Hoe zorg je ervoor dat bedrijfsdata veilig is, als werknemers onzorgvuldig omgaan met hun zakelijke devices en bijhorende software?
De generatie die nu de arbeidsmarkt betreedt, is opgegroeid in de digitale wereld. Het is dan ook niet vreemd dat zij anders met IT omgaan dan hun analoge voorgangers.
Millenials dwingen Bring Your Own Device (BOYD) onbewust af
Deze ‘millennials’ wachten niet tot ze door hun werkgever worden voorzien van de tools die nodig zijn om hun werk uit te voeren. Ze zijn zo vertrouwd met IT, dat ze het heft in eigen handen nemen. Ze zoeken en downloaden apps, installeren software, werken vanuit huis en nemen eigen devices mee naar hun werkplek. Werknemers proberen op deze manier hun werkleven gemakkelijker en productiever te maken en dwingen zo (onbewust) BYOD af. Hier gaat echter ook een groot risico mee gepaard.
Kans op datalekken en complexiteit door de GDPR
Millennials willen direct een oplossing voor een behoefte. Is een bepaalde functionaliteit niet beschikbaar bij de ene bron, dan downloaden ze het wel via een andere. Dit heeft invloed op de compliance van een organisatie; voldoet de organisatie nog wel aan de licentievoorwaarden van softwareleveranciers wanneer er individueel software wordt gedownload? Bovendien wordt er vaak geen rekening gehouden met de veiligheid van een alternatieve oplossing. Bedrijven die met verouderde of illegale software werken, lopen een groot risico besmet te worden met malware. Zodra werknemers besluiten om zelf (illegale) software te installeren, ligt de kans op een datalek dus om de hoek. Buiten het feit dat geen enkele organisatie te maken wil hebben met een datalek, maakt de invoering van de European General Data Protection Regulation (GDPR) de situatie nóg complexer. De richtlijn die in mei 2018 wordt ingevoerd, legt Europese organisaties namelijk strenge regels op omtrent de beveiliging en het beheer van persoonlijke gegevens, zowel van klanten als van werknemers. Wie niet aan deze regels voldoet, kan rekenen op hoge boetes.
Inzicht en beleid
Om bedrijfsdata veilig te stellen en er zeker van te zijn dat de organisatie compliant is, moeten bedrijven inzicht hebben in het gehele IT-landschap van de organisatie. Als je niet weet wat er aanwezig is binnen het IT-landschap, dan weet je ook niet wat er beschermd moet worden. Omdat de IT-afdeling door BYOD minder grip heeft op de software die aanwezig is binnen het bedrijf, is het steeds lastiger om goed inzicht te krijgen. Een Software Asset Management (SAM)-oplossing is hiervoor een goed hulpmiddel. Het biedt namelijk een uniform overzicht van alle software- en hardware assets, licentierechten en gebruiksgegevens van een organisatie. Daarnaast maken bedrijven een goede start met het invoeren van een BYOD-beleid. Onwetendheid bij werknemers is namelijk een belangrijke oorzaak voor het onzorgvuldig omgaan met mobiele devices. Door goede voorlichting en het opstellen van duidelijke richtlijnen, zullen werknemers bewuster omgaan met BYOD.
Organisatie moet medewerkers ondersteunen, niet beperken
Voor het succesvol invoeren van een BYOD-beleid is het belangrijk om te realiseren dat het niet gaat om de discussie ‘Wat moet ik verbieden?’. De organisatie moet medewerkers ondersteunen, niet beperken. Betrek gebruikers daarom bij het opstellen van het BYOD-beleid door hen te vragen hoe zij de mobiele apparaten gebruiken. De apparaten die door de werknemers worden gebruikt, zijn meestal consumentenapparaten. Sta open voor de gedachte dat zij deze devices niet alleen voor zakelijke doeleinden gebruiken, maar ook voor consument-achtige activiteiten. Houd hier rekening mee bij het opstellen van het beleid; de regels moeten zowel werknemers voorzien in hun behoeften, als compatibel zijn met het IT-beleid.
Peter Verwulgen is SAM Consultant bij Snow Software