Bouwstenen voor een BYOD-beleid

Wat zijn de bouwstenen voor het ontwerpen van een ’bring your own device’-beleid in jouw organisatie? Waar moet je rekening mee houden? Wie zijn er allemaal bij betrokken? Welke afspraken moet je binnen de organisatie maken? Dit zijn zo wat vragen waar ik voor het schrijven van het boek mee bezig ben. Een paar weken geleden liep ik tegen het document "5 Steps to generating a Bring Your Own Device strategy" van #Legal aan. Het document is geschreven vanuit het perspectief van een advocatenkantoor. De aangereikte bouwstenen zijn een nadere beschouwing waard.

#Legal begint met een duidelijke waarschuwing: het voeren van een BYOD-beleid begint met het maken van een afweging tussen de potentiële voordelen (hogere productiviteit) en de potentiële risico’s (minder grip op data en toegang tot die data). Het niet voeren van een BYOD-beleid lijkt echter beroerder:

One thing is certain, without a clear policy based on extensive due diligence into the needs and risks, a law firm will fail to protect itself adequately and run the risk of potential embarrassment down the road.

Het advies is dan ook om een BYOD-beleid in vijf stappen te ontwerpen:

1. Betrek de belangrijkste partijen;
2. Breng de risico’s in kaart;
3. Ontwerp en implementeer een veiligheidsbeleid;
4. Ontwerp BYOD-richtlijnen voor de medewerkers; en
5. Ontwerp een ’mobile device management’.

Wie zijn de belangrijkste partijen?

Een BYOD-beleid vraagt, volgens #Legal, om de betrokkenheid van een vijftal partijen. Het hogere management moet goedkeuring geven voor het beleid. De IT-afdeling moet apparaten op hun geschiktheid beoordelen en het geheel beheren en ondersteunen. #Legal ziet ook dat een BYOD-beleid vaak samen gaat met tijd- en plaatsonafhankelijk werken (zoals Het Nieuwe Werken) en bepleit derhalve dat de HR-afdeling bij het ontwerpen van het beleid wordt betrokken. De afdeling die zich bezig houdt met compliance moet aan tafel zitten. Het betrekken van marketing vond ik wel interessant. Je zou er niet direct aan denken, maar de apparaten waarmee jouw medewerkers ’buiten’ rondlopen dragen inderdaad bij tot het beeld van jouw bedrijf of organisatie.

 

Waar zitten de risico’s?

Om de risico’s van een BYOD-beleid in te kunnen schatten zal een organisatie eerst een databeleid moeten hebben. Welke typen data zijn in jouw organisatie aanwezig, en welke data mag wel of niet van buitenaf toegankelijk zijn? Welke data mag wel of niet via een BYOD-apparaat geraadpleegd, bewerkt en/of opgeslagen worden? #Legal geeft op dit punt een duidelijk advies:

Data that is crucial to the operation of a business, that whenu out of their control would damage that business should potentially not be allowed to be accessed via BYOD or at least protected to a greater level than less important data.

Het is vervolgens belangrijk in kaart te brengen welke rechten je als werkgever hebt om toezicht te houden op de gegevens en activiteiten van je medewerkers? De situatie wordt er bij een BYOD-beleid niet makkelijker op. #Legal noemt het voorbeeld van persoonlijke contactgegevens die door een synchronisatie in het CRM-systeem van het bedrijf worden opgenomen. Mag dat wel? En hoe zit het met de richtlijnen van toezichthouders? Stel dat een toezichthouder informatie wil hebben die op de persoonlijke smartphone van de medewerker is opgeslagen, heb je daar dan toegang toe?

 

Een goed veiligheidsbeleid

’Veiligheid’ scoort hoog als aandachtspunt in de artikelen over BYOD, maar volgens #Legal moeten we daar ook niet al te moeilijk over doen.

Mobile Platforms are just extensions of the corporate networked devices, therefore the same protections, authentication policies, and access policies should be used. Security controls such as ant-virus, data-loss prevention, anti-malware, encryption and intrusion prevention shouldn’t be diluted just so as to enable a BYOD policy.

In het overzicht van aandachtspunten noemt #Legal een punt waar ik ook al een tijdje op loop te kauwen: wil je devices toestaan die door de gebruiker zijn ’gekraakt’, bijvoorbeeld het ’rooten’ van een Android telefoon of het ’jailbraken’ van een iPhone? Onder normale omstandigheden zijn er al risico’s verbonden aan het gebruik van smartphones (zie ook Welke risico’s lopen smartphones in een BYOD-beleid?), maar dan komt er het risico bij van applicaties die beheerdersrechten (kunnen) krijgen. Zelf ben ik er nog niet helemaal uit of je het wel of niet moet verbieden. En zo ja, hoe ga je dat dan controleren?

 

BYOD-richtlijnen voor de medewerkers

De BYOD-richtlijnen staan, volgens #Legal, niet los van reeds bestaande richtlijnen over het gebruik van bedrijfshulpmiddelen en -bijvoorbeeld- sociale media. Het stuk stelt voor dat een beleid de volgende punten kan omvatten:

• Een overzicht van apparaten die zijn toegestaan;
• Een overzicht van applicaties die aanvaardbaar worden geacht;
• Een toestemmingsverklaring om vanuit het bedrijf op beheer gerichte software te installeren;
• Een toestemmingsverklaring omtrent het monitoren en vastleggen van gebruiksgegevens, inclusief het gebruik van het internet;
• Een richtlijn over de aanschaf van devices en bijbehorende vergoedingen;
• Een overzicht van wat wel door ICT wordt ondersteund;
• Een overzicht van wat niet door ICT wordt ondersteund;
• Een richtlijn over wat te doen bij verlies of diefstal;
• Best practices.

Bij de eerste twee punten wil ik wel wat vraagtekens zetten. Ik begrijp dat je als bedrijf geen apparatenchaos wil hebben, maar het opstellen van een lijst met toegestane apparaten en applicaties kan snel beperkend werken (en verouderen). Bij apparaten lijkt het me zinvoller om te stellen dat ze in staat moeten zijn om de vereiste applicaties voor beheer, veiligheid en (indien van toepassing) virtualisatie te draaien. Zo zou het in mijn ogen een vereiste moeten zijn dat de data-opslag op het apparaat versleuteld kan worden. Dus niet mikken op een limitatieve lijst van apparaten en applicaties, maar een overzicht van functionele eisen waaraan nieuwe apparaten en applicaties aan moeten voldoen.

 

Mobile Device management

Uiteindelijk krijgt ICT dagelijks te maken met de gevolgen van het BYOD-beleid en moet het geheel onder controle worden gehouden. Hoe krijgen de apparaten toegang tot het bedrijfsnetwerk? Hoe zorg je dat alle apparaten, applicaties en medewerkers voldoen aan het afgesproken beleid? Dus, hoe beperk je de lokale opslag van data (als dat niet is toegestaand), hoe beperk je de installatie van applicaties die niet zijn toegestaan, et cetera.

#Legal bespreekt onder dit kopje ook het in de gaten houden van de licenties en licentiekosten. En dan gaat het niet zozeer over de applicaties die medewerkers zelf op de devices installeren, maar bijvoorbeeld over de toegang tot de Microsoft Exchange server (mail, agenda, contacten). Wat voor client access licenties (CAL) heb je? Per gebruiker of per apparaat? Dat maakt nogal wat uit, want je wilt niet per medewerker betalen voor het synchroniseren met de smartphone én de tablet én de laptop.

 

Is dit voldoende voor een BYOD-beleid?

Het stuk van #Legal geeft een aantal mooie handvatten om vanuit het management te kijken naar ’bring your own device’. Persoonlijk mis ik hier het perspectief van de medewerkers. Zij staan er bijvoorbeeld niet bij als belanghebbende partij. Het stappenplan is erg top-down ingevuld, terwijl de impuls om met BYOD aan de slag te gaan juist van de werkvloer komt. De medewerkers die met eigen apparaten willen werken zijn professionals die -mits voorzien van de juiste informatie- prima in staat zijn een eigen verantwoordelijkheid te nemen. Het risico bestaat dat een bedrijf op basis van dit stappenplan een schoorvoetend BYOD-beleid invoert, met meer beperkingen dan mogelijkheden. Verschillende studies wijzen er inmiddels op dat een al te restrictief beleid tot gevolg heeft dat medewerkers om de beperkingen heen gaan lopen. Voor Nederland zou ik dus zeker adviseren om de medewerkers mee te laten denken in het ontwerpen van het BYOD-beleid. Uiteindelijk gaat het, mijns inziens, minder om de spelregels en de technische maatregelen en meer om het gewenste gedrag inzake verantwoord en veilig gebruik. En gedrag is nu eenmaal makkelijker ’af te dwingen’ als de medewerkers zich hierin herkennen.

 

Dit artikel is eerder verschreven op http://bringyourowndevice.wordpress.com. Het boek 'Bring your own device. Toepassing voor werkgevers en professionals' komt mei 2012 in de boekhandels.