Slechts 9% van de werkgevers weet hoe de beveiliging van privé apparatuur dat op kantoor wordt gebruikt, is geregeld. Maar een kwart van de werkgevers heeft hierover afspraken gemaakt. Maar wat als een werknemer zijn (onbeveiligde) smartphone verliest waar hij net een business plan op heeft gelezen? Slechts een derde van de werkgevers vindt diefstal of verlies van een onbeveiligd apparaat een groot bedrijfsrisico. Dit blijkt uit onderzoek van Panteia in opdracht van Digibewust onder 300 MKB werkgevers en 507 werknemers.
Naïef
“Het verlies van een onbeveiligde privé laptop of smartphone vol met vertrouwelijk bedrijfsinformatie komt vaker voor dan je denkt. En wat te denken van kinderen die spelletjes op de telefoon of laptop spelen, voor je het weet hebben al je klanten een verzoek om buren te worden in FarmVille. Juist bij het BYOD-principe is het van belang dat werkgevers en werknemers samen afspraken maken. Want zakelijk gebruik van privé apparaten neemt de komende jaren alleen maar toe.”, aldus Marjolijn Bonthuis van Digibewust.
Privé of niet?
Een lastig maar steeds belangrijker wordend aspect is privacy. Belangrijk is dat werkgevers en werknemers duidelijk weten wat wel en niet gecontroleerd mag worden. Werkgevers denken in de meeste gevallen te weten hoe het zit, in de praktijk blijkt dit toch anders te zijn. Zo denkt 60% van de werkgevers dat back-ups maken van alle bestanden (zowel zakelijk als privé) vanaf een zakelijk toestel van een werknemer mag, terwijl dit niet is toegestaan. En 51% denkt dat back-ups maken van alle zakelijke bestanden die op het privé- toestel van de werknemer staan niet mag, terwijl dit juist wel is toegestaan.
Duidelijk beleid voorkomt veel ellende
Zakelijk en privégebruik van eigen apparatuur heeft voordelen zoals het vergroten van de productiviteit, tevreden werknemers en dalende hardware kosten maar brengt dus ook risico’s met zich mee zoals beveiligingsproblemen, verantwoordelijkheid in geval van diefstal (en daarmee verlies van data) en gevoelige privacy issues. Duidelijke afspraken verkleinen dit soort risico’s. Ook afspraken over welke apparaten zijn toegestaan en hoe ze mogen worden gebruikt, zijn aan te raden, aangevuld met mogelijke sancties bij misbruik van deze regels. Om werkgevers in het MKB te helpen bij het formuleren van zo’n BYOD beleid, heeft Digibewust een BYOD policy format ontwikkeld dat bedrijven kunnen gebruiken voor hun eigen organisatie.
Naar aanleiding van het onderzoek is op www.digibewust.nl een overzicht van de 10 belangrijkste tips voor mkb-ondernemers geformuleerd:
1. Inventariseer het gebruik van persoonlijke toestellen in uw organisatie;
Wees op de hoogte van het gebruik van persoonlijke toestellen binnen uw organisatie. Hiermee voorkomt u verrassingen. Inventariseer welke toestellen worden meegebracht, hoe ze beveiligd zijn en waarvoor ze gebruikt worden.
2. Stel een BYOD-beleid op;
Maak duidelijk aan uw medewerkers wat wel en niet mag Een duidelijk BYOD-beleid voorkomt problemen en schept vertrouwen en veiligheid. Zaken die in een BYOD-beleid moeten voorkomen zijn bijvoorbeeld afspraken over het gebruik van het toestel, de beveiliging, de privacy van de medewerker, aansprakelijkheid en toegestane modellen en support. Handhaaf dit beleid! Een beleid heeft geen nut als het niet wordt gehandhaafd. Controleer daarom het gebruik van het toestel, en neem maatregelen waar medewerkers zich niet aan de regels houden.
3. Licht uw medewerkers voor over de voordelen en risico’s van BYOD;
Het gebruik van een persoonlijk apparaat voor zakelijke doeleinden kan veel voordelen hebben voor werknemers. Zij kunnen efficienter werken met vertrouwde software, waardoor hun productiviteit toeneemt. Uw medewerkers zijn zich echter waarschijnlijk niet bewust van alle veiligheidsrisico’s die zij lopen en hoe deze risico’s het bedrijf kunnen raken. Licht daarom uw medewerkers voor over de belangrijkste veiligheidsrisico’s. Denk hierbij aan de risico’s van apps die privé- en bedrijfsgegevens doorsturen, het afvangen van gegevens van het toestel via publieke netwerken en het gebruik van de camera, microfoon en GPS.
4. Laat werknemers een wachtwoord instellen op hun toestel;
Wanneer zakelijke data op een persoonlijk toestel wordt geopend, wilt u niet dat dit toestel zomaar door iedereen ingezien wordt. Zorg daarom dat uw medewerkers het toestel minimaal beveiligen met een wachtwoord of pincode.
5. Verplicht beveiligingssoftware en gebruik beveiligde verbindingen;
Net zoals computers, kunnen ook mobiele apparaten virussen en malware binnenhalen. Verplicht daarom medewerkers om beveiligingssoftware zoals anti-virusscanners te installeren om uw data en netwerk veilig te houden. Daarnaast is het aan te raden om beveiligde (encrypted) verbindingen, zoals VPN, te gebruiken voor het ontvangen en versturen van zakelijke data.
6. Zet een apart netwerk op voor mobiele apparaten;
Denk goed na over hoe u uw beveiliging intern inricht. Is het bijvoorbeeld nodig dat met het mobiele apparaat toegang verkregen wordt tot alle bedrijfsnetwerken? U kunt bijvoorbeeld een apart draadloos netwerk voor BYOD apparaten instellen. Hiermee voorkomt u dat malware, virussen of andere zaken die meeliften op mobiele apparaten van uw medewerkers toegang krijgen tot bedrijfskritische systemen.
7. Wijs werknemers op de risico’s van inloggen op openbare wifi-netwerken;
Vooral als werknemers werk e-mail of bestanden met zakelijke gegevens openen op hun toestel, is het beter om openbare wifi-netwerken te vermijden. Je weet nooit wie meekijkt! Als alternatief kunt u medewerkers een snel mobiel internet abonnement aanbieden. Is dit te kostbaar, of maakt het uw medewerkers minder flexibel, zorg dan in ieder geval voor goede beveiligingssoftware en laat medewerkers verbinding maken met uw netwerk via een VPN-verbinding.
8. Creëer een zwarte lijst van niet-toegestane apps, of een witte lijst met toegestane apps;
Een groot deel van de applicaties hebben meer bevoegdheden dan men in eerste instantie zou denken. Zo kunnen applicaties bijvoorbeeld toegang krijgen tot de camera of de microfoon van een smartphone. Ook kunnen zakelijke nummers en adressen worden gekopieerd. Stel een zwarte lijst op van apps die een risico zouden kunnen vormen voor de bedrijfsvoering en leg uit aan uw medewerkers waarom deze applicaties niet toegestaan zijn. Een alternatief voor een zwarte lijst is een witte lijst. Een witte lijst bevat een overzicht van toegestane applicaties en sluit alle andere apps uit.
9. Zorg ervoor dat u de mogelijkheid hebt om op afstand zakelijke data van het toestel te verwijderen;
Diefstal of verlies van een toestel kan voorkomen. Zorg er daarom voor dat u zakelijke gegevens zoals contactpersonen of zakelijke bestanden op afstand kunt wissen, zodat deze niet in verkeerde handen komen. Veel toestellen hebben tegenwoordig een functie waarmee u kunt zien waar het toestel zich bevindt, deze kan de medewerker zelf inschakelen.
10. Zorg voor een incident response plan.
Mocht het misgaan, zorg dan dat u een duidelijk plan heeft om te reageren op het incident (incident response plan). Hiermee beperkt u de negatieve gevolgen. Stel bijvoorbeeld duidelijke procedures vast hoe te reageren op het verlies van een apparaat, datalekken of andere beveiligingsinbreuken.
Alert Online week
Het onderzoek is gedaan in het kader van de campagne Alert Online, een campagne van en voor partners uit het bedrijfsleven en de publieke sector. De website www.alertonline.nl brengt acties, initiatieven en projecten onder de aandacht van organisaties die samen de oproep doen om veilig en bewust te internetten. De campagne Alert Online loopt van 28 oktober tot en met 5 november en is onderdeel van de eerste Europese cyber security maand.