Wanneer werknemers hun eigen computer, tablet of smartphone ook voor werkdoeleinden gebruiken, kan zakelijk en privégebruik door elkaar lopen. Deze manier van werken wordt Bring Your Own Device (BYOD) genoemd en biedt voordelen, zoals het verhogen van de productiviteit en meer tevreden werknemers. Bovendien kunnen hardwarekosten voor de organisatie dalen. Echter, slechts een klein gedeelte van de organisaties in Nederland heeft afspraken gemaakt over BYOD. En dat kan risico’s met zich meebrengen voor zowel de werkgever als de werknemer.
Als werkgever heb je weinig tot geen controle over de beveiliging van het privé apparaat van werknemers. Je kent bijvoorbeeld de persoonlijke wachtwoorden niet en weet niet welke apps iemand gebruikt. Als een werknemer zijn of haar tablet op vakantie verliest of zijn mobiele apparaat in de trein laat liggen, loop je het risico dat bedrijfsinformatie zoals klantgegevens, financiële gegevens of inloggegevens verloren gaan. Ook zijn er helaas veel apps die onveilig is, waardoor het mogelijk is dat bijvoorbeeld toetsaanslagen geregistreerd worden op een mobiele telefoon. Hierdoor zou een kwaadwillende eenvoudig gevoelige informatie kunnen achterhalen. Belangrijk dus dat organisaties beleid opstellen omtrent BYOD, voordat het een disaster wordt.
Tips voor het veilig gebruik van BYOD
Hieronder enkele tips voor het veilig gebruik van BYOD, die gebruikt kunnen worden als input voor beleid binnen je organisatie.
- Begrijp de voordelen van een BYOD-beleid
Maak duidelijk aan alle medewerkers wat wel en niet mag. Een duidelijk BYOD-beleid voorkomt problemen en schept vertrouwen en veiligheid. Onderwerpen die je in een BYOD-beleid kunt opnemen, zijn bijvoorbeeld afspraken over het gebruik van het apparaat, de beveiliging, aansprakelijkheid en toegestane modellen en support. Handhaaf dit beleid; een beleid heeft geen nut als het niet wordt gehandhaafd. Controleer daarom het gebruik van apparaten en neem maatregelen als medewerkers zich niet aan de regels houden. - Sla bedrijfsgegevens centraal op
Zorg ervoor dat alle werknemers alle bedrijfsgegevens niet (alleen) lokaal op de eigen laptop of smartphone opslaan, maar ook goed de centrale opslagmogelijkheden blijven bijhouden. Het gevaar bestaat dat door drukte en laksheid een document, e-mailadres of ander belangrijke data op de persoonlijke laptop of smartphone wordt opgeslagen en niet in het systeem waar structureel back-ups van worden gemaakt, zoals het bedrijfsnetwerk. - Licht medewerkers voor over de voordelen én risico’s van BYOD
Het gebruik van een privé apparaat voor zakelijke doeleinden kan veel voordelen hebben voor werknemers. Zij kunnen efficiënter werken met vertrouwde software, waardoor hun productiviteit toeneemt. De medewerkers zijn zich waarschijnlijk niet bewust van alle veiligheidsrisico’s die zij lopen en hoe deze risico’s de organisatie kunnen raken. Licht daarom medewerkers voor over de belangrijkste veiligheidsrisico’s. Denk hierbij aan de risico’s van apps die privé- en bedrijfsgegevens doorsturen, het afvangen van het toestel via openbare wifi-netwerken en het gebruik van de camera, microfoon en GPS. - Laat werknemers een wachtwoord instellen op hun toestel
Wanneer zakelijke data op een mobiel apparaat wordt geopend, wil je niet dat dit apparaat zomaar door iedereen gezien wordt. Zorg daarom dat alle medewerkers het toestel minimaal beveiligen met een wachtwoord of pincode. - Verplicht beveiligingssoftware en gebruik beveiligde verbindingen
Net zoals computers, kunnen ook mobiele apparaten virussen en malware binnenhalen. Verplicht daarom alle medewerkers om beveiligingssoftware, zoals antivirusscanners, te installeren om bedrijfsdata en het netwerk veilig te houden. Daarnaast is het aan te raden om beveiligde verbindingen, zoals VPN, te gebruiken voor het ontvangen en versturen van zakelijke data. - Wijs werknemers op de risico’s van inloggen op openbare wifi-netwerken
Vooral als werknemers werk e-mail of bestanden met bedrijfsgegevens openen op hun mobiele apparaat, is het beter om openbare wifi-netwerken te vermijden. Je weet nooit wie meekijkt. Als alternatief kunnen medewerkers een mobiel internet abonnement aangeboden krijgen. Is dit te kostbaar, of maakt het medewerkers minder flexibel, zorg dan in ieder geval voor beveiligingssoftware en laat medewerkers verbinding maken met het bedrijfsnetwerk via een VPN-verbinding. - Creëer een zwarte lijst van niet-toegestane apps of een witte lijst met toegestane apps
Veel apps hebben meer bevoegdheden dan je in eerste instantie zou denken. Zo kunnen apps bijvoorbeeld toegang krijgen tot de camera of microfoon van een smartphone. Ook kunnen zakelijke nummers en adressen worden gekopieerd. Stel een zwarte lijst op van apps die een risico vormen en leg uit aan medewerkers waarom deze apps niet zijn toegestaan. Een alternatief voor een zwarte lijst is een witte lijst. Op een witte lijst staat een overzicht van toegestane apps en sluit alle andere apps uit. - Zorg ervoor dat je de mogelijkheid hebt om op afstand zakelijke data van het toestel te verwijderen
Diefstal of verlies van een mobiel apparaat kan eenvoudig gebeuren. Zorg er daarom voor dat bedrijfsgegevens, zoals zakelijke bestanden, contactpersonen of e-mailaccounts, op afstand kunt wissen zodat deze niet in verkeerde handen komen. Maak hierover duidelijke afspraken met werknemers, want ook de privégegevens op het apparaat zullen dan verwijderd worden. Veel apparaten hebben ook een functie waarmee je kunt zien waar het apparaat zich bevindt; deze functie kunnen medewerkers zelf inschakelen.