeft tot het bedrijfsnetwerk? Hiermee voorkom je dat malware, virussen of andere gevaren die meeliften op mobiele apparaten van je medewerkers toegang krijgen tot bedrijfskritische systemen.
Wijs werknemers op de risico's van inloggen op openbare wifi-netwerken
Vooral als werknemers werk e-mail of bestanden met bedrijfsgegevens openen op hun mobiele apparaat, is het beter om openbare wifi-netwerken te vermijden. Je weet nooit wie meekijkt. Als alternatief kun je medewerkers een mobiel internet abonnement aanbieden. Is dit te kostbaar, of maakt het je medewerker minder flexibel, zorg dan in ieder geval voor beveiligingssoftware en laat medewerkers verbinding maken met het bedrijfsnetwerk via een VPN-verbinding.
Creëer een zwarte lijst van niet-toegestane apps, of een witte lijst met toegestane apps
Veel apps hebben meer bevoegdheden dan je in eerste instantie zou denken. Zo kunnen apps bijvoorbeeld toegang krijgen tot de camera of microfoon van een smartphone. Ook kunnen zakelijke nummers en adressen worden gekopieerd. Stel een zwarte lijst op van apps die een risico vormen en leg uit aan je medewerkers waarom deze apps niet zijn toegestaan. Een alternatief voor een zwarte lijst is een witte lijst. Op een witte lijst staat een overzicht van toegestane apps en sluit alle andere apps uit.
Zorg ervoor dat je de mogelijkheid hebt om op afstand zakelijke data van het toestel te verwijderen
Diefstal of verlies van een mobiel apparaat kan voorkomen. Zorg er daarom voor dat je bedrijfsgegevens zoals contactpersonen of zakelijke bestanden op afstand kunt wissen, zodat deze niet in verkeerde handen komen. Maak hierover duidelijke afspraken met je werknemers want ook de privégegevens op het apparaat zullen dan verwijderd worden. Veel apparaten hebben ook een functie waarmee je kunt zien waar het apparaat zich bevindt, deze functie kan je medewerker zelf inschakelen.
Zorg voor een incident response plan
Mocht het misgaan, zorg dat je een duidelijk plan hebt om te reageren op het incident (incident response plan). Hiermee beperk je de negatieve gevolgen. Stel bijvoorbeeld duidelijke procedures op hoe te reageren op het verlies van een apparaat, datalekken of andere beveiligingsinbreuken.