Tips van de AIVD voor veilig gebruik van smartphones en tablets

Met de opkomst van Het Nieuwe Werken staan steeds meer werkgevers onder druk om medewerkers hun eigen smartphones en tablets te laten gebruiken. Op het eerste oog lijkt dit niet alleen aantrekkelijk voor medewerkers, maar ook voor werkgevers omdat hiermee kosten kunnen worden bespaard. Aan dit Bring Your Own Device kleven echter veiligheidsrisico’s. De AIVD heeft deze op een rij gezet in een rapport. Dat levert tips op die niet alleen interessant zijn voor ICT-ers, maar ook voor HR-professionals die willen meepraten over de mobiele devices die Het Nieuwe Werken stimuleren.

Met de opkomst van Het Nieuwe Werken staan steeds meer werkgevers onder druk om medewerkers hun eigen smartphones en tablets te laten gebruiken. Op het eerste oog lijkt dit niet alleen aantrekkelijk voor medewerkers, maar ook voor werkgevers omdat hiermee kosten kunnen worden bespaard.
Aan dit Bring Your Own Device kleven echter veiligheidsrisico’s. De AIVD heeft deze op een rij gezet in een rapport. Dat levert tips op die niet alleen interessant zijn voor ICT-ers, maar ook voor HR-professionals die willen meepraten over de mobiele devices die Het Nieuwe Werken stimuleren.

Voor veel werknemers zijn smartphones, tablets en sociale media niet meer uit hun leven weg te denken. Nu werk en privé steeds meer door elkaar lopen, willen zij hun werkmail, agenda en het intranet ook kunnen lezen op de mobiele apparaten die ze thuis gebruiken.
Maar de iPhones, iPads en al die andere devices zijn ontwikkeld voor de consumentenmarkt, waarbij het gebruiksgemak belangrijker is dan de beveiliging van de informatie.

Risico’s
De AIVD heeft gekeken naar de risico’s die dit oplevert:


  • Verlies of diefstal van smartphone of tablet: als informatie op het device wordt opgeslagen, kan gevoelige informatie makkelijk op straat komen

  • Verspreiden van vertrouwelijke informatie via back-ups: Door het maken van back-ups kan vertrouwelijke informatie elders terecht komen: op privé-computers waartoe niet alleen de werknemer toegang heeft of bij de leverancier van het apparaat

  • Beveiligingslekken van het apparaat of van de applicaties die worden gebruikt

  • Afluisterpraktijken en aanvallen op het systeem van de werkgever: de gegevensuitwisseling tussen het mobiele apparaat en en de computers van de organisatie kunnen worden afgeluisterd of gesaboteerd.

Ondanks de risico’s die de AIVD ziet, concludeert de dienst dat “de huidige generatie apparaten acceptabel beveiligd kan worden, zodat hierop gevoelige informatie kan worden verwerkt”. Al zorgt deze beveiliging “op dit moment nog voor minder gebruikersvriendelijkheid”.

Bring Your Own Device
Het meest gebruikersvriendelijke, maar met de meeste risico’s voor de werkgever, is volgens de AIVD Bring Your Own Device.
Bij dit BYOD kiest en koopt de werknemer zelf zijn smartphone of tablet die hij thuis en voor het werk wil gebruiken. Deze mobiele apparaten slaan bedrijfsinformatie op, maar zijn doorgaans minder goed beveiligd. Door verlies of diefstal van zo’n apparaat kan gevoelige informatie makkelijk in verkeerde handen komen.

Choose Your Own Device
Als het nodig is om informatie goed te beveiligen, kiest de AIVD liever voor een Choose Your Own Device-aanpak. De werknemer kiest zijn eigen smartphone of tablet binnen de kaders van de organisatie en gebruikt deze zowel zakelijk als privé.
Door op deze manier het aantal soorten apparaten te beperken, is het voor de werkgever makkelijker om deze te beveiligen. Als betrouwbare mogelijkheden hiervoor noemt de AIVD:


  • Een virtuele werkplek die draait op de server van het bedrijf. Deze manier van werken beperkt de hoeveelheid informatie die op het device wordt opgeslagen. Nadeel hiervan is overigens weer wel dat hiermee alleen kan worden gewerkt als de medewerker online is

  • Een beveiligde app die ervoor zorgt dat de informatie versleuteld wordt opgeslagen. Voordeel van deze oplossing is dat er geen permanente online verbinding met het kantoor nodig is.


Veiligheidsbewustwording van de werknemer
Het AIVD-rapport besteedt verreweg de meeste woorden aan de technische beveiliging van smartphones en tablets. Maar geeft wel aan dat er naast deze technische maatregelen ook aandacht nodig is voor de medewerker (richtlijnen voor en afspraken over toegestaan gebruik) en voor heldere procedures bij het in gebruik nemen en het afschrijven van het apparaat.
“De veiligheidsbewustwording van de werknemer van de risico’s en de eigen verantwoordelijkheid is van groot belang”, aldus de AIVD.

Het complete AIVD-rapport 'Bring Your Own Device' is interessant voor HR-professionals die zich willen bemoeien met het ICT-beleid van hun organisatie voor het zakelijk gebruik van smartphones en tablets.

Doorsturen:

Neem een abonnement en download meer dan 300 actuele HR-instrumenten

Wilt u als HR-professional ook niks meer missen op uw vakgebied?