BYOD beleid opstellen, 9 tips

BYOD Beleid. Waar moet ik allemaal mee rekening houden? Veel bedrijven staan BYOD toe, stimuleren zelfs dat medewerkers eigen (privé) apparatuur gebruiken om mee te werken. Maar niet al deze bedrijven hebben echter een Bring Your Own Device (BYOD) beleid om deze ontwikkeling te ondersteunen. 9 tips waar je rekening mee moet houden bij het opstellen van een BYOD beleid.

Achtergrond

BYOD is op zichzelf geen nieuw verschijnsel meer en in veel bedrijven is het gebruik van privé-apparatuur ondertussen wel steeds vaker ingeburgerd. Dit betekent dat bedrijven het gebruik van privé-apparaten als laptops, tablets en smartphones op het eigen bedrijfsnetwerk toestaan / stimuleren. Voor het bedrijf is dat fijn. Het scheelt hen immers geld wanneer medewerkers de eigen spullen meebrengen. Ook de gebruikers hebben er voordeel bij. Zij werken met de apparaten waar zij goed mee kunnen omgaan en kunnen tevens vaak de allernieuwste devices gebruiken. Iets waar bedrijven om diverse redenen niet altijd in mee kunnen gaan.

Toch is er ook de nodige onduidelijkheid wanneer je BYOD gaat toestaan. Is het wel wenselijk dat bedrijfsdata wordt verwerkt op mobiele apparaten? En voor welke applicaties kan een gebruiker technische ondersteuning verwachten? Welke ondersteuning kan een gebruiker krijgen voor zijn device? Om een en ander in goede banen te leiden is daarom een BYOD-beleid nodig. Daarin spreek je onder andere af welke apparaten worden ondersteund, met welke applicaties er gewerkt wordt en welke data met een privé apparaat bekeken mag worden. Hoe wordt de security voor deze devices ingeregeld? Er zijn echter de nodige valkuilen bij het opzetten van een dergelijk beleid. Daarom 9 tips om een deugenlijk BYOD beleid vast te leggen.

Tip 1: Ondersteun niet alles.

mobiele devices

Maak een keuze in welke laptops, telefoons en tablets medewerkers mee mogen nemen. Vroeger was Microsoft Windows verreweg het meest gebruikte platform, maar dat is al lang niet meer zo. Op de mobiele markt spelen vooral ook Android en iOS een belangrijke rol. Applicaties waarmee gewerkt wordt draaien vaak niet op al die besturingssystemen. Daarnaast stellen applicaties ook eisen aan het level van het operating systeem. Bovendien zijn er behoorlijke verschillen tussen de verschillende versies van een besturingssysteem en is ook niet ieder besturingssysteem voor ieder apparaat hetzelfde. Dat betekent dat ook applicaties en software niet op ieder apparaat hetzelfde werkt, wat het voor IT lastig maakt om goede technische ondersteuning te bieden. Maak dus in ieder geval een keuze in welke apparaten je bedrijf gaat ondersteunen.

Tip 2: Vergoeding

Sommige organisaties geven een vergoeding voor het gebruik van privé devices. Dat geeft bedrijven de mogelijkheid om andere eisen te stellen aan het gebruik van een BYOD device. Medewerkers een vergoeding geven om een of meerdere privé apparaten aan te schaffen en te gebruiken is prima. Maar stel wel duidelijke regels. Welke apparaten wel en niet. Wat wordt wel vergoed en wat niet.

Tip 3: Wat wel en niet opslaan

Maak afspraken over welke gegevens wel en welke niet opgeslagen mogen worden op een BYOD-apparaat. Het werken op mobiele apparaten als laptops, tablets en telefoons brengt extra veiligheidsrisco’s met zich mee. Want een mobiele apparaten kan je nu eenmaal makkelijker verliezen dan een desktop. Stel daarom voor alle gevoelige data in het bedrijf vast (bijvoorbeeld financiële gegevens of privacygevoelige gegevens) wie ermee mag werken en bepaal of het wenselijk is dat die gegevens op een mobiel apparaat worden verwerkt of opgeslagen.

Tip 4: Data beveiligingsbeleid

Coördineer je BYOD-beleid met het algemene data beveiligingsbeleid. Er is een behoorlijk grote kans dat een organisatie al beleid heeft gedefinieerd op het gebied van veiligheid, cybercriminaliteit en dataprotectie. Ook het gebruik van sociaal media kan raken aan een BYOD-beleid. Stem daarom het beleid op het gebied van BYOD zorgvuldig af met die van de rest van de organisatie. Wanneer een beleid inconsequent is, verliest personeel respect voor BYOD regels en zullen medewerkers regels minder snel in acht nemen.

Tip 5: Corporate owned en private owned

Maak zowel beleid voor corporate owned als private owned toestellen. Op het gebied van juridische aansprakelijkheid maakt het alle verschil wie de eigenaar van een mobiel apparaat is. Is een apparaat van het bedrijf dan is het bedrijf aansprakelijk voor verlies van data die op het toestel staat. Is de medewerker eigenaar dan is die verantwoordelijk voor passende veiligheidsmaatregelen. In regel kiest een bedrijf voor een bepaald programma wanneer het gaat om het uitdelen van telefoontoestellen. Wanneer een bedrijf kiest voor eigen uitgifte van toestellen of een Choose-Your-Own-Device (CYOD) variant is het helemaal niet gezegd dat BYOD niet meer voorkomt. Maak daarom beleid op het gebied van informatieveiligheid en beheersing voor corporate owned toestellen en maak ook spelregels over hoe er omgegaan moet worden met gegevens op een door de medewerker zelf aangeschaft toestel.

Tip 6: Datalekken

datalek

Verplicht medewerkers tot het rapporteren van datalekken of verlies van een toestel. Omdat de apparaten in een BYOD-programma niet van een organisatie zelf zijn, zijn mensen niet zo snel geneigd de werkgever te vertellen wanneer er problemen zijn. Tenslotte is de medewerker eigenaar van het device waar het datalek heeft plaats gevonden en is dan ook juridisch verplicht om hier melding van te maken. Maak mensen daarom bewust van het feit dat ze de IT-afdeling wel informeren wanneer bijvoorbeeld een mobiel apparaat zoek is  geraakt of een datalek heeft plaats gevonden. De organisatie kan dan in ieder geval maatregelen nemen om de schade van een datalek te beheersen.

Tip 7: Beveiliging

Dwing af dat gebruikers in ieder geval enige vorm van beveiliging op hun apparaat hebben draaien. Veel organisaties zijn halsoverkop met BYOD begonnen en maken geen afspraken over beveiliging. Wanneer je dan toch privétoestellen toestaat, leg dan in ieder geval een aantal beveiligingsmaatregelen vast die medewerkers moeten opvolgen. Verplicht bijvoorbeeld dat de medewerker het mobiele apparaat beveiligt met een deugdelijk passwoord. Daarnaast kan het werken met bepaalde applicaties verplicht worden om van een beveiligde netwerk en of Wifi verbinding gebruik te maken.

Tip 8: Standaard applicaties

Een bedrijf kan er bovendien voor kiezen om medewerkers verlicht een of meerdere standaard applicaties te laten installeren. Zoals bijvoorbeeld een mobile device management oplossing. Voor het beheer en management van mobiele apparaten. Dergelijke software kan een toestel op afstand schonen of werkapplicaties beschikbaar laten stellen in een corporate App store. Te denken valt ook aan applicaties op het gebied van Mobile Security. Ter bescherming van Cybercriminaliteit, zoals phishing, malware, virussen en bots.

Tip 9: Privacy

Privacy

Zorg ervoor dat beveiligingsmaatregelen niet ten koste gaan van de privacy van gebruikers. Sommige bedrijven stellen hun IT-afdeling in staat om in geval van een beveiligingsinbreuk de data van een toestel te wissen (geheel of gedeeltelijk) of een toestel te blokkeren wanneer deze bijvoorbeeld drie keer een foutief passwoord opgeeft. Omdat op een toestel veelal zowel zakelijke als privégegevens staan, komt daarbij de privacy van de gebruikers in het geding. Communiceer daarom in ieder geval dat wissen een mogelijke maatregel is die de IT-afdeling kan nemen. Waarbij dit altijd gaat volgens een nadrukkelijk beschreven procedure. Bovendien zijn er mobile device management oplossingen die een zakelijke container aanmaken op een toestel. Op die manier helpt de oplossing om een effectieve werk/privé scheiding te maken.