BYOD-beleid te veel gericht op toekomst
Midden in de zomer publiceerde de AIVD het rapport ‘Bring your own device, choose your own device’. Laat ik voorop stellen dat ik het slim en moedig vindt dat de overheid zich zo met het onderwerp bezighoudt. Het rapport was bovendien niet alleen interessant voor overheidsinstellingen, maar ook voor de zakelijke sector. Doel van het rapport is handreikingen te geven over hoe BYOD in te passen in overheidprocessen, om met de eigen apparatuur de risico's te beperken om zelfs gerubriceerd materiaal tot ‘Departementaal Vertrouwelijk’ te kunnen verwerken. Een goed rapport, maar waar het de ogen voor sluit is de situatie zoals die vandaag de dag is. BYOD is een feit, geen toekomstmuziek. En dat is een gegeven dat maar al te veel organisaties over het hoofd zien.
Inhoudelijk is het rapport van de AIVD prima. De behoefte en zorg omtrent BYOD is goed uiteengezet. De keuze voor de overheidsinstelling: choose your device, ofwel, de gebruiker mag kiezen uit een select aanbod apparaten die vervolgens beveiligd mogen worden gebruikt. Er worden hiervoor verschillende vormen omschreven, zoals Mobile display, open device en een beveiligde app-methode. In het eerste geval vormt het mobiele device een virtuele weergave van de ‘normale’ toepassingen op de werkplek. Veilige verbindingen zijn hierbij dus van cruciaal belang. Een open device-aanpak geeft de gebruiker gelegenheid de apps te gebruiken die voor de smartphone of tablet (of notebook) beschikbaar zijn, maar met wel strenge beveiligingsmaatregelen. De beveiligde app-methode zorgt ervoor dat gegevens via een specifiek ontworpen toepassing verwerkt worden. Je gebruikt dus andere toepassingen dan de standaard beschikbare apps.
Wat opvalt is dat de AIVD eisen stelt, waaraan momenteel geen enkel BYOD-beleid voldoet. De beveiligde app-methode komt nog het meest in de buurt om inderdaad dat niveau Departementaal Vertrouwelijk te halen. Maar daarvoor zijn aanvullende maatregelen nodig die nu nog niet eens op de markt zijn! Het is te makkelijk om een ideaalplaatje te schetsen op basis van middelen die pas in de toekomst beschikbaar zijn. Het is ook te kortzichtig, want BYOD gebeurt nu al. Dus moeten er ook reële eisen worden gesteld die de huidige risico’s kunnen minimaliseren. Die mogelijkheden zijn er wel degelijk.
Ga eerst eens terug naar de tekentafel en ga na of een bestaande dataclassificatie nog voldoet nu BYOD zijn intrede heeft gedaan. Grote winst is te halen in vaststellen wat wel en niet toegestaan is (welke apparatuur is geaccepteerd, hoe gaan we om met cloud-opslag, bij wie ligt de verantwoordelijkheid, wat gebeurt er met de data en toepassingen bij uitdiensttreding, etc.). Zorg daarnaast voor een toegangssysteem dat in staat is de context van de gebruiker te herkennen om bepaalde rechten al dan niet toe te kennen. Het combineren van authenticatie methoden, ondersteuning van Single Sign On, endpoint controle en het centraal inregelen en controleren (enforcen) van een security policy is een must. Zorg tenslotte dit toegangsysteem kan samenwerken met een Mobile Device Manager. Hierdoor kunnen de risicobeperkende maatregelen voor de toegang worden gecombineerd met de dataprotectie op het apparaat.
Een versie van dit artikel verscheen eerder in het Infosecurity magazine.