BYOD – Bring Your Own device, het beleid waarbij medewerkers eigen telecommunicatie- en IT-materiaal gebruiken op het werk – is wereldwijd aan een opmars bezig. In de Westerse landen hebben gemiddeld 4 op de 10 bedrijven de BYOD-trend omarmd. In de groeilanden ligt dat percentage met 75% beduidend hoger. Een valkuil bij dergelijk beleid is dat de onderneming nalaat duidelijke spelregels op te stellen.

“BYOD is mooi in theorie, maar in de praktijk echter niet altijd even makkelijk”, klinkt het bij CTG, het ICT-dienstenbedrijf dat uit eerste hand vaststelt dat het beheer en de beveiliging van mobile devices bij bedrijven vaak nog te wensen overlaat. “Los van de diversiteit van apparaten, elk met hun mogelijkheden, dringt zich de vraag op welke spelregels er moeten gelden.”

CTG stelt dat een duidelijk strategieplan voor BYOD en MDM (Mobile Device Management) en een waterdichte Code of Conduct onontbeerlijk zijn voor organisaties waarin mobile devices van werknemers toegang hebben tot kritieke bedrijfsdata. “We merken maar al te vaak dat bedrijven de smartphones bij wijze van spreken dichttimmeren, terwijl de laptops zo lek zijn als een zeef”, vertelt Ann Vansichen, Pre-sales Consultant IT Service Management bij CTG. “We adviseren onze klanten dan ook duidelijke richtlijnen op te lijsten voor het gebruik en de beveiliging van hun mobiele apparaten en de volledige infrastructuur op elkaar af te stemmen. Tegenstrijdigheden zijn uit den boze.”

Do’s en don’ts voor BYOD en MDM

1. Een Code of Conduct op maat van verschillende afdelingen

De BYOD-regels voor specifieke doelgroepen binnen een bedrijf kunnen verschillen. “Verschillende functies hebben andere noden en behoeften”, aldus Vansichen. “Daarom stellen we bedrijven altijd voor om via een workshop de specifieke noden te bepalen. Zo willen field engineers bijvoorbeeld de mogelijkheid hebben om via een app met hun smartphones foto’s te nemen, op te laden en werkplannen door te sturen. Voor de boekhouding echter speelt dit niet. We raden bedrijven aan om in hun Code of Conduct verschillende hoofdstukken op te nemen voor de specifieke situaties.”

2. Encryptie voor alle mobiele apparaten

Bedrijven hechten veel belang aan de beveiliging van hun data, maar gaan soms te ver of net niet ver genoeg om die veiligheid te garanderen, klinkt het nog bij CTG. “Bedrijven vragen ons vaak om hun smartphones voor bedrijfsdoeleinden te encrypteren, maar dan blijkt achteraf dat ze dat helemaal niet doen voor hun laptops. Die discrepantie moet uiteraard vermeden worden. De regels voor beveiliging en beheer moeten consistent zijn voor alle apparaten.”

3. Attachments doorsturen via alle of geen mobiele apparaten

Ook voor het doorsturen van attachments, zoals business kritische rapporten, moeten bedrijven consequent zijn bij het opstellen van regels. “Het is belangrijk om de aanpak te laten afhangen van het soort informatie dat wordt uitgewisseld. Afhankelijk daarvan zal persoon A de info mogen mailen en persoon B niet, al dan niet afhankelijk van het soort device.”

4. Het waarom van het blacklisten van apps

De app is een product waarmee met veel zorg moet worden omgesprongen. “We horen vaak dat bedrijven apps op smart devices blacklisten. Begrijpelijk, want er is geen garantie op privacy wanneer een werknemer informatie deelt via een app zoals bijvoorbeeld Dropbox. Dit is echter niet algemeen gekend. Sommige mobiele applicaties houden een veiligheidsrisico in, want zij verzamelen zonder toestemming allerhande gevoelige informatie van op de smartphones en tablets waarop zij geïnstalleerd zijn. Apps schieten bovendien als paddenstoelen uit de grond. De blacklist en whitelist moeten met andere woorden regelmatig worden geüpdatet. Het is dan ook belangrijk dat de werkgever haar werknemers voldoende informeert over de gevaren van sommige apps voor professioneel gebruik.”

5. Leg de verantwoordelijkheid bij de gebruiker

Een bedrijf mag van haar werknemers verantwoordelijk gedrag verwachten. Denken we bijvoorbeeld aan de roaming instellingen van de smartphone. De werkgever zou ervoor kunnen opteren om roaming in het buitenland uit te schakelen of het wel degelijk als default te zetten, maar hij laat de medewerkers vrij om het zelf aan te zetten als ze het zouden nodig hebben en er de kosten van willen dragen. Als zij hun eigen technologie willen gebruiken, is dat zeker geen onredelijke eis. IT moet de infrastructuur leveren waarmee het informatieverkeer wordt beheerd en de technische basisregels opstellen waarin de toegang tot bedrijfsgegevens wordt geregeld. Het is weliswaar niet aan de IT-afdeling om medewerkers te controleren. Het kan een taak zijn voor HR om die verantwoordelijkheid bij de werknemers op te bouwen.

6. End of life management

Wanneer een mobiel toestel bijvoorbeeld wordt gestolen, is het wenselijk dat alle gegevens vanop afstand kunnen worden verwijderd. In een BYOD-situatie waarbij een werknemer het bedrijf verlaat en zijn apparaat behoudt, wil het bedrijf dat de bedrijfsinformatie niet langer ter beschikking is, maar aan de andere kant mogen persoonlijke data zoals vakantiefoto’s niet worden gewist. Hier spreekt het voor zich dat een selectieve wipe zal plaatsvinden.