Op de werkvloer zien we een groeiend gebruik van mobile devices zoals smartphones en tablets. Handig, want hierdoor hebben we een plaats onafhankelijk toegang gekregen tot de data die we nodig hebben om ons werk te doen. Aanbieders zoals Microsoft en Google voorzien ons daarbij van onder andere diverse handige cloud tools, zoals dataopslag mogelijkheden.

Smartphones: gewone computers die “toevallig” ook nog kunnen bellen.

Naast de voordelen bieden deze ontwikkelingen ook nadelen. Veel mensen menen dat smartphones en tablets “veilige” apparaten zijn. Er zouden geen virussen voor bestaan en weinig misbruik van worden gemaakt. Inmiddels is dit echter een achterhaalde visie. Toen telefoons nog telefoons waren, was het risico inderdaad niet zo groot, maar nu telefoons zakcomputers zijn waarmee we bankzaken kunnen regelen en met de overheid kunnen communiceren, zou men beter moeten weten. Smartphones zijn gewone computers die “toevallig” ook nog kunnen bellen.

Gebruikers en organisaties lopen niet met hun hoofd in de wolken...

Steeds meer gebruikers lijken daarbij de weg kwijt te raken daar waar het gaat om de opslag van data. Daar waar voorheen de beheerder toegang regelde, kunnen gebruikers dit nu zelf met behulp van de cloud oplossingen zoals OneDrive. Ze delen hiermee hun data met derden, maar vergeten dat soms weer uit te schakelen wanneer het niet meer nodig is, of niet meer gewenst. Ook organisaties kampen hierdoor steeds meer met vraagstukken zoals “wat staat waar?”, “wie kan waar bij?”, “Wat gebeurt er als…?”.

Onderscheid persoonlijke en zakelijke data

Belangrijk bij deze vraagstukken is dat men begint een duidelijke scheiding te maken tussen de persoonlijke en zakelijke data van gebruikers. Het gebruik van OneDrive die men gratis kan gebruiken voor persoonlijke doeleinden en die gekoppeld is aan het persoonlijke account, mag niet verward worden met OneDrive for Business. Deze oplossing behoort bij het Office 365 account dat de organisatie voor haar werknemers afneemt en waar beheerders toegang toe kunnen krijgen, mocht dat nodig is. Daarnaast kunnen deze beheerders in dergelijke omgevingen technisch bepaalde policies afdwingen, de gebruiker toegang ontzeggen, etc.. Allemaal zaken die binnen de persoonlijke OneDrive niet mogelijk zijn voor de beheerder.

Toch is de scheiding tussen het persoonlijke en zakelijke gebruik vaak niet zo eenvoudig als het misschien lijkt. Smartphones en tablets zijn bijvoorbeeld vaak van de medewerker zelf, maar worden wel op kantoor gebruikt voor zakelijke doeleinden. Handig voor de medewerker en de ondernemer hoeft het niet te betalen. Maar door deze “Bring Your Own Device” (BYOD) praktijk hebben organisaties weinig tot geen invloed op het beheer van dergelijke apparaten en verwachten gebruikers natuurlijk dat ze daarop in ieder geval hun persoonlijke zaken kunnen regelen. Extra beveiligingsmaatregelen vanuit de organisatie op dergelijke devices wordt niet gewaardeerd, maar dat levert vanzelfsprekend wel een risico op.

In het MKB komt men wel tegen dat mensen werken op pc’s die, gebruik makend van bijvoorbeeld de Home versie van Windows, en daarop inloggen met hun persoonlijke account. Ze zijn dan ook vaak administrator op hun eigen PC. De Home versie van Windows is prijstechnisch voor het MKB interessant en wordt daarom niet zelden standaard geleverd op nieuwe PC’s zoals die te koop zijn bij de goedkopere elektronicawinkels, zoals de Mediamarkt.

Voor het vergroten van de veiligheid en beheersbaarheid is dit echter niet de meest ideale keuze. De Home versie is een consumentenproduct. Het biedt niet de mogelijkheid om de machine binnen het domein van de organisatie te hangen. Met de Professional versie kan dat wel en daarmee kan een beheerder middels het group policy management bepalen welke rechten een gebruiker op het organisatiedomein heeft en daarmee kan het geheel beheersbaarder en veiliger worden gemaakt. Ook andere features van de wat hogere versies, zoals Bitlocker, kunnen helpen de veiligheid te vergroten, zeker op laptops. Om over de mogelijkheid van Assigned Access maar te zwijgen, waarmee een pc of Windows tablet in kioskmodus kan komen te draaien zodat er maar één applicatie kan worden geopend.

Smartphones en malafide apps

Om terug te komen op smartphones en hun vermeende veiligheid: de grootste dreiging voor de gegevens op dergelijke apparaten is momenteel niet zo zeer een virus. We beseffen ons vaak te weinig dat een smartphone wordt gebruikt om betalingen mee te doen en met de overheid te communiceren. Met malafide apps kunnen dergelijke persoonlijke gegevens van een smartphone worden doorgestuurd naar kwaadwillenden of ze kunnen de smartphone onderdeel maken van een 'botnet', die anderen in de problemen brengt.

Het risico hiertoe neemt toe wanneer gebruikers apps op hun smartphone installeren die buiten bijvoorbeeld de Google Play Store worden verkregen. Dat moet dus voorkomen worden. Verder is het raadzaam om antivirus software te installeren. Dit bestaat ook voor smartphones. Binnen organisaties is het mogelijk dat de beheerder een app op de bedrijfstelefoons installeert waarmee hij remote een aantal zaken kan bepalen, zoals het wel of niet kunnen installeren van apps, het veranderen van de inlogcode, remote wissen van data, etc.. Niet iedere smartphone biedt daarvoor overigens dezelfde mogelijkheden. Een Apple iPhone laat bijvoorbeeld minder toe dan een Android smartphone op dit gebied.

Wat voor een smartphone geldt, geldt vanzelfsprekend ook voor tablets. Ook op tablets raadplegen medewerkers vertrouwelijke bedrijfsdata, kunnen zij bankzaken regelen en met de overheid communiceren. Een malafide app kan hier dus ook de bron zijn van ernstige gevolgen.

Veiligheid Apple en Android

Soms hoort men wel dat gekozen is voor een iPhone en iPad omdat deze devices veiliger zouden zijn dan bijvoorbeeld android devices. Hier zit een kern van waarheid in. Apple controleert alle apps en updates namelijk heel uitgebreid voordat deze via de App Store aangeboden worden. Voor Android devices wordt dit minder strikt gedaan. Maar als een gebruiker er voor kiest om zijn iPhone te 'jailbreaken', (de monopolistische relatie met de App Store wordt dan weggehaald) kunnen gebruikers ook apps installeren die niet uit de App Store komen (dat is ook de bedoeling natuurlijk) en vormen daarmee een risico voor een organisatie en zichzelf.

Grens tussen privé en werk wordt dunner

Het is een goede ontwikkeling dat mensen gemakkelijk met elkaar in contact kunnen komen, en tegelijkertijd relevante en correcte data kunnen raadplegen. De grenzen tussen werk en privé lossen steeds meer op. Smartphones, tablets en andere mobiele devices spelen daar een cruciale rol bij. We moeten ons echter wel bewust zijn van de keerzijde van deze ontwikkelingen. Want hoe veilig is dit en hoe veilig willen we dit hebben? Daar gepast aandacht aan schenken is een voorwaarde voor een goed ICT beleid.