Een herkenbaar beeld voor velen: ’s avonds op de bank nog even je zakelijke mail checken. Of op je tablet nog de laatste documenten doorlezen. Werk en privé lopen tegenwoordig vaak in elkaar over, zo ook het gebruik van onze zakelijke en privé devices. Dit brengt ons veel gemak, tijdwinst en flexibiliteit. Organisaties laten medewerkers vaak vrij in het installeren van mobiele apps op zakelijke devices, zoals de werktelefoon. Verstandig?
Veel apps zijn gratis of kosten een paar euro. Vaak betaalt de gebruiker met iets anders: het verlenen van toegang tot microfoon, camera, locatiegegevens, berichten, foto’s en andere privé- en zakelijke gegevens. Data is immers het nieuwe goud. Afgelopen zomer constateerde onderzoeker Adam Reeve dat een gebruiker van de populaire app Pokémon Go, na het inloggen met een Google-account automatisch toegang gaf tot onder meer diens volledige e-mail en Google Drive documenten.
Informatiebeveiliging heeft over het algemeen ook niet de hoogste prioriteit voor appontwikkelaars. Apps moeten snel worden opgeleverd met een focus op functionaliteit; security-eisen werken vertragend. Of ontwikkelaars hebben simpelweg onvoldoende security-kennis om apps veilig te bouwen. Neem daarbij het feit dat cybercriminelen hun aanvalsterrein verleggen naar mobiele apps en je hebt een datalek by design.
Uit de resultaten van de VKA’s Nationale Enterprise Mobility Benchmark 2016, blijkt dat organisaties vooral ‘klassieke’ informatiebeveiligingsmaatregelen toepassen op mobiele devices. Daarbij wordt als meeste genoemd het verplicht gebruik van een wachtwoord of pincode, een gebruikersrichtlijn voor mobiele devices, en automatische schermvergrendeling na inactiviteit. Slechts een klein deel van de organisaties neemt op dit gebied preventieve maatregelen, zoals het blokkeren van specifieke apps (17%) en het blokkeren van de mogelijkheid om zelf apps te kunnen installeren (11%).
Het buiten de deur houden van onveilige en privacyonvriendelijke app’s op zakelijke devices blijft voor organisaties een aandachtspunt. Welke apps zijn voor medewerkers echt noodzakelijk? Welke preventieve maatregelen zijn passend? En heeft informatiebeveiliging een plek in het Bring Your Own Device-beleid van de organisatie? Kortom, genoeg gespreksstof voor de security officer, privacy officer en de HR-manager.
Benieuwd naar meer resultaten uit de Enterprise Mobility benchmark? Vraag dan hier het rapport aan.