Laat BYOD maar komen: onze beveiliging is slimmer dan ooit

Stuart Constable

25/07/2019

BYOD (Bring Your Own Device) is al bijna de norm geworden, zelfs in sterk gereguleerde omgevingen. Het is een must omdat het de flexibiliteit en productiviteit stimuleert en werknemers meer mogelijkheden geeft. Nu zakelijke mobiliteit cruciaal wordt om de concurrentie voor te blijven, kijken we naar de gevolgen die dit heeft voor de beveiliging, en naar de noodzakelijke cultuurverandering in een op mobiel gerichte wereld.

Mensen zijn heel behendig. Hoe meer regels je voorschrijft, hoe meer manieren ze vinden om die te omzeilen.

De opkomst van Bring Your Own Device (BYOD) is een klassiek voorbeeld. De manier waarop organisaties reageren op deze door werknemers gestimuleerde technische transformatie is een belangrijke les in effectief peoplemanagement.

BYOD brengt een bekend risicodilemma met zich mee: hoe verhoudt het beveiligingsrisico dat mensen lopen omdat ze persoonlijke apparaten voor hun werk gebruiken zich tot het materiële bedrijfsrisico van beperkte mobiliteit?

Mobiliteit lijkt zwaarder te wegen, met name omdat de zakelijke voordelen van een hogere productiviteit en een concurrentievoorsprong voor de hand liggen. Daarbij zijn de risico’s niet significant groter geworden, omdat het voorschrijven van beleidsregels voor ook de meest afgelegen en mobiele eindpunten mogelijk is gemaakt door nieuwe beveiligingstechnologieën.

Maar mensen zijn zo behendig. Zoals bij alle beveiligingsmaatregelen vormen de mensen een risico, niet de apparaten. Telefoons en laptops veroorzaken geen gegevenslekken, mensen wel.

Daarom is je bedrijfscultuur net zo belangrijk als de maatregelen die je neemt om cyberaanvallen te voorkomen en eventuele gevolgen ervan te beperken. Je kunt beveiligingsmaatregelen treffen op apparaten, maar onzorgvuldigheid is een mentaliteitsprobleem.

Kai Roer, mede-oprichter en CEO van onderzoeksbedrijf CLTRe, definieert beveiligingscultuur als “de gevoelens en overtuigingen van werknemers met betrekking tot beveiligingsprotocollen en -problemen”. Die cultuur moet behalve de technische maatregelen ook de houding van mensen ten opzichte van de organisatie en de werkplek in het algemeen omvatten. Waarom zouden werknemers moeite doen om een organisatie te beschermen die hun loyaliteit niet heeft verdiend?

Met BYOD kun je die loyaliteit opbouwen, omdat werknemers hierdoor meer zeggenschap over hun werk krijgen. Ze kunnen zelfstandig keuzes maken over welke apparaten ze gebruiken. Wanneer ze apparaten en apps hebben waar ze graag mee werken, zijn ze productiever. Ook zullen ze er eerder voor zorgen dat het apparaat veilig is en de werkplek meer waarderen.

Maar werknemers blijven mensen, enjuist daarom houden nieuwe benaderingen op het gebied van beveiligingstechnologie rekening met meer factoren dan ooit.

De visie van Lenovo op apparaatbeveiliging gaat bijvoorbeeld verder dan de uiteindelijke montage van hardware en beslaat elke stap van de toeleveringsketen. De zwarte handel in computeronderdelen leidt ertoe dat apparaten mogelijk worden geleverd met niet-merkgebonden onderdelen, die een mogelijke ingang voor hackers bieden. Door de toeleveringsketen van het begin tot het eind te beveiligen, elimineren we risico’s tijdens het productieproces.

Het risico dat persoonlijke apparaten opleveren wordt hierdoor niet verminderd, maar het toont wel aan hoe belangrijk een breder begrip van potentiële bedreigingen is voor een goede beveiligingsaanpak.

Een van de manieren waarop organisaties de risico’s van BYOD beperken, is door een COPE-beleid voor mobiele apparaten in te voeren: Corporately Owned, Personally Enabled. Werknemers mogen kiezen uit apparaten waarop bedrijfsservices volledig gescheiden worden uitgevoerd, zodat het persoonlijk gebruik van de apparaten geen risico vormt voor de onderneming. COPE geeft blijk van een bepaalde mate van wederzijds vertrouwen tussen de werkgever en de werknemer; dit zorgt voor een betere werknemerservaring en verlaagt het risico van BYOD.

Je oplossing voor mobiel beheer moet voor BYOD extra geavanceerd zijn, omdat deze ook gevolgen heeft voor de privéwereld van de gebruiker. Een scheiding tussen de bedrijfs- en de privéomgeving blijft noodzakelijk, zodat gebruikers ervan zijn verzekerd dat hun persoonlijke gegevens niet verloren gaan wanneer hun werkgever kampt met een beveiligingsinbreuk. Door deze scheiding kunnen bedrijven ook garanderen dat hun beveiligingsmaatregelen in overeenstemming met de wet zijn.

Al deze menselijke vertrouwens- en loyaliteitsfactoren kunnen in een concreet beveiligingsbeleid worden opgenomen. Hierdoor leidt beveiliging tot een betere gebruikerservaring in plaats van tot een productiviteitsobstakel. Die aanpak ligt ten grondslag aan ThinkShield van Lenovo. Daarbij wordt rekening gehouden met de volledige levenscyclus van het apparaat, van de ontwikkeling via de toeleveringsketen tot de veilige verwijdering ervan.

Deze gedachte vormt de basis van het ontwerp en de productie van de nieuwste ThinkBook-laptops, die zijn uitgerust met discrete Trusted Platform Module (dTPM)-versleuteling, een fysiek cameraklepje en een ingebouwde vingerafdruklezer in de aan-uitknop.

Het eeuwigdurende conflict tussen de IT-afdeling en kwaadwillende hackers verergert bij elke innovatie en door ontwikkelingen zoals het Internet of Things en kunstmatige intelligentie ontstaan nieuwe strijdtonelen. Maar als je je werknemers zowel gevoelsmatig als rationeel kunt overtuigen met een helder, mensvriendelijk beveiligingsbeleid, heb je de sterkst mogelijke beveiliging tegen elke aanval.

 

 

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.