BYOD blijft vanuit elk oogpunt een drama. De voordelen voor het bedrijf zijn minimaal, de risico's enorm. Tenzij de werknemers natuurlijk zo makkelijk zijn om wel software 'van de baas' te installeren op *hun* hardware.

Nieuwswaarde???

Ik zie naast die 3 hobbels nog veel meer valkuilen:
- Weinig to geen ondersteuning vanuit IT-afdeling mogelijk.
- Buiten web-applicaties heel moeilijk om alles en iedereen te synchroniseren.
- Update's, firmware e.d. zijn niet aan te slepen / bij te houden / door te voeren.
- Back-ups maken / controleren is tijdrovend en lastig.
- Wettelijke aansprakelijkheid t.o.v. derden bij misbruik.
- Wettelijke aansprakelijkheid bij verlies of diefstal.
- Kostenplaatje, een werkgever kan een (niet-zelfstandige) niet zomaar verplichten loon te besteden aan specifieke middelen om arbeid te verrichten, dus nóg meer onoverzichtelijk declaratie-gedrag.
- Kostenplaatje van de benodigde communicatie-abonnementen, wie draait op voor welke kosten?

En ga zo maar door. Fijn instituut, dat Gartner. Kent iemand een BYOD-systeem dat is ingevoerd en wèl werkt?

BYOD is de deur open zetten. Doe je er als bedrijf alles aan om de boel dicht te timmeren, hangt er opeens een laptop/smartphone met internetverbinding aan je netwerk.
Daarnaast weet je niet wat voor Shit er op zo'n BYOD zit, want het is jouw apparaat niet, dus je hebt er geen controle over.
Om het te combineren met een andere discussie, als die deur dan open staat en de eigenaar is iemand die toegang heeft tot een EPD...

Waarom zien de bovenstaande reacties alleen maar de reden om het niet te doen?
Dat gebruikers hun eigen spullen meenemen is naar mijn mening een feit waar je als bedrijf een goed antwoord op moet geven.
Het niet ondersteunen, verbieden of zelfs ontkennen van dit fenomeen zal het niet doen verdwijnen.
Doe je het niet? Dan gaan de gebruikers zelf hun gang en staan al jouw bedrijfsgegevens op een plek waar je geen controle over hebt.
Ja, dan heb je een veilig bedrijfssysteem maar helaas, daar staan je bedrijfsgegevens niet meer in.
Dat kan dus de bedoeling niet zijn, lijkt mij.
Dus kijk naar de wensen van je gebruikers en probeer een goede modus tussen security en gebruikersvriendelijkheid te vinden.
Kijk bijvoorbeeld naar applicatie containerisatie op de devices waar je je bedrijfsapplicatie en data in een afgeschermde en encrypted container op de devices staan. Remote control en eventueel remote wipe alleen deze data en laat de rest intact.
En wat EPD betreft de zwakste schakel is nog steeds de gebruiker en niet het device.

De werkgever bepaald nog altijd wie, met welke middelen, waar, wanneer op welke wijze de opgedragen arbeid verricht. Doe je het als werkgever wel, dan heb je nog steeds geen enkele controle, vooral omdat je geen duidelijk handvat kan aanreiken over hoe om te gaan met het verschil tussen privé en zakelijke data en de gradaties daarin.
Een simpel "nee" is veel effectiever dan miljoenen mogelijkheden van mogelijke valkuilen.

Ik kan geen enkel beroep in dienstverband bedenken waarbij het cruciaal zou moeten zijn dat er privé-communicatie moet plaatsvinden via een apparaat dat wordt gebruikt om arbeid te verrichten, zonder dat de huidige oplossingen (denk aan VB / VMWare icm RD bijvoorbeeld) niet toereikend zouden zijn.
Vrije beroepen zijn natuurlijk heel wat anders, maar die zijn dan ook in een ander soort dienstverband.

Ik draai de vraag liever om, wat is dan het voordeel van BYOD?

(EDIT: https://secure.security.nl/artikel/44190/1/20%25_werknemers_gebruikt_Dropbox_voor_werk.html)

Zolang iedereen werkt met door het bedrijf aangeleverde hardware, ingericht met door het bedrijf geinstalleerde software, heb je nog iets controle over drivers, patches, updates, etc. Hoe denk je toezicht te gaan houden op wat er op je infrastructuur gebeurd? Het wordt onbeheersbaar. Ook leuk voor je helpdesk: hoe gaan die in hemelsnaam ondersteuning bieden?

Ik denk dat mobiele toestelen (BYOD of zelfs corporate), cloud en vooral de combinatie van de twee het einde ingeluid hebben van de security architectuur die tot nu toe als gemeengoed wordt beschouwd.

Een architectuur die praktisch volledig is gericht op het be-/afschermen van een toestel/netwerk. Een architectuur die zijn hoogdagen beleefde in het mainframetijdperk en die sindsdien alsmaar meer problemen vertoonde.

Vandaag de dag is informatie extreem mobiel geworden doordat de dragers dat zijn geworden. Die toegenomen mobiliteit is al lang geen "leuke feature" meer maar een keiharde business eis. Toegenomen mobiliteit zorgt namelijk voor toegenomen productiviteit (potentieel dan toch) maar het maakt ook meer flexibiliteit van werken mogeiljk.

Een interessant gegeven in een tijdperk waar "tijd" een schaars goed is geworden voor velen.

Informatieveiligheid moet boven al ten dienste staan van medewerkers, niet in de weg ervan. De geschiedenis heeft al ruimschoots bewezen dat "in de weg staan" uiteindelijk ook maar een illusie is, gebruikers zijn creatief genoeg om ook de meest vernuftige beveiligingsmaatregelen te omzeilen als hen dat genoeg voordeel oplevert.

wat hebben dan wel nodig?

Een architectuur die gericht is op het beveiligen van de informatiedragers (documenten) zelf, veeleer dan de devices waarop ze bewaard worden.

In zo'n architectuur worden de informatiedragers versleuteld, de sleutel kan enkel bemachtigd worden door je (op een voldoende sterke manier) te authenticeren aan de keymgmt server.

Het geeft je (als informatie-eigenaar) de mogelijkheid om zélf te beslissen wat met je document al dan niet kan gebeuren en door wie. Zelfs fijnmazige beveiliging als het verbieden om een document te wijzigen, af te drukken, te copy-pasten, screenshots te nemen, .. behoort tot de mogelijkheden.

Een technologie die op maat gesneden is op onze mobiele maatschappij.
Het is wat mij betreft het enige zinnig antwoord op discussie als BYOD, mobile en cloud.

Meer info, zie bvb http://en.wikipedia.org/wiki/Information_Rights_Management

Wat het voordeel is van BOYD?
Het is iets wat de gebruikers zelf naar binnen hebben gesleept en niet de werkgever.
Vanuit de werkgever gezien heb je het liever niet.
Het kan een financieel voordeel zijn voor werkgever omdat hij de devices niet meer betaalt maar daar staan weer kosten voor een nieuwe infrastructuur tegenover.

Je kunt alle argumenten aanslepen dat BYOD slecht is.
Maar dan komt de wedervraag:
- Denk je het tegen te kunnen houden?
- En zo ja, hoe hou je dit tegen?

Ja, je kan BYOD verbieden in je bedrijf, maar heb dan niet de illusie dat werknemers zich hier aan zullen houden. Er zijn zoveel (publieke) wegen om de IT heen.

Vanouds her bepaalde IT wat gebruikers wel of niet mochten.
Daar zitten hele valide redenen bij, maar ook veel onzinnige reden omdat de IT’er het niet begrijpt of het te veel werk vindt.
Gebruikers zijn niet gek (al worden ze vaak genoeg door de IT afdeling wel zo beschouwd), dus leg hem uit waarom je wel of niet iets kan toestaan. En niet van een standaard antwoord ‘dat is niet veilig’.

Eigenlijk is BYOD niets nieuws, want ik kom zelf nog uit de tijd dat de mainframes heilig waren binnen bedrijven en dat de gebruikers ook nooit iets kon doen zonder goedkeuring van de IT ‘Goden’
En weldra kwamen de PC’s met Lotus 123 en andere standaard software pakketten op de afdelingen binnen.
Ook van deze PC’s (en later zelfs netwerken) werd geroepen dat dit grote onheil zouden brengen, niet te managen was en zeer gevaarlijk.
De IT’er weigerde om dit te ondersteunen omdat hij er niet achter stond.

En kijk waar we nu staan.

Dus wie heeft er nu de ‘macht’?

ter ondersteuning van mijn betoog zie het zo juist geplaatste artikel op deze website

20% werknemers gebruikt Dropbox voor werk

~
Bij de bedrijven die websites als Dropbox verbieden en hier specifiek beleid voor hebben, blijkt dat de helft van het personeel er toch gebruik van maakt.
~

I rest my case.

Dan hebben ze het niet (goed) dichtgezet.

De opvattingen en regulering omtrent BYOD zijn geheel afhankelijk van het soort bedrijfsvoering, maar zodra er met confidentiële data gewerkt wordt is het geen juiste common-practice om werk en privé te delen. Eigenlijk is een factuur al confidentieel te noemen.
Hier heeft een IT-afdeling niet zoveel mee te maken, het is het management dat het (veiligheids-)beleid maakt, en de werknemer (dus ook die IT'er) die dat uit hoort te voeren.


Hoe tegen te houden?
Hangt af van het systeem, USB drivers uitschakelen, beperkte lokale opslag, beperkte netwerk-toegang, de gebruikelijke dingetjes. Daarnaast draait het om bewustwording, voorlichting en een duidelijk beleid..
Er valt de werknemer weinig tot niets kwalijk te nemen, behalve dan als zij duidelijk in overtreding zijn, zoals het linkje al beschrijft. Overigens is het -ook niet ongebruikelijk- juist het kader dat in de meeste gevallen de (zelf-opgelegde) regels aan de laars lapt, niet de werknemer. Nogmaals, ik vind in >90% van de gevallen BYOD een totaal overbodige "luxe", waar de uitzondering de regel bevestigt.

Voor de werknemer ontstaat er -IMHO- nog een effect om misschien over na te denken, want het wordt onmogelijk om je werk niet mee naar huis te nemen, althans niet zonder BYOD zijn validiteit te laten verliezen.
Ik ga lekker naar huis in ieder geval, geen IT meer voor mij vanavond ;]

[/quote]Dan hebben ze het niet (goed) dichtgezet.
[/quote]
Hoe hou je 3G tegen? Dit zit inmiddels standaard elk smartphone die je ook als wifi hotspot (tethering) kan inrichten.
Je hele gebouw inpakken met aluminiumfolie?

Ik pleit er al heel lang voor om veel applicaties als webapplicatie te implementeren/gebruiken, dus dat komt goed uit. :-)

1. die werken wel met ieder platform.
2. veiligheidheid, updates en upgrades kunnen centraal geregeld worden
3. je kunt er als bedrijf zelf voor kiezen waar de applicatie moet staan, in het bedrijfsnetwerk of ergens bij een andere aanbieder
4. veel cloud applicaties (of te wel Software as a service, waarvoor je betaald naar gebruik) zijn webapplicaties en kun je dus makkelijk een maand of 2 of 3 uitproberen met een paar gebruikers om te kijken of je het product wel wil gebruiken zonder dat je er jaren aan vast zit

Ik zie een boel voordelen. :-)

Ik ook, alleen maar zelfs, maar niet in verband met BYOD. Wil ik wel even ingaan op punt 2, je kunt update's enkel doorvoeren voor de applicatie, niet voor het platform. Dat is juist een van mijn problemen met BYOD. Lang leve het MAC-filter ;]

Je kunt het ook niet dichtzetten. Zet je het op 10 manieren dicht binnen een week hebben werknemers alweer "trucjes" om om er toch op te komen. En dit zijn vaak gevaarlijke manieren denk proxy gebruik etc.
En dan wil je dropbox op BOYD verbieden? Wat als mensen het prive willen gebruiken. En dan nog er zijn 100 alternatieven voor dropbox.


Nog een issue:
Heel veel mensen zitten ook op niet op dat "altijd on" te wachten. Dan ben je dus altijd bereikbaar voor je baas/collega's ook savonds ook in het weekend ook op vakantie ook tijdens de kerstdagen. Fijn collega's die je 4x per dag bellen als je op vakantie bent. "owww je bent op vakantie? ja leuk mare kun je even email.. dit en dat ow duurt maar 5 minuten" Voor dat je het weet zit je je halve vakantie te werken, vrouw boos, kinderen huilen vakantie naar de maan.