5 BYOD-valkuilen (en hoe ze te omzeilen)

Doorstaat jouw eigen BYOD-beleid de lakmoesproef?

Plaats jij ongewenste apps op een zwarte lijst? Monitor je gebruik van spraak-, data- en roamingdiensten? Weet je zeker dat er geen jailbreak-smartphones op je netwerk komen?

5 BYOD-valkuilen (en hoe ze te omzeilen)

Doorstaat jouw eigen BYOD-beleid de lakmoesproef?

Als je jezelf niet met BYOD-vraagstukken als bovenstaande bezighoudt, graaf je voor jezelf een dodelijke valkuil die je netwerkbeveiliging in gevaar brengt, productiviteit van medewerkers schaadt en je budget aantast.

BYOD is een grote trend die enkele jaren terug al werd ingezet. In die jaren hebben IT-managers en CIO’s BYOD op een verschillende manieren proberen te tackelen. Hun geleerde lessen worden nu gedeeld, evenals de makkelijk te maken fouten met BYOD.

Dit zijn vijf fouten die vaak met BYOD-beleid gemaakt worden en die wij je helpen voorkomen.

Valkuil 1: Een open deur beleid hanteren ten aanzien van apps

De meeste iPhone-bezitters komen regelmatig in de App Store en downloaden daar allerlei soorten apps die mogelijk schade kunnen berokkenen aan je bedrijf, denk maar aan Dropbox. De applicaties kunnen data lekken, malware injecteren of de productiviteit medewerkers schaden.

Early adopters van BYOD hebben apps op verzoek van medewerkers toegestaan, maar slimme IT-managers mitigeren het risico voordat het uit de hand loopt. Zij bouwen private enterprise applicatiewinkels, ontwikkelen eigen apps, maken whitelists en blacklists aan, pushen verplichte apps en stellen beperkingen op aan knippen en plakken in apps.

Het is belangrijk op te merken dat ze niet voor een zwart-wit aanpak gaan. Deel van een goed BYOD-beleid is het kiezen van de gulden middenweg. Technologie als geofencing stelt je bijvoorbeeld in staat Angry Birds voor thuisgebruik toe te laten, maar het te blokkeren op kantoor. Geofencing kan ook voorkomen dat medewerkers op hun tablets HD-video afspelen onder werktijd.

Valkuil 2: De rol van Big Brother op je nemen

De donkere kant van geofencing is dat het van medewerkers vereist de locatiediensten op hun BYOD-apparaat te activeren. Medewerkers houden er over het algemeen niet van dat bedrijven persoonlijke apparaten inzetten voor ‘spionage’ en hun gaan en staan monitoren.

“Er is een kleine privacyoorlog gaande”, zegt CEO Pankaj Gupta van MDM-leverancier Amtel.

Toch moeten IT-managers BYOD-tablets en smartphones monitoren om het lekken van bedrijfsgeheimen te voorkomen. Dit betekent dat er een balans gevonden moet worden tussen het recht van een bedrijf om te monitoren en controleren en de verwachtingen van de medewerker ten aanzien van privacy.

In het geval van geofencing kan een IT-manager bepalen dat de locatietracking alleen geactiveerd wordt onder werktijd. Werknemers moeten het bedrijf kunnen vertrouwen dat bewegingen buiten kantooruren en het lezen van persoonlijke e-mail en SMS niet aan de orde is.

Valkuil 3: Het negeren van gebruikcijfers

Vertrouwen moet van twee kanten komen, maar sommige vroege BYOD-implementaties ging het vertrouwen in medewerkers te ver. Spraak, SMS, data en roaming-gebruik werden niet in de gaten gehouden, zegt Gupta. Wat gebeurde er? Bij sommige bedrijven kwamen rekeningen met duizenden euro’s aan buitenlandse MB’s binnen en werden BYOD-mobieltjes met de hele familie gedeeld omdat het ‘gratis’ was.

Partner David Schofield van consultancy Network Sourcing Advisors vertelt dat 600 medewerkers vorig jaar bij een techbedrijf op een BYOD-programma werden gezet, maar dat de kosten de pan uitrezen. In totaal werd voor 300.000 dollar aan kosten gemaakt gedurende eerste jaar. “Het sloeg werkelijk nergens op”, zegt Schofield.

In sommige gevallen leidt het ontbreken van BYOD-monitoring tot de gewraakte ‘zombie-telefoon’, zegt Gupta. Met een zombietelefoon wordt een toestel bedoeld dat door de medewerker niet gebruikt wordt, maar waarvoor hij of zij wel een maandelijkse vergoeding in het salaris ontvangt.

Valkuil 4: Het toestaan van gekraakte BYOD-telefoons en tablets

BYOD werpt voor de IT-manager nieuwe vraagstukken op. Enerzijds stelt BYOD medewerkers in staat hun eigen persoonlijke apparaten voor werk te gebruiken en kan de medewerker productiever zijn door ook buiten kantooruren zakelijke mail te beantwoorden of iets af te maken.

Anderzijds moet de IT-manager beperkingen stellen om niet zomaar ieder apparaat op het netwerk toe te laten. “Je kunt natuurlijk geen jailbreak iPhones of rooted Android-apparaten toestaan om corporate resources te benaderen en daarmee de organisatie bloot te stellen aan malware en virusaanvallen”, zegt Gupta.

De beste respons is het ondersteunen van populaire devices van fabrikanten als Apple en Samsung en de rest case-by-case bekijken. Er is geen ideale oplossing, maar te ver leunen naar alles zomaar toestaan kan grote gevolgen hebben.

Valkuil 5: BYOD-policies te weinig aandacht geven

Misschien wel de grootste valkuil is slechte communicatie over BYOD-beleid tussen medewerkers en IT. Slechte communicatie is trouwens al decennia lang een pijnpunt in de relatie tussen IT en de business.

BYOD vormt een kans om die communicatie te verbeteren. Werknemers moeten bijvoorbeeld weten wat wel en niet gemonitord wordt, welke apps risico opleveren, welke devices en besturingssystemen worden toegestaan, wat er qua privacy geregeld is, wat er gebeurt bij het verlies van apparatuur en einde dienstverband en wat de gevolgen zijn van non-compliance.

Helaas ontbreekt het in veel BYOD-beleid aan detail. “De grootste misser is de policy van 1 A4’tje waarop staat ‘Let op deze zaken’, maar waarin vergeten wordt de rechten en plichten van zowel werkgever en werknemer te noemen”, zegt partner Matt Karlyn van jurdisch kantoor Cooley.