Top 10 regels voor een adequaat BYOD beleid

Hoe bedrijfsgegevens en privacy te beschermen op persoonlijke apparaten die voor het werk worden gebruikt.

Heb je een BYOD-programma en hoe veilig is dit?

De snelle verspreiding van mobiele apparaten die op de werkplek worden gebruikt, zijn niet meer weg te denken binnen organisaties. Mobiele apparaten en hun toepassingen (apps) hebben de manier waarop we leven veranderd. Hoe we communiceren, reizen, winkelen, werken en nog veel meer. Deze mobiliteitstransformatie is zo revolutionair geweest dat het moeilijk is om je een leven zonder deze apparaten voor te stellen.

Met BYOD kunnen gebruikers altijd en overal werken. En ze zullen bijvoorkeur de apparaten gebruiken waarvoor ze zelf betaald hebben. Hun privé device dus.

Adequaat BYOD beleid

Dit roept de onvermijdelijke vraag op: hoe gaat jij aan deze vraag voldoen? Zodat gebruikers productief kunnen zijn met e-mail, apps en inhoud. Binnen een veilige omgeving, die bedrijfsgegevens beschermt!

Volg de “Tien regels voor het meenemen van jouw eigen apparaat” om een rustige, beschermde en productieve mobiele omgeving te creëren.

Wist je overigens…

Enterprise Mobility Management (EMM) breidt uit op beheer van mobiele apparaten (MDM) om app-, content- en onkostenbeheermogelijkheden te bieden.

Unified Endpoint Management (UEM) ondersteunt verder aanvullende typen apparaten, gebruikers en alles daartussenin, inclusief dreigings- en identiteitsbeheer.

Regel1: Maak een proactief adequaat BYOD beleid

Compliance, privacy, beveiliging, goedgekeurde apps en meer moeten zo duidelijk mogelijk worden vermeld in de Acceptable Use Agreement (AUA) of End User License Agreement (EULA). Het moet in duidelijke taal zijn die iedereen kan begrijpen. Aangezien werknemers er ook een moeten ondertekenen voordat ze een apparaat gaan gebruiken. Als een apparaat zoekraakt of wordt gestolen, kunnen de emoties hoog oplopen, dus zorg ervoor dat procedures en acties duidelijk zijn.

In het verleden hebben IT-teams de aanschaf en activering van hardware goed onder de knie gehad. Bijvoorbeeld door nauwkeurig te controleren hoe een apparaat is geconfigureerd. Waar en wanneer het is gebruikt en welke software is geïnstalleerd. Maar in dit BYOD tijdperk moet het beleid worden gedocumenteerd en afdwingbaar zijn. Via een Unified Endpoint Management oplossing kan IT op afstand, geautomatiseerde autoriteit geven zodra een medewerker een nieuwe telefoon, tablet of laptop opstart.

Aangezien er niet één BYOD beleid van de juiste grootte is, volgen hier enkele vragen waarmee je rekening dient te houden bij het ontwikkelen van een eigen adequaat BYOD beleid:

  • Apparaten: welke typen apparaten worden ondersteund? Smartphones, tablets, laptops, wearables? Alleen bepaalde devices, of wat de medewerker wil?

  • Compliance: aan welke regelgeving moet jouw organisatie voldoen? De Health Insurance Portability and Accountability Act (HIPAA), de Health Information Technology for Economic and Clinical Health (HITECH) Act, de Financial Industry Regulatory Authority (FINRA) en de General Data Protection Regulation (GDPR) van de Europese Unie zijn wellicht interessant om te overwegen. Zorg ervoor dat je onderzoek doet naar degene die relevant zijn voor jouw branche of geografie, en begrijp hoe ze aansluiten bij jouw mobiele strategie.

  • Beveiliging: welke beveiligingsmaatregelen zijn nodig? SSO, toegangscode en/of multi-factor authenticatie? Encryptie? Insluiting? Jailbreak/root-detectie? Anti-malware? Voorwaardelijke toegang? Dit zijn er een paar, maar er zijn er veel om te overwegen.

  • Apps: ga je een white list maken voor goedgekeurde apps? Of een black list voor degenen die verboden zijn?

  • Apps leveren: Hoe gaat je apps leveren op de verschillende apparaten in jouw omgeving (bijv. smartphones, tablets en laptops) met behoud van een consistente gebruikerservaring?

  • Overeenkomsten: is er een acceptabele gebruiksovereenkomst (AUA) voor apparaten van werknemers die toegang hebben tot bedrijfsgegevens?

  • Bedrijfstoegang: tot welke bedrijfsbronnen moeten jouw werknemers via mobiel toegang hebben? E-mail, agenda en contacten? Bestandsshares en document repository’s? Intranetsites? Wifi-netwerken? Virtuele particuliere netwerken?

  • Gebruikersprivacy: je moet de privacy van jouw gebruikers beschermen. Welke persoonlijke gegevens worden verzameld van de apparaten van werknemers? Welke persoonsgegevens worden nooit verzameld? Hoe communiceer je dit naar de organisatie?

  • Data-abonnementen: betaalt de organisatie voor het data-abonnement? Geef je een stipendium of gaat de werknemer declaraties indienen?

Geen vragen zijn uitgesloten als het gaat om een adequaat BYOD beleid. Er moet een openhartige en eerlijke dialoog zijn over hoe apparaten zullen worden gebruikt en hoe IT realistisch aan de verwachtingen kan voldoen en tegelijkertijd bedrijfsgegevens kan beschermen

Regel2: Zoek de apparaten die toegang hebben tot bedrijfsbronnen

Voor het gemak zullen werknemers meerdere persoonlijke apparaten verbinden met bedrijfsbronnen, maar ze kunnen ‘vergeten’ het je te vertellen. De pool van eindpunten wordt nog dieper met de komst van budgetvriendelijke Chrome OS- en Windows 10-apparaten. Om deze wildgroei aan werknemersapparaten te evenaren, moet een organisatie tools hebben die continu controleren op bestaande accounts die verbinding maken vanuit nieuwe bronnen. Zodra een verbinding is gedetecteerd, kan het beheer op het apparaat worden toegepast of kan het account volledig worden geblokkeerd.

Hiervoor heb je een tool nodig die continu kan communiceren met je e-mailomgeving en alle apparaten detecteert die op je bedrijfsnetwerk zijn aangesloten. Onthoud dat zodra Microsoft ActiveSync is ingeschakeld voor een mailbox, er meestal geen belemmeringen zijn om meerdere apparaten te synchroniseren zonder medeweten van IT. Alle mobiele apparaten prive en zakelijk moeten worden opgenomen in jouw mobiele beheeromgeving en hun eigenaren moeten op de hoogte worden gesteld dat er een nieuw beveiligingsbeleid in werking treedt.

Regel3: Maak uitrollen eenvoudig

Een bevredigende gebruikerservaring en een schone gebruikersinterface zijn nu verwachtingen, geen luxe. Zonder goede gebruikerservaring of werknemerservaring, zullen gebruikers gemakkelijker oplossingen vinden om toegang te krijgen tot bronnen, wat ten koste gaat van de productiviteit en veiligheid. Mogelijkheden zoals Google Android Enterprise Zero-touch-inschrijving en het Apple Device Enrollment Program (DEP) maken het doodeenvoudig. De gebruiker moet zichzelf kunnen inschrijven en IT-teams moeten apparaten in bulk kunnen inschrijven op basis van bedrijfsregels (zoals de tijd van de dag en geografische locatie) en configuraties (OS-versies, beschikbaar geheugen).

Alle nieuwe apparaten die toegang proberen te krijgen tot bedrijfsbronnen, moeten in quarantaine worden geplaatst. Dit biedt IT de flexibiliteit om een juiste inschrijvingsworkflow te blokkeren of te starten indien goedgekeurd, wat helpt om naleving van het bedrijfsbeleid te garanderen. Zie jouw BYOD-programma als een huwelijkse voorwaarden die een harmonieuze unie tussen gebruikers en IT-beleid ondersteunt. Eenvoudige maar gedetailleerde instructies zouden gebruikers moeten helpen zich in te schrijven voor een adequaat BYOD beleid.

Regel4: Configureer apparaten over-the-air

Over-the-air, of OTA, is een van die magische kenmerken die inherent zijn aan mobiele technologie van vandaag de dag. Het is essentieel om te voorkomen dat werknemers updates uitstellen, omdat ze niet bij de helpdesk kunnen komen of hun apparaat niet kunnen missen. Zodra de uitrol is geslaagd, wordt OTA-levering van alle profielen, inloggegevens en instellingen die de werknemer nodig heeft gerealiseerd, inclusief:

  • E-mail, contacten en agenda

  • VPN- en wifi-profielen

  • Bedrijfsinhoud

  • Interne en openbare apps

  • Beveiligingsbeleid (bijv. container)

Kijk mee wat ze gebruiken en doen

Het vinden van een tool met ingebouwde mogelijkheden voor ondersteuning op afstand kan extra tijd en moeite besparen onderweg, wanneer dat nodig is om problemen op te lossen voor gebruikers in het veld

Regel5: Self service eindgebruikers

De meeste gebruikers proberen problemen het liefst zelf op te lossen, maar ze stoppen zodra het te moeilijk of te lang wordt consumeren en in plaats daarvan laten opstapelen in de wachtrij van uw helpdesk. Een robuust zelfbedieningsplatform laat je gebruikers direct:

  • Eenvoudig zelf zorgen voor een PIN- en wachtwoord reset

  • Lokaliseer een verloren apparaat met een interactieve kaart

  • Wis een apparaat op afstand en begrijp waarom ze mogelijk niet aan de regels voldoen

Hoe is jouw app beleid?

Wat is de beste manier om apps op apparaten te krijgen? Een universele app-catalogus maakt het mogelijk en stelt gebruikers in staat om te zien welke apps zijn goedgekeurd voor gebruik, ongeacht op welk apparaat ze zich bevinden. Je kunt bijhouden welke gebruikers ze hebben geïnstalleerd. Je kunt zien welke apparaten de nieuwste app-versie hebben en wie een update moet installeren. De beste app-catalogi zien eruit en voelen aan als openbare app-winkels en laten gebruikers zelfs degene die ze gebruiken aanbevelen en beoordelen.

Regel6: Bescherm de privacy van gebruikers

Persoonlijk identificeerbare informatie (PII) kan worden gebruikt om een persoon te identificeren, te contacteren of te lokaliseren. Een groeiend aantal internationale en lokale privacywetten verhinderen dat organisaties deze gegevens verzamelen. Communiceer het privacybeleid aan werknemers om duidelijk te maken wat wel en niet van hun apparaten wordt verzameld. Om je te helpen, moet jouw UEM-oplossing de verzameling kunnen beperken van de hiernaast genoemde persoonlijke en vertrouwelijke informatie.

  • Persoonlijke e-mails, contacten en agenda’s

  • Plaats / Lokatie

  • Foto’s

  • App-gegevens en sms-berichten

  • Oproepgeschiedenis en voicemails

  • Gebruikersnamen

  • Zowel gehashte als niet-gehashte wachtwoorden

Een geavanceerde oplossing houdt locatie- en software-informatie uit het zicht en uit het hart. Dit helpt bedrijven te voldoen aan de PII-regelgeving. Tevens biedt dit extra comfort voor werknemers door te voorkomen dat PII op smartphones en tablets wordt bekeken. Zoals de voorbeelden die rechts hiervan genoemd worden.

  • App-inventarisrapportage uitschakelen om te voorkomen dat beheerders persoonlijke apps kunnen zien

  • Locatieservices deactiveren om toegang tot locatie-indicatoren zoals fysiek adres, geografische coördinaten, IP-adres en Wi-Fi set service identifier (SSID) te voorkomen

Regel7: Houd persoonlijke informatie gescheiden van bedrijfsgegevens

Zakelijke apps, documenten en andere gegevens moeten door IT worden beveiligd als een medewerker zich afscheidt van de organisatie, maar persoonlijke e-mail, apps en foto’s mogen niet worden aangetast. Dit evenwicht is bereikt via een versleutelde container, in wezen een sandbox voor bedrijfsbronnen, die beschikbaar is in toonaangevende UEM-oplossingen.

Het is een win-win. Gebruikers waarderen de vrijheid van deze aanpak, terwijl IT profiteert van de mogelijkheid om selectief te wissen wanneer een werknemer het bedrijf verlaat, inclusief e-mail, agenda, contacten, apps en alle bedrijfsgegevens, waarbij persoonlijke gegevens intact blijven. Afhankelijk van de omstandigheden, als een medewerker het apparaat verliest, moet er ook de mogelijkheid zijn om het hele apparaat te wissen

Wat maakt een container geweldig?

Een met een wachtwoord beveiligde container op het apparaat biedt een thuis voor alle bedrijfsgegevens. De ingebouwde apps omvatten zakelijke e-mail, contacten, documenten, chat en zelfs een veilige browser. Je kunt gebruikers hun relevante werkbronnen allemaal op één plek bieden. Dit is vooral handig voor tijdelijk personeel. Het geeft ze alle middelen die ze nodig hebben en laat je het wissen wanneer hun project voorbij is en ze vertrekken. Hoef je het apparaat niet te beheren of hoef je alleen inhoud te beheren? De beste containers kunnen stand-alone worden ingezet, waardoor inschrijving op MDM-apparaten niet meer nodig is.

Regel8: Gegevensgebruik beheren

Adequaat BYOD beleid

Of het data-abonnement nu wordt betaald door de werkgever of werknemer. Misschien wil je gebruikers helpen hun huidige datagebruik bij te houden. Tevens hen informeren over de voordelen van het gebruik van wifi, indien beschikbaar EN binnen het beleid. Je moet in staat zijn om het datagebruik binnen het netwerk en roaming op apparaten te volgen. Waarschuwingen te genereren of gebruikers volledig te blokkeren zodra een specifieke drempel voor datagebruik wordt overschreden.

Je kunt roaming- en megabitlimieten binnen het netwerk instellen en de factureringsdag aanpassen om meldingen te maken op basis van het gebruikte percentage. Automatische wifi-configuratie zorgt ervoor dat apparaten automatisch verbinding maken met wifi op bedrijfslocaties.

Regel9: Ingeschreven apparaten voortdurend controleren op niet-naleving

Om de inhoud van auditors te behouden en kwetsbaarheden te verminderen, moet je apparaatbewaking configureren om bepaalde voorwaarden of schendingen te detecteren en geautomatiseerde herstelmaatregelen hebben. Hier volgen enkele veelvoorkomende door gebruikers gegenereerde problemen die in uw beleid moeten worden opgelost.

“Geen beheer van mobiele apparaten voor mij!” Gebruikers kunnen proberen het bedrijfsbeheer van hun apparaat te verwijderen. Jouw beleid moet dit detecteren en de toegang tot bedrijfsbronnen onmiddellijk beperken.

“Ik breek in, in dit device!” Om de beperkingen van het besturingssysteem (OS) te omzeilen, jailbreaken medewerkers (Apple iOS) of rooten (Google Android) soms een apparaat, waardoor de deur wordt geopend naar het sideloaden van apps. Wat op zijn beurt de deur opent voor malware die informatie kan stelen. Als een apparaat gejailbreakt of geroot is, moet de UEM-oplossing geautomatiseerde actie kunnen ondernemen, zoals het selectief wissen van de container, bedrijfsapps en alle gevoelige gegevens meteen van het apparaat.

“Ik kan de technologie niet bijhouden.” Het beperken van verouderde OS-versies zorgt voor naleving en optimaliseert de werking van het apparaat. Jouw BYOD-beleid moet updates van de OS-versie voorschrijven en uw UEM-oplossing moet gebruikers up-to-date houden met de nieuwste OS-versies die zijn uitgebracht door alle grote leveranciers, waaronder Apple, Google en Microsoft.

Detecteer malware 

Apps kunnen voor veel problemen zorgen. Je moet weten wanneer malware op jouw apparaten aanwezig is en meteen reageren zodat deze zich niet verspreidt. Wees selectief met jouw EMM- of UEM-keuze. Het zou je een manier moeten bieden om apps met malwarehandtekeningen en kwaadaardig gedrag te detecteren, zodat je actie kunt ondernemen om ze zo snel mogelijk te stoppen.

Regel10: Meet het voordeel van BYOD

Als je de bovenstaande regels volgt, wilt je ongetwijfeld de economische en zakelijke voordelen meten, met andere woorden, de ROI van BYOD. Het verlagen van hardwarekosten is een voor de hand liggende categorie, maar je kunt dieper gaan. Hoewel het tegendeel vaak wordt aangenomen door veel organisaties die nieuw zijn bij BYOD, neemt de productiviteit vaak toe wanneer werknemers mobiel en te allen tijde verbonden zijn en IT-teams efficiënter worden.

Overweeg tijdens het schrijven van een adequaat BYOD beleid, is hoe dat beleid het rendement op de investering zal beïnvloeden. Dat omvat het vergelijken van benaderingen, zoals weergegeven:

Bedrijfsmodel

  • Wat mag elke apparaat kosten?

  • De kosten van een volledig gesubsidieerd dataplan

  • De kosten van het om de paar jaar recyclen van apparaten

  • Garantieplannen

  • IT-tijd en arbeid bij het beheer van het programma

BYOD

  • De kosten van een gedeeltelijk gesubsidieerd dataplan

  • De geëlimineerde kosten van de aankoop van het apparaat

  • De kosten van een mobiel beheerplatform

Lees deze Forrester Total Economic Impact Study voor een diepgaand inzicht in de potentiële ROI die bedrijven kunnen realiseren door een UEM-oplossing te implementeren die een adequaat BYOD beleid en werken op afstand ondersteunt.

Adequaat BYOD beleid is pas het begin

Het inschakelen, beveiligen en empoweren van externe werknemers is nog nooit zo urgent geweest. Een best-in-class BYOD-implementatie kan een hoeksteen zijn van jouw inspanningen om jouw werkplekken en jouw werknemers, veilig en beheersbaar te maken. Voor meer informatie over hoe IBM Security MaaS360 unified endpoint management klik dan hier

Adequaat BYOD beleid, is pas de start
Tweet
Share
Share
0 Shares