Bij ons komen BYOD devices gewoon in de gasten internet zone terecht en kunnen ze alleen bij het
bedrijfsnetwerk via de voorzieningen voor toegang vanaf internet.
(Citrix Access Gateway, webmail etc)

Ik zie niet in wat daar het beheersprobleem mee is.

@ anoniem 13:47 als je dat niet ziet, weet je - met alle respect - niet wat het risco is..

Leg het eens uit zou ik zeggen...

Anoniem zet als extra veiligheid een aluminium hoedje op.

@ anoniem 15:22: wat is dan, met alle respect, het risico?

Ik denk dat dit een beetje het verschil is tussen de unix (universiteits)-wereld en de Windows (corporate) wereld. In de unix wereld is alles bereikbaar/open maar dicht getimmerd op de hosts zelf (username/password, firewall). In de Windows wereld staan alle poorten open op servers (binnen een LAN) en wordt het netwerk als veilig gezien en wordt toegang door clients tot het netwerk geregeld op client niveau met Active Directory e.d.

P.S. Ik ben een andere anoniem dan anoniem 13:47
P.P.S. Ik ben geen netwerk- of security professional (meer een linux hobbyist)

Zo zou ik het niet helemaal stellen. Buiten het feit dat veel organisaties zowel unix als windows gebruiken moet je ook op windows gewoon hardening toepassen en onnodige poorten dicht gooien. Dit kan natuurlijk met een host-based firewall maar daarbuiten zet je, ook als je unix gebruikt, over het algemeen minstens 1 firewall en een proxy in je netwerk. Het mixen van unix en windows op je netwerk introduceert wel nieuwe risico's.

Het verschil tussen het 'campusnetwerk' en het 'corporate' netwerk is m.i. vooral dat je apparaten op je netwerk toestaat die soms niet of in elk geval minder manageable zijn. Het zijn apparaten waarbij het voor de gebruiker erg simpel is om een onbekende app toestemming te geven alles in de telefoon uit te lezen incl. data op de sd-kaart en toetsaanslagen. Er is mede daardoor een sterke opkomst van 'Mobile device management' oplossingen die proberen het verschil in controle tussen een BYO en een door de organisatie uitgeleverd apparaat te verkleinen/op te lossen. Men gaat dan aan de slag met sandboxes op het apparaat e.d. in een bijna jericho-achtige aanpak. Op netwerkniveau betekent dit dus dat je er van uit moet gaan dat het apparaat onvertrouwd is en je dus het verkeer ook zo moet behandelen. Je laat dan alleen verkeer naar jouw beschermde bronnen toe onder stringente voorwaarden (zoals vaak geleverd door MDM), al het andere laat je rustig rotzooien op (delen van) het netwerk zonder dat dit schade aan kan richten. Dit alles brengt weer allemaal spanningen met zich mee omdat de organisatie zich met een privé-apparaat gaat bemoeien, maar dat is weer een andere discussie.

Het gevaar op netwerk niveau is denk ik aardig af te schermen. Het gevaar is in mijn optiek meer het opslaan van gegevens op het privé-apparaat.