Managed hosting door True

Werknemer overtreedt vaker BYOD-beleid

 

BYOD

57 procent van de Nederlandse werknemers van 21 tot 32 jaar kiest ervoor om beleidsregels te breken als deze gaan over het beperken van het zakelijke gebruik van privétoestellen (bring your own device, byod), cloudopslagdiensten en ‘wearable devices’. Wereldwijd gaat het om 51 procent. Dit blijkt uit onderzoek van securityleverancier Fortinet onder 3200 werknemers uit twintig verschillende landen. Fortinet concludeert dat Generatie Y de hakken in het zand zet tegen bedrijfsbeleid rond privétechnologie op de werkvloer.

Het onderzoek bekijkt hoe Generatie Y omgaat met het overtreden van beleidsregels van het gebruik van privétoestellen, persoonlijke cloudopslagdiensten en nieuwe, ‘slimme’ gebruiksvoorwerpen, zoals smart watches, Google Glass en auto’s met internetverbinding. Uit het onderzoek blijkt een toename van 42 procent in de bereidwilligheid om gebruiksregels te overtreden ten opzichte van een soortgelijk onderzoek dat Fortinet vorig jaar uitvoerde. Het nieuwe onderzoek beschrijft ook in hoeverre Generatie Y het slachtoffer is van cybercrime op hun privétoestellen, in hoeverre men bekend is met bedreigingen en de veelvoorkomende gewoonte van deze groep om bedrijfsinformatie op te slaan in persoonlijke cloudaccounts.

Overtreding is sterke trend

Ondanks de positieve instelling van de respondenten over het feit dat hun werkgever voorziet in een byod-beleid, en 45 procent van hen van mening is dat dit hen ‘krachtiger’ maakt (37 procent in Nederland), zegt 51 procent van hen dat zij elke beleidsregel zouden overtreden die het gebruik van privétoestellen verbiedt op het werk of voor werkdoeleinden. In Nederland komt dit aantal neer op 57 procent.

Deze bereidheid om maatregelen te negeren die tot doel hebben om zowel de werknemer als de werkgever te beschermen, komt ook terug op andere vlakken van privégebruik van it. Zo zegt 36 procent van de respondenten die een eigen, persoonlijke cloudopslagdienst, zoals DropBox, gebruikt voor werkdoeleinden, dat zij regels die dit willen voorkomen zouden overtreden. In Nederland is dit ietsje minder, namelijk 33 procent. Wat betreft nieuwe producten die mode, accessoires en gebruiksvoorwerpen combineren met (internet)technologie, zoals Google Glass en slimme horloges, is bijna de helft, namelijk 48 procent wereldwijd (maar 35 procent in Nederland) van de respondenten bereid om beleidsregels te overtreden die het zakelijke gebruik daarvan willen beperken.

Wearable devices

Naast draagbare computers zoals smartphones en tablets komen er ook steeds meer ‘slimme’ producten die draagbaar zijn, in de zin van de Engelse term ‘wearable’. Voorbeelden hiervan zijn horloges en brillen, maar ook kleding en andere gebruiksvoorwerpen, met internetverbinding en communicatietechnologie. De vraag hoe lang het zal duren voordat dergelijke producten gemeengoed worden op het werk of voor werkdoeleinden, antwoordt 16 procent van de respondenten ‘nu’ en nog eens 33 procent van hen ‘zodra deze producten goedkoper worden’.

In Nederland zijn we iets behoudender en zijn de percentages respectievelijk 8 procent en 32 procent. Slechts 8 procent van alle deelnemers, en 13 procent in Nederland, denkt niet dat deze producten ooit gemeengoed worden op de werkvloer.

Persoonlijke clouddiensten

Maar liefst 89 procent van de deelnemers aan het onderzoek heeft een privéaccount bij tenminste één cloudopslagdienst. In Nederland heeft 74 procent van de ondervraagden een privé cloudaccount. Daarvan heeft 41 procent een account bij DropBox, wereldwijd ligt dat op 38 procent. Wereldwijd gebruikt 70 procent het privéaccount voor werkdoeleinden, in Nederland slechts 41 procent. Eén op de acht van hen bevestigt dat zij werkgerelateerde wachtwoorden in deze accounts opslaan, 16 procent van hen slaat financiële gegevens op, 22 procent bedrijfskritische, privacygevoelige documenten zoals contracten en bedrijfsplannen (18 procent in Nederland) en 33 procent van hen slaat klantengegevens op in de persoonlijke cloudopslagdienst. In Nederland is dit slechts 8 procent.

Bijna een derde (32 procent) van de gebruikers van cloudopslagdiensten zegt dat zij de cloud volledig vertrouwen voor het opslaan van hun privégegevens, terwijl slechts 6 procent de clouddiensten wantrouwt. In Nederland zijn deze cijfers respectievelijk 21 procent en 14 procent.

Gevolgen aanvallen

Op de vraag of hun toestellen ooit zijn aangevallen door cybercriminelen of malware en wat de gevolgen daarvan waren, antwoordt ruim 55 procent van de respondenten dat er een aanval heeft plaatsgevonden op hun persoonlijke pc of laptop (43 procent in Nederland). Ongeveer de helft van deze aanvallen had negatieve gevolgen, zoals verlaagde productiviteit of verlies van privé- of bedrijfsgegevens.

Aanvallen vinden veel minder plaats op smartphones (19 procent wereldwijd en 14 procent in Nederland), en zorgen maar een beetje meer voor extra verlies van data of productiviteit, dan bij het verlies van pc’s en laptops. Dat is verrassend aangezien veel meer respondenten de verantwoordelijkheid hebben over een smartphone dan over laptops of pc’s. Hetzelfde percentage geldt voor tablets (19 procent wereldwijd en 13 procent in Nederland), maar met een grotere impact, aangezien 61 procent (47 procent in Nederland) van deze aanvallen ingrijpende gevolgen had.

Werkgever niet inlichten

Een van de verontrustende bevindingen van het onderzoek is dat 14 procent van de respondenten zegt dat men de werkgever niet op de hoogte zou brengen als er inbreuk werd gemaakt op een privétoestel dat men zakelijk gebruikt. In Nederland scoren we nog hoger, maar liefst 27 procent van onze jonge werknemers zouden in dit geval hun werkgever niet op de hoogte stellen.

Het onderzoek keek ook naar de ‘bekendheidniveaus’ voor verschillende beveiligingsrisico’s. Daaruit blijkt dat er twee tegenovergestelde extremen zijn: volledige onwetendheid en volledige bekendheid. Het gebied daartussen bestaat uit gemiddeld 27 procent van de respondenten met een minimale kennis van de risico’s (33 procent in Nederland). Op vragen over bedreigingen zoals apt’s, DDoS, botnets en pharming, lijkt 52 procent helemaal niet bekend te zijn met dergelijke bedreigingen (71 procent in Nederland). Voor de it-afdelingen is er dus nog veel werk te verzetten om betere voorlichting te geven over de bedreigingen en de gevolgen daarvan.

Byod verbetert bekendheid

Het onderzoek wijst ook op een directe correlatie tussen byod-gebruik en bekendheid met de risico’s. Hoe vaker byod voorkomt, hoe beter het personeel de risico’s begrijpt. Dit is een positieve bevinding voor organisaties die overwegen of/wanneer men beleidsregels, tegelijkertijd met risicotrainingen, wil invoeren.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4903071). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Het is verbazingwekkend hoe weinig men bewust is van risico's. Uit het onderzoek blijkt m.i. dat persoonlijke bevrediging belangrijker is dan bedrijfsveiligheid.

Het geeft inderdaad te denken over het verantwoordelijkheidsgevoel van de werknemers. Wanneer werkgevers net zo makkelijk met persoonlijke gegevens om zouden gaan is Leiden in last, maar andersom wordt het niet als probleem gezien.

Maar ook het beleid van de werkgevers kan vraagtekens oproepen. Met mijn thuis PC kan ik mijn zakelijke e-mail (incl attachments) bekijken. In sommige gevallen houdt dat in dat ik documenten (tijdelijk) lokaal opsla om te kunnen reviewen / aan te passen. Wil je als werkgever niet dat je documenten op zo'n manier bij mensen thuis op systemen komen, zul je ook daar over na moeten denken.

We hebben te maken met (jongere) generaties verwende mensen, die de beschikking hadden en hebben over “anything, anywhere, anyplace”. (Een deel van) onze generatie is daar rijk mee geworden. De rest vond het goed, probeerde bij te blijven of doet wanhopig pogingen daartoe. De continu voortrazende smartphone – en tablet hypes zijn daar een goed voorbeeld van.

Als jij alles hebt, altijd overal bij kon en communicatief gezien altijd bereikbaar was op een door jou gekozen manier via een door jou gekozen device (als een soort personal statement) dan laat je je niet van de wijs brengen als bij een werkgever wordt geconfronteerd met rare regeltjes over het gebruik van jouw spullen. Wat denkt die wel?

Het zal wellicht niet lang duren voor de eerste rechtszaak wordt aangespannen door een werknemer die het recht opeist om zijn eigen spullen te gebruiken. Of juist door een werkgever die werknemers wil verbieden dat juist niet te doen. Misschien is een van beide al voorbij gekomen, ik kan wat gemist hebben.

De andere kant van de medaille is ook aan de orde: werknemers die, hoewel uitgerust met tablets en smartphones, eisen dat ze in hun vrije tijd met rust gelaten worden… door hun werkgever: http://www.parool.nl/parool/nl/30/ECONOMIE/article/detail/3388755/2013/02/05/Duitse-werknemers-eisen-recht-op-onbereikbaarheid.dhtml

Bedrijven zouden er beter aan doen om middelen aan te bieden die BYOD wel mogelijk maken, ipv tijd te steken in het controleren of mensen geen bedrijfskritische informatie meenemen op onveiligie manieren. Biedt ze een veilige manier aan en de bereidheid om dit te gebruiken zal vele malen groter zijn dan door het te verbieden en te hopen dat mensen hier naar luisteren. De risico's zijn te groot om het niet goed te regelen.

Men neme een Android device en men probeert te twitteren via de browser op dat device..... dat is niet mogelijk... je gaat naar de Play Store en zoekt op Twitter. Men klikt op installeren en de play store zegt Twitter heeft toegang nodig tot: (lijstje met applicatie rechten waaronder)

Uw accounts
Accounts maken en wachtwoorden instellen, accounts op het apparaat gebruiken, accounts toevoegen of verwijderen

Come again?!?

Als je op dit soort rechten accoord geeft moet je wel heel erg vertrouwen op de App bouwer!

M.a.w. weet wat je doet :-)


In mijn oren klinkt het eerder alsof de security dusdanig open staat dat er voldoende resources worden aangeboden om dit soort "overtedingen" te accepteren.

"als ik niemand in mijn woning wil toelaten, dan is het ook mijn verantwoordelijkheid om de nodige ingangen van sloten en overage passende beveiliging te voorzien"

Ik had in mijn laatste opinie iets geschreven over 'Shadow IT' waar nogal wat opmerkelijke reacties op kwamen, dat ik een flut artikel geschreven had bijvoorbeeld. Opinie sloot ik trouwens af met: History doesn't repeat itself, but it rhymes – Mark Twain

Stoute gebruikers zijn tenslotte helemaal geen nieuw fenomeen want toen ze desktops kregen deden ze ook al dingen die tegen het beleid waren, bijvoorbeeld illegale software installeren. Iets wat eerder gemitigeerd werd door ze minder rechten te geven maar bij BYO dus niet werkt en omdat ze hiermee vaak met dezelfde credentials de bedrijfsresources benaderen installeert illegale software zich nu vanzelf zonder dat gebruikers het weten. In de vorm van malware zoals we konden leren met Citadel en waar Rick Gevers een mooi rapport over heeft geschreven: http://dl.surfright.nl/Citadel-malwareonderzoek_Pobelka_botnet.pdf

Dat BYO tot een hoger bewustzijn van de risico's leidt is trouwens complete onzin, berouw komt namelijk altijd na de zonde. En als ik me niet vergis blijkt uit cijfers dat bijna 3/4 van de gebruikers in Nederland zich er helemaal niet druk om maakt. Ook niet echt verrassend als ik naar security index van Unisys kijk waar nog een groot vertrouwen in de overheid uit lijkt te spreken.

Ewout, wat een prachtig rapport! Geweldig.

Over je verwijzing naar mijn reactie ga ik niet in, dat is allang uitgekauwd.

Het is in ieder geval duidelijk dat er een schone taak ligt bij ieder bedrijf al zijn medewerkers te trainen.

Interessant artikel, als "jongere" generatie kan ik me hier prima in vinden. De vraag is natuurlijk wel in hoeverre BYOD nog waarde heeft als het de veiligheid van de bedrijfsdata in gevaar brengt.

Zoals het artikel al suggereert hoeft er geen actie vanuit de (meeste) gebruikers verwacht te worden. Het ligt dus voor de hand dat de IT afdeling na moet denken over een oplossing voor dit vraagstuk. Persoonlijk zie ik deze oplossing liggen in de "containerisatie" van bedrijfsapplicaties en data. Waarbij de bedrijfsdata gesplitst wordt van de gebruikers data. Door middel van van een juiste afbakening en beveiliging blijft het voor het bedrijf mogelijk om vanuit een secure omgeving te werken zonder in de private space van de gebruiker te zijn. Hierdoor kan gebruik gemaakt worden van de beschikbaar gestelde hardware, met ruimte voor de gebruiker en veiligheid voor het bedrijf.

Mocht een gebruiker het bedrijf verlaten dan kan simpelweg de toegang tot deze container ontzegd worden en is daarmee de data veilig gesteld.

Allereerst ga ik hier vol ongeloof met mijn hoofd schudden. Wat voor een flutberedeneringen worden er hier naar voren gebracht.

Byod en regie
Byod is een zaak van de organisatie/ondernemer die beleid en gereedschappen voor productie ter beschikking stelt aan een werknemer. Hoe een roganisatie of ondernemer dat inregelt is volkomen een zaak van de betreffende. Het hyperige gedoe rond het byod verhaal is een gotspe. Het is niet de werknemer die bepaald waar hij/zij behoefte aan heeft maar de regisseur. Een ieder die daar anders over wil denken moet zichzelf eens af gaan vragen of die wel begrijpt wat gezond ondernemerschap is.

Voor daar even mijn bescheiden en eenvoudige mening over dat hele byod verhaal.

Google glass, smartwtach, auto met internet connectiviteit
Een beetje ondernemer gaat er eerst eens rustig voor zitten voor die uberhaubt gaat nadenken over implementatie van peripherals die gewoon vragen om 'smart crime'. Een ieder die daar anders over denkt, moet zichzelf maar eens afvragen of die wel enig begrip en besef heeft van veilig en gedegen IT inzet en onderhoud.

Overtreding Byod beleid
Als dit artikel al iets aan toont dan is het dat je bij mij als 'regisseur' niet moet aankomen met hoe jij je werkplek als werknemer ingeregeld zou willen zien. Dat is iets wat ik als 'regisseur' uit maak en de 'boundries' daarvan neer leg. Zo eenvoudig is dat.

Is dat een zaak van onderhandeling? Diegene die mij hiervan probeert te overtuigen probeert mij iets te verkopen waar enorme gevaren en nadelen voor mij als ondernemer aan hangen. U dacht dat ik een dergelijke discussie dan zou aan gaan?

Laten we even terug keren naar de realiteit en rede. Dit soort onderzoeken zijn alleen voor alsnog gebaseerd op aannames en hypotheses. Niet op de huidige stand van zaken.

Voor wat mijn stuivertje hier waard is...

Achterhoedeschermutselingen. Het gevecht om controle te houden over informatie en gedrag van medewerkers is een verloren gevecht.

Organisaties zullen moeten gaan wennen aan vergaande transparantie op elk gebied. Stel jezelf de vragen: Wat betekent het als straks vrijwel alles direct op straat ligt? Waaruit bestaat dan nog onze voorsprong? Is kennis nog macht? En als macht en kennis geen voorsprong meer geven, wat dan nog wel?

De toekomst is aan organisaties die empatischer en leniger zijn. Die zich onderscheiden door het inleven in mensen en hun behoeften. Die bij implementatie bewegelijk en razendsnel zijn.
De toekomst is aan organisaties die er voor zorgen dat informatie over hun handelen voortdurend outdated is.

De reacties op dit stuk geven precies het probleem weer. Net doen alsof security voor een werknemer een belangrijk issue is. Nee dus, totaal niet interessant.

Wordt wakker dames en heren beveiligers. Werknemers en managers worden afgerekend op productie. Op zoveel mogelijk lettertjes, code, contracten, testgevallen enzovoorts produceren per uur. Juist in tijd waarin werknemers meer en meer onder druk staan om maar meer te presteren voor vaak ook nog minder beloning zal beveiliging ze dus aan hun reet roesten. Elk middel dat kan helpen om een beetje te helpen in het makkelijker tot resultaat komen wordt aangegrepen. Betrapt worden op het overtreden van een beveiligingsregeltje kom je tenslotte vaak nog wel mee weg, onvoldoende productie halen, das dodelijk voor je carrière.

Zolang beveiligingsexperts deze hele eenvoudige basisregel niet begrijpen zal beveiliging dweilen met de kraan open blijven.

Deze uitslag verbaast me niks, net als de meeste lezers. De oudere garde van nu voelt zich al snel verantwoordelijk voor wat ze doen of laten. Maar generatie Y is niet zo ver. Ze zijn wel sterk in “what's in for me” en vertellen wat je wilt horen, maar niet in het dragen van verantwoordelijkheid. Daarbij komt dat generatie Y weliswaar met ICT gadgets en nieuwe media zijn opgegroeid en die gewoon vindt. Maar die zijn al jaren zo gebruiksvriendelijk, dat men nog amper hoeft te begrijpen hoe e.e.a. technisch werkt en wat de eventuele gevaren zijn. De ICT kennis van generatie Y wordt vaak sterk overschat, vooral door henzelf. Ze weten snel wat de nieuwe mogelijkheden zijn, maar niet wat onbedoeld ook kan gebeuren. Logisch, want het zijn doorgaans ook geen ICT’ers.

Helaas helpt het personeelsbeleid van bedrijven ook al niet om een gevoel van onderlinge en wederzijdse verantwoordelijkheid te creëren; integendeel. En als zowel baas/bedrijf als medewerker hun verantwoordelijk niet aanvoelen, dan gaat het goed mis. Gevoelige data liggen dan ook om de haverklap op straat; veel vaker dan de pers meldt. Ze kunnen niet elk incident weten en melden. En dan hebben we het nog niet eens over wat de NSA en hun (private) concurrenten kunnen doen mede dankzij BOYD.

Zo’n onveilige situatie moet je als ICT- en als algemeen manager nooit accepteren. Het management moet zorgen voor een helder en logisch BYOD beleid en voor de mogelijkheid van sancties bij overtreding van het BOYD beleid invoeren. Als ik met mijn auto of leasebak te snel of roekeloos rijdt, dan moet ik ook de boete of de schade betalen.

Uiteraard mag de manager bij overtreding van het BOYD beleid pas gaan wijzen en eventueel straffen als hij/zij het BOYD beleid zelf ook goed geregeld heeft (en naleeft). En dat is zelden het geval.
Dus (ICT-)managers, begin bij uzelf.

Zoals wel vaker kan ik me prima vinden in de visie van NumoQuest.
Ik ben zoiemand die idd wat anders wil dan de meeste mensen willen.
Wordt mij dat niet geboden prima maar dan heb je niet zo heel veel aan mij.
Ik kan dit echter goed technisch onderbouwen.
Iemand die gebruik maakt van een tablet of een slimme telefoon waarvan hij/zij van de onderliggende technologie geen enkel benul heeft kan dit hoogst waarschijnlijk niet.

Zoals Henri terecht aangeeft als je aan een volkomen vreemde organisatie toestemming verleent om de essentiele beveiliging van je systeem te beinvloeden zelfs zonder dat je geinformeerd wordt waarom, waneer en hoe dat gebeurd dan zul je er wellicht ook weinig problemen mee hebben je bankgegevens even in een emailtje naar mij toe te sturen, Heus mijn buurjongetje van acht zal er heel zorgvuldig mee omspringen !

Wim Aalbers, wat een heerlijk prikkelende reactie!
Stof tot nadenken!

deejaa, ook jouw reactie kan ik waarderen.

@ Deeja
You prove my point exactly.... dank je.... Maar... zoals ik het doorgaans stel, de hele discussie 'an sich' kan mij een beetje gestolen worden. Als professionals zich al niet kunnen houden aan de meest basale principes van het IT proces, namelijk eerst even goed nadenken waar je mee bezig bent ipv de mooiste dingen van de daken te gillen, moet je dat vooral doen.

Ik hoef namelijk de rekeningen niet te betalen wanneer het mis gaat.

@Pascal

Dank ;O)

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×