Privésurfen op werksystemen compromitteert bedrijfssecurity. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Privégebruik van werkmiddelen is een vaak oogluikend toegestane praktijk. Het zakelijk gebruik van privémiddelen is vaak een aangemoedigde, want semi-zuinigere, praktijk. Maar privésurfen en byod kunnen fikse gevolgen hebben. De impact gaat namelijk verder dan imagoschade voor een pornosurfende politicus die verhullende screenshots post van zijn openstaande browsertabbladen. De vermenging van privé en zakelijk ict-gebruik kan security de kop kosten.
Dit ongeacht of de zichzelf blootgevende politicus nu wel of niet al weken eigenhandig onderzoek naar malware deed, op/via/met die ophefmakende websites. Dit incident is namelijk slechts een symptoom. Teveel mensen vermengen werk en privé, waardoor eerstgenoemde gevaar loopt. En via de werkgevaren lopen weer andere mensen risico, bijvoorbeeld klanten die privégegevens zoals medische informatie zien lekken. Moeten we terug naar gescheiden apparaten voor gescheiden taken? Of is er een betere manier om werk en privé tegen elkaar te beschermen? Wat vind jij?
Het is zaak duidelijke afspraken te maken met werknemers, daarnaast helpt een goede voorlichtingssessie die meerdere uren duurt over de gevaren waar ook prive-gebruik ter sprake komt.
Als laatste middel kan in de PC een blokkade gezet worden voor schadelijke websites.
Uit mijn ervaring werkt het medeverantwoordelijk maken van de medewerkers beter, een soort sociale grouppolicy.
Wanneer je een ‘idee’ als ‘ byod’ toe gaat staan en vervolgens tot de ontdekking komt dat je een beveiligingsprobleem hebt omdat mensen, ondanks instructie, nog steeds verschillende emailsystemen hanteren, nog steeds uit gewoonte onveilige handelingen verrichten op hun device die zij ook ‘zo node’ op de zaak gebruiken en dat ‘de zaak’ plots wordt geconfronteerd met de schade en uiteraard de vervolgschade, dan pas begrijp je waarom het ‘byod’ concept een louter commercieel is en niets toevoegt.
Er is altijd al een strikte scheiding geweest tussen wat je thuis op je device doet en wat je doet op die van de zaak. De hele stelling is wat dit betreft, en wat mij betreft, een nondiscussie.
Scheiding tussen werk en privé werd in de jaren 90 ten grave gedragen met toen populaire PC-privé projecten – gegevens werden toen gelekt via diskettes en vice versa kwamen de virussen binnen – hoewel die scheiding eigenlijk nooit duidelijk aanwezig geweest was als we kijken naar het (in het zuiden) rijke verenigingsleven van de jaren daarvoor.
Eufemistische ‘klankborden’ wordt niet alleen gedaan over burgemeesterskandidaten want NumoQuest heeft het altijd over non-ICT maar ziet het gevaar van de social engineering nog niet. De scheidslijn tussen commercieel en non-commercieel is uiteindelijk heel diffuus als we kijken naar de informele informatie overdracht, puriteinse voorbeelden van auteur doen vermoeden dat Computable een sterke SGP inslag heeft gekregen.
Persoonlijk vind ik al dat je als ICT-er op je werk geen porno sites moet gaan bezoeken of ranzige gesprekken op het internet moet aangaan. Maar hey, evidentie is saai ..