Security en privacy bij BYOD - DSpace at Open Universiteit
Security en privacy bij BYOD - DSpace at Open Universiteit
Security en privacy bij BYOD - DSpace at Open Universiteit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>BYOD</strong>. (12, 13) Ook blijk<strong>en</strong> ze ontbrek<strong>en</strong>de k<strong>en</strong>nis <strong>en</strong> expertise over <strong>BYOD</strong>security<br />
via e<strong>en</strong> trial-and-error methode, in e<strong>en</strong> productieomgeving <strong>en</strong> met<br />
vertrouwelijke bedrijfsgegev<strong>en</strong>s, te vergar<strong>en</strong>. (14) Daarnaast blijkt uit dit<br />
onderzoek d<strong>at</strong> er vaak helemaal ge<strong>en</strong> specifiek <strong>BYOD</strong> security-beleid aanwezig is.<br />
Er blijkt <strong>bij</strong> veel organis<strong>at</strong>ies nog veel werk te verricht<strong>en</strong> om tot e<strong>en</strong> goed <strong>en</strong><br />
pass<strong>en</strong>d <strong>BYOD</strong> security-beleid te kom<strong>en</strong>. Soms ontbreekt beleid volledig, is deze<br />
nog in ontwikkeling of geldt e<strong>en</strong> verouderd <strong>en</strong> ontoereik<strong>en</strong>d beleid. Bij de<br />
organis<strong>at</strong>ies die wel e<strong>en</strong> (actueel) <strong>BYOD</strong> security-beleid hanter<strong>en</strong>, blijkt dit beleid<br />
ondoordacht <strong>en</strong> onvolledig te zijn waardoor de <strong>BYOD</strong>-risico’s niet effectief <strong>en</strong><br />
efficiënt gemitigeerd kunn<strong>en</strong> word<strong>en</strong>. (13, 14, 18, 19, 20, 21, 23, 28, 30, 32)<br />
Ook <strong>BYOD</strong>-voorwaard<strong>en</strong>, met daarin de recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> van werknemers,<br />
ontbrek<strong>en</strong> vaak. Wanneer ze wel bestaan, word<strong>en</strong> ze niet of nauwelijks<br />
gecommuniceerd naar werknemers. (26)<br />
Bov<strong>en</strong>di<strong>en</strong> bleek ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie MDM-software geïmplem<strong>en</strong>teerd te<br />
hebb<strong>en</strong> waarmee het <strong>BYOD</strong> security-beleid beter afgedwong<strong>en</strong> kon word<strong>en</strong> dan<br />
met traditionele security ma<strong>at</strong>regel<strong>en</strong>. (30, 31) Ook antivirus-software bleek op<br />
(vooral Android) <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> niet verplicht terwijl tegelijkertijd werd erk<strong>en</strong>d<br />
d<strong>at</strong> dit e<strong>en</strong> kwetsbaar pl<strong>at</strong>form was. (32) Deze observ<strong>at</strong>ies kunn<strong>en</strong> verklaard<br />
word<strong>en</strong> doord<strong>at</strong> veel organis<strong>at</strong>ies aangev<strong>en</strong> d<strong>at</strong> ze <strong>BYOD</strong>-security vergelijkbaar<br />
vind<strong>en</strong> met g<strong>en</strong>erieke (mobiele) security. Ze zijn echter wel van m<strong>en</strong>ing d<strong>at</strong><br />
vooral de technische kant van <strong>BYOD</strong>-security anders aangepakt <strong>en</strong> b<strong>en</strong>aderd<br />
moet word<strong>en</strong>. (17)<br />
Uit dit onderzoek blijkt d<strong>at</strong> de effectiviteit van het gehanteerde <strong>BYOD</strong> securitybeleid<br />
wordt oversch<strong>at</strong>. Organis<strong>at</strong>ies vind<strong>en</strong> hun <strong>BYOD</strong> security-beleid, wanneer<br />
aanwezig, vrij effectief <strong>en</strong> goed g<strong>en</strong>oeg (19, 22) terwijl veel observ<strong>at</strong>ies erop<br />
wijz<strong>en</strong> d<strong>at</strong> specifieke <strong>BYOD</strong>-risico’s niet effectief <strong>en</strong> efficiënt gemitigeerd kunn<strong>en</strong><br />
word<strong>en</strong>. (13, 14, 18, 19, 20, 21, 23, 28, 30, 32). E<strong>en</strong> concreet voorbeeld is<br />
het ontbrek<strong>en</strong> van MDM-software waarmee mobiele appar<strong>at</strong><strong>en</strong> met e<strong>en</strong><br />
aangepaste firmware (of besturingssysteem) gedetecteerd <strong>en</strong> geblokkeerd<br />
kunn<strong>en</strong> word<strong>en</strong> (30, 31). Al aanwezige, <strong>en</strong> in gebruik zijnde smartphones of<br />
tablets met deze aangepaste firmware vorm<strong>en</strong> e<strong>en</strong> beveiligingsrisico <strong>en</strong> kunn<strong>en</strong><br />
zonder MDM-software niet of zeer moeilijk word<strong>en</strong> ontdekt. Desondanks vind<strong>en</strong><br />
de onderzochte organis<strong>at</strong>ies hun <strong>BYOD</strong>-security effectief <strong>en</strong> goed g<strong>en</strong>oeg, <strong>en</strong> d<strong>at</strong><br />
is opmerkelijk.<br />
Weinig organis<strong>at</strong>ies durv<strong>en</strong> hun vingers te brand<strong>en</strong> aan het voorschrijv<strong>en</strong> van<br />
welke software of apps <strong>BYOD</strong>-gebruikers wel of niet op hun eig<strong>en</strong> hardware<br />
mog<strong>en</strong> installer<strong>en</strong>. Opmerkelijk g<strong>en</strong>oeg zijn er organis<strong>at</strong>ies die dit in de toekomst<br />
wel will<strong>en</strong> gaan do<strong>en</strong>. (20) Via e<strong>en</strong> <strong>en</strong>terprise app store kunn<strong>en</strong> <strong>BYOD</strong>gebruikers<br />
vanuit betrouwbare bron apps <strong>en</strong> software bemachtig<strong>en</strong>, installer<strong>en</strong><br />
<strong>en</strong> upd<strong>at</strong><strong>en</strong>. Weinig organis<strong>at</strong>ies bied<strong>en</strong> op deze manier apps of software aan. De<br />
organis<strong>at</strong>ies die d<strong>at</strong> wel do<strong>en</strong>, hebb<strong>en</strong> e<strong>en</strong> klein aanbod. (24)<br />
Uit dit onderzoek blijkt d<strong>at</strong> <strong>bij</strong> doorvrag<strong>en</strong>, veel organis<strong>at</strong>ies zelf e<strong>en</strong> vrij goed<br />
idee hebb<strong>en</strong> waar hun <strong>BYOD</strong> security-beleid tekort schiet <strong>en</strong> de zwakke plekk<strong>en</strong><br />
zitt<strong>en</strong>. Tijd<strong>en</strong>s dit onderzoek kwam<strong>en</strong> veel verschill<strong>en</strong>de aangekaarte<br />
tekortkoming<strong>en</strong> naar bov<strong>en</strong>. Zo wordt door veel organis<strong>at</strong>ies aangegev<strong>en</strong> d<strong>at</strong><br />
Mobile Device Managem<strong>en</strong>t (MDM) software helaas ontbreekt, maar wel e<strong>en</strong><br />
absoluut noodzakelijk is om toekomstig <strong>BYOD</strong> security-beleid (<strong>en</strong> technische<br />
ma<strong>at</strong>regel<strong>en</strong>) te kunn<strong>en</strong> handhav<strong>en</strong>. Daarnaast zijn organis<strong>at</strong>ies overtuigd d<strong>at</strong><br />
Pagina | 50