Britse overheid: geef BYOD-gebruikers geen beheerderstoegang tot netwerk
Organisaties die hun medewerkers met hun eigen laptop, desktop of smartphone laten werken moeten ervoor zorgen dat zij geen beheerderstoegang tot het netwerk of andere middelen hebben, zo stelt het National Cyber Security Centre (NCSC) van de Britse overheid. Bring Your Own Device (BYOD) werd volgens het NCSC door veel organisaties geïntroduceerd als tijdelijk antwoord op het thuiswerken vanwege de coronacrisis.
"Maar het is inmiddels duidelijk dat BYOD een blijvertje is", aldus de overheidsinstantie. Die waarschuwt dat het niet mogelijk is om alle bedrijfswerkzaamheden op een veilige manier met alleen BYOD uit te voeren. Daarbij het is essentieel dat BYOD-gebruikers geen beheerderstoegang hebben, aldus het NCSC. Dat roept organisaties waarbij dit wel het geval is om deze rechten meteen in te trekken.
Daarnaast wordt geadviseerd om bestaand BYOD-gebruik te evalueren en in het geval van nieuwe situaties dit goed te plannen. Vanwege de rol die BYOD zal blijven spelen heeft het NCSC het BYOD-advies aangepast. Daarin wordt onder andere aangeraden beleid op te stellen, het doel, risico's en gebruikersbehoeften in kaart te brengen, de kosten en gevolgen te begrijpen en technische beveiligingsmaatregelen toe te passen.
Afsluitend laat de Britse overheidsinstantie weten dat BYOD een complex onderwerp kan zijn en het belangrijk is dat organisaties zich goed voorbereiden. Zo moeten organisaties erbij stilstaan dat het om de apparatuur van hun werknemers gaat, wat bijvoorbeeld gevolgen heeft voor de balans tussen het beschermen van bedrijfsgegevens en de privacy van de medewerkers.
Moet buigen ? Het gaat om een advies. Wat mensen er mee doen, moeten ze zelf weten.
Je laat "de gemiddelde gebruiker" toch niet je systemen beheren?
En iemand die voor privé dingen wil doen die niet op een fatsoenlijk beveiligd systeem kunnen (afgezien van voor het leren, maar dat kan ook veilig) al helemaal niet.
Natuurlijk laat je Bring Your Own Doom niet toe tot je beheernetwerk.
"Maar het is inmiddels duidelijk dat BYOD een blijvertje is", aldus de overheidsinstantie. Die waarschuwt dat het niet mogelijk is om alle bedrijfswerkzaamheden op een veilige manier met alleen BYOD uit te voeren.
Nou wij zien BYOD devices gewoon hetzelfde als alle internet gebruikers. Dwz "op kantoor" zitten ze op de WiFi, die heeft alleen verbinding met internet, en ze benaderen de systemen "buitenom" net als de mensen die thuis zitten.
Dat was al voor de coronacrisis zo, devices thuis (die je dan weliswaar niet meebrengt maar wel voor werk gebruikt) die zijn er altijd al geweest. Uiteraard zijn dat geen domeinmembers en hebben ze dus ook geen directe rechten. Je kunt dat hooguit krijgen door op een Citrix omgeving in te loggen bijvoorbeeld.
Natuurlijk laat je Bring Your Own Doom niet toe tot je beheernetwerk.
Naja de britten zetten bij alle meertjes ook bordjes met: "water kills" dus wat dat betreft verbaast het mij niet. Blijkbaar hebben Britten de overheid nodig om na te denken. Jammer dat ze er van die kneuzen hebben neergezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
