De trein van it-consumerization (coit) is vertrokken en niets lijkt hem te kunnen stoppen. En zo te zien komt er aan coit inderdaad niet direct een einde.

Het gebruik van mobiele toestellen zoals smartphones en tablets en van cloudservices zou de professionele gebruikers alleen maar voldoening schenken. Het gaat dan over een grotere flexibiliteit, mobiliteit, onafhankelijkheid enz. Want wat is het toch leuk om zijn eigen materiaal te kunnen kiezen dat als hipper en performanter wordt beschouwd dan het materiaal dat de werkgever ter beschikking stelt en waarmee men zowel zijn professionele als zijn privéwensen kan vervullen. Een zweem van ‘flower power’ uit San Francisco is nooit ver weg…

Het is echter niet bewezen dat dit voor de bedrijfswereld een kostenbesparing inhoudt. Sterker nog, in het licht van de beveiligingsinvesteringen die nodig zijn bij deze byod-storm, zijn besparingen zelfs twijfelachtig te noemen. Inderdaad, it-beveiligingsexperts vergallen het feestje een beetje door vervelende vragen te stellen. Het ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) heeft wat dat betreft een duidelijk standpunt ingenomen door de bedrijven aan te sporen om “neen” te zeggen tegen byod. Algemeen directeur Patrick Pailloux stelt het zo: “We moeten weerstand bieden aan de totale vrijheid in het gebruik van informatietechnologie. Veiligheid is ook de moed hebben om “neen” te zeggen.”

Anderen staan dan weer vrij sceptisch, ja zelfs vijandig tegenover dit radicale standpunt. Maar in het licht van de byod-stortvloed, die het ANSSI blijkbaar niet kan stoppen, heeft het agentschap toch een technische nota uitgewerkt met aanbevelingen voor de beveiliging van smartphones (2). In die nota wordt uitgelegd welke de risico’s zijn en hoe die te voorkomen.

Het ENISA (European Network and Information Security Agency) heeft eveneens twee rapporten over dit onderwerp gepubliceerd: “consumerization of it: top risks and opportunities” (3) en “consumerization of it: final report on risk mitigation strategies and good practices”. Dit laatste document bevat een hele reeks aanbevelingen om een beveiligingsstrategie te implementeren om byod-risico’s op te vangen. Verder zijn er tal van referenties in opgenomen die verwijzen naar weer andere relevante documenten.

Uiteraard is er pas sprake van een risico als mobiele toestellen te maken krijgen met kritieke bedrijfstoepassingen en gevoelige informatie gaan transfereren. Is dat het geval in uw organisatie, dan hebt u zich wellicht al volgende vragen gesteld: welke versies van besturingssysteem in smartphones zijn toegelaten (tal van besturingssystemen vertonen immers grote veiligheidslacunes). Laat u apparaten toe die een ‘jail break’ hebben ondergaan? Hoe controleert u of kritieke updates werden geïnstalleerd? Hoe gaat u na of smartphones geen schadelijke apps bevatten die door hun gebruikers werden gedownload? Hoe bent u zeker van de identificatie en de authentificatie van gebruikers en mobiele toestellen die toegang willen hebben tot een beveiligd bedrijfsnetwerk? Zijn de gegevens die worden uitgewisseld tussen bedrijfsservers en smartphones versleuteld? Zijn de gegevens die in de smartphones worden opgeslagen versleuteld? Maakt u gebruik van dlp-software (data loss protection) waarmee gegevensverlies wordt tegengegaan? Welke procedures hanteert u bij diefstal of verlies van smartphones, bij herstelling ervan in geval van defect, bij vertrek van een medewerker en bij het definitief uit dienst nemen van het apparaat? Bent u in staat gegevens te wissen (ook van op afstand), mocht de situatie dat vereisen? Wat met de privégegevens van een gebruiker? Hoe kunt u vermijden dat een gebruiker verbinding maakt met niet-beveiligde netwerken, bijvoorbeeld via wifi? Controleert u of de geolocalisatie van de smartphone is uitgezet? Zijn de smartphones uitgerust met bijgewerkte versies van antivirussoftware? Beschikt u over een softwaresuite van het type mobile device management? Hebt u voor uw medewerkers een beleid uitgewerkt op het vlak van beveiliging? Welke zijn de regels die moeten worden toegepast om persoonlijke gegevens te beschermen? Op welke manier maakt u een scheiding tussen bedrijfsgegevens en privégegevens?

Dit zijn maar enkele voorbeelden van de talrijke thema’s die besproken moeten worden in het kader van een beveiligingsbeleid inzake byod. Dat beleid stoelt op verschillende pijlers: een algemeen beveiligingsbeleid met o.a. een risicoanalyse; het juridisch kader met een reglementering; het personeelsbeleid; het technisch beleid met het beheer van hardware en software, gebruikers en gegevens.

Van een ongebreidelde en anarchistische vrijheid van de kant van gebruikers tot een weloverwogen beveiliging, is er dus een lange weg af te leggen. Hoe zei Confucius het ook al weer? “Ervaring is een lantaarn die op onze rug is vastgebonden en slechts de weg verlicht die we al hebben afgelegd.”

– www.ssi.gouv.fr

– www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-des-solutions-de-mobilite/recommandations-de-securite-relatives-aux-ordiphones.html

– www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/consumerization-of-it-top-risks-and-opportunities

– www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/COIT_Mitigation_Strategies_Final_ Report

VEILIGHEID, DAT IS OOK DE MOED HEBBEN OM NEEN TE ZEGGEN.