BYOD: IT moet even dimmen

18-070-2012

Het fenomeen Bring-Your-Own-Device (BYOD) heeft een wespennest wakker geschud. Vooral IT-managers en CIO's reageren soms furieus op de ontwikkeling dat medewerkers hun eigen apparatuur gebruiken omdat ze deze apparaten niet kunnen controleren en het wellicht het einde van de IT-afdeling inluidt.

Sommige IT-beslissers counteren het BYOD-effect door strenge gebruiksregels op te stellen die niet zelden de privacy van personeel schenden. IT-managers geven aan dat het gebrek aan voorschriften voor BYOD leidt tot het in gevaar brengen van gevoelige bedrijfsdata.

En dan is er nog John Mensel, directeur beveiligingsdiensten bij Concept Technology, een IT-consultant voor het mkb. Hij zou het eigenlijk voor IT moeten opnemen in deze discussie, maar in plaats daarvan vraagt hij om kalmte.

Wij spraken met Mensel over BYOD-problemen en vroegen hem wat de ontwikkeling betekent voor de toekomst van IT.

Wat zijn de grootste bezwaren die u hebt bij BYOD en privacy?

Mensel: BYOD is in enkele jaren het bewustzijn van onze cliënten binnengeslopen. Het is echter pas iets van het laatste half jaar dat ik mensen hun zorgen erover hoor uiten. Ik heb het dan met name over de opkomst van smartphones en tablets.

Het grote verschil is het telefoonnummer. Mijn zakelijke en privetelefoonnummer zijn extreem belangrijk voor me. Mensen bellen me al tien jaar op mijn zakelijke nummer. Als dat nummer verandert, heb ik een groot probleem.

Een typisch voorbeeld is wanneer een salesvertegenwoordiger zijn eigen apparaat meeneemt. Potentiële klanten en reguliere klanten bellen hem op zijn persoonlijke nummer. Als deze persoon het bedrijf verlaat, vertrekt het telefoonnummer ook. Ik denk dat dit het grootste argument is om aan je belangrijkste personeel een apparaat te blijven leveren. Ik geloof niet dat je daarvoor uitzonderingen moet maken.

Er zijn workarounds beschikbaar, zoals Google Voice, waarmee je op je BYOD-smartphone twee verschillende telefoonnummers kunt hebben. Kan dit het probleem niet oplossen?

Mensel: Natuurlijk, als je de administratieve overhead die hierbij komt kijken erbij neemt. In alle gevallen waarbij dit een probleem van klanten was, hebben wij gezegd: "Geef de werknemer een apparaat dat jij kunt controleren en je bent van het gerotzooi af."

In een bedrijf waar BYOD al op grote schaal wordt toegepast, is het een ander verhaal. Zij zijn verblind geraakt door grote kostenbesparingen.

We raken het onderwerp van virtualisatie op smartphones en tablets aan. Met virtualisatie kun je verschillende omgevingen creëren voor persoonlijke en zakelijke apps en data. Denkt u dat dit de richting is waarin BYOD zich zal verplaatsen?

Mensel: Ik vind het een gaaf idee waarmee je een groot aantal problemen kunt oplossen. Maar zolang het niet werkt op iOS-apparaten, heb je er niets aan. Het hele punt van BYOD is dat mensen hun favoriete apparaat kunnen gebruiken. Dit is de werkelijke toegevoegde waarde van het fenomeen. In veel gevallen draait het daarbij om een iOS-apparaat. Zolang mobiele hypervisors niet met iOS werken, gaat er niets veranderen.

Er is wel een alternatief voor virtualisatie dat veel dezelfde voordelen biedt. Dit is wat wij doen: De klant heeft een applicatie waar we een hoop security omheen hebben gebouwd. Een aantal werknemers moet deze applicatie vanaf hun mobiel kunnen gebruiken. Wat wij dan doen is het gebruik van een SSL-beveiligde VPN aanbevelen om de software mobiel te benaderen.

Het is een goede oplossing. De gebruiker kan een remote desktop opvragen en de afschermde data benaderen. Het is gewoon het remote desktop protocol (RDP), dus het werkt ook prima op iOS-apparaten. Je kunt het implementeren met de technologie die 99,9 procent van de bedrijven al hebben. De meeste IT’ers hebben het al onder de knie. Het is goedkoop, snel en veilig.

Beveiliging blijft een hot topic als het gaat om BYOD. Ik hoor vaak het standaard antwoord van een remote wipe. Maar dit is niet echt securitymanagement, toch?

Mensel: Wij adviseren onze klanten hun werknemers te vertellen dat, als een apparaat verloren of gestolen wordt, hun apparaat op afstand gewist wordt. Ik weet dat dit een heikel onderwerp is waar vele juridische consequenties aan verbonden zijn.

Maar in onze branche zijn veel bedrijven niet in staat om grote investeringen te doen in zaken als Mobile Iron, waarbij je gedetailleerde controle over alles krijgt. Het leegveegbeleid biedt iedereen bescherming. Vergis je niet, je hebt een handrem nodig.

Dat gezegd hebbende denk ik dat je de spijker op de kop staat. Als je moet vertrouwen op een remote wipe om een serieuze securityovertreding te voorkomen, dan ben je in feite al verloren.

Bijna alle ernstige securityproblemen waarbij mobiele apparaten betrokken zijn, kunnen voorkomen worden door basale netwerkbeveiliging en databescherming. Je meest kritieke data, zoals creditcardnummers van klanten, moeten weggestopt worden achter een nieuwe laag van securityprotocollen.

Als je een mobiel device moet wissen omdat iemand in staat is geweest de database met klantgegevens via het ding te downloaden, dan is het probleem niet het mobiele apparaat geweest. Je securitypolicy klopt dan van geen kant.

Een ander probleem met een remote wipe van een mobiel BYOD-toestel is dat de werknemer ook persoonlijke data verliest, toch? Dat is waarom verloren of gestolen toestellen niet direct aan de IT-afdeling gemeld worden.

Mensel: Ik ben het daar niet noodzakelijkerwijs mee eens, althans niet met het onderdeel dat je niet zou willen dat je persoonlijke zaken gewist worden. We kunnen alle veertig persoonlijke mobiele devices van mijn ingenieursteam gerust in een vulkaan gooien. Ik denk niet dat we daarmee veel essentiële data weggooien.

Natuurlijk levert het vervelende situaties op. Je moet nieuwe telefoons kopen, nieuwe wachtwoorden instellen en opnieuw alles synchroniseren met een iTunes-bibliotheek. Maar smartphones en tablets staan je toe om data te benaderen en manipuleren van een afstand.

Als mensen hun persoonlijke data op een apparaat bewaren, en dit de enige plek is waar de data staan, dan gebruiken ze het apparaat niet op de juiste manier.

Ik heb vernomen dat sommige bedrijven BYOD-beleid hanteren waarbij werknemers wordt verboden iCloud te gebruiken.

Mensel: Als je draconische gebruikerspolicies wilt hanteren, moet het bedrijf de apparaten zelf bezitten. Ik denk niet dat het gepast is als een bedrijf zegt: “Je mag je eigen toestel gebruiken, maar het is je eigen verantwoordelijkheid en je mag er niets aan veranderen.”

Ik weet dat een hoop bedrijven dat wel doen en daar misbruik van maken, maar dit zal ze uiteindelijk niets opleveren.

Bedrijven willen de hele cake hebben en die zelf opeten. Ze willen alle voordelen van BYOD benutten, zoals het niet langer hoeven investeren in IT voor werknemers en ze willen het controleren in een stalen dwangbuis. Sorry, maar zo werkt het niet. Als je totale controle wilt, moet je zelf het apparaat leveren.

Er is veel te doen over mobiele security bij BYOD, toch heb ik nog geen horrorverhalen gelezen. Word deze ‘bedreiging’ overdreven?

Mensel: Ik kan mijn security-minded broeders de hand schudden. Ja, het wordt veel te sterk opgeblazen.

We kennen dit probleem al jaren en het is nog erger met laptops. Ik kan bijna geen betere methode voor het stelen van data of het injecteren van virussen in een bedrijfsnetwerk verzinnen dan verbinding maken via een VPN op een laptop. Een laptop is een veel flexibeler tool voor het toebrengen van schade dan een tablet of smartphone ooit zullen zijn.

Het klinkt alsof mobiele security door IT wordt overdreven. Waarom maken ze zich toch zoveel zorgen?

Mensel: Ik hoor mensen blijven vragen: “Leidt de consumerisatie tot het einde van de IT-afdeling zoals we die nu kennen?”

Een vriend van me die eerder de cloud van Rackspace beheerde, vertelde me onder het genot van een biertje dat mensen zoals ik binnen drie jaar overbodig worden. Alles gaat in de cloud gebeuren.

Ja, we gaan niet langer dagelijks bezig gehouden worden met het van bureau-tot-bureau support leveren. Maar onze oude bezigheden veranderen in nieuwe bezigheden die te maken hebben met het leveren van interfaces waar mensen hun apparaten op kunnen aansluiten. Wij gaan dat faciliteren.

In het traditionele model kent een desktop een stel geïnstalleerde applicaties – die allemaal door IT beheerd worden. Dit is een sterk gecontroleerde omgeving.

Nu gaan we naar een verconsumenteerde omgeving waar de gebruiker de interface in handen heeft. Op dit punt levert IT de datafeeds en interfaces. De grote meerderheid van applicaties die mijn team afgelopen jaren heeft geïmplementeerd waren geen Exchange of SQL-servers maar webapplicaties.

De rol van IT verplaatst zich van de ondersteuning van desktopapplicaties naar het leveren van interfaces. Daarbij maakt het niet uit of ze webgebaseerd zijn, Java-applicaties, Flash-applicaties of wat je ook maar in een appstore kunt krijgen.

ComputerWorld  Ton Kaneshige

Index