Consumenten applicaties zijn makkelijk in gebruik. Werknemers maken daarom maar al te graag gebruik van deze applicaties. Dit brengt echter een aantal risico’s met zich mee. Diverse experts vertellen welke risico’s een bedrijf loopt wanneer deze apps zakelijk worden ingezet. Ook werpen ze een blik op de vraag hoe de beveiliging van businessapps gewaarborgd kan worden.
Consumentenapps als Google Hangouts, Dropbox, Wetransfer zijn van grote waarde voor iedereen. Dit vanwege het eenvoud in gebruik: iedereen kan bestanden versturen en downloaden en alles gaat vlot. Volgens Luc Costers, VMware country manager Belgium & Luxemburg is het zakelijk gebruik hiervan slecht nieuws. Dit omdat de toepassingen niet zijn gemaakt voor het bedrijfsleven. ‘Ze beschikken dus niet over alle security-policies die je verwacht in een zakelijke omgeving. Ben je bijvoorbeeld zeker dat het originele bestand wordt verwijderd uit de app die je hebt gebruikt?’
Ander businessmodel
Ook Liselotte Couttenye, uc-specialist bij Computacenter meent dat het onverstandig is om consumenten-apps zakelijk in te zetten. ‘Deze apps niet zijn gebouwd voor bedrijven. Dat betekent dan ook dat ze een heel ander businessmodel hebben. Het verzamelen van data maakt daar zeer vaak deel van uit. Als je dan bedenkt dat er zakelijke informatie gedeeld wordt in die apps, begrijp je wel dat dit geen ideale situatie is.’ Bart Renard, director business development bij Vasco Data Security, sluit zich hier bij aan. ‘De consument beseft niet hoeveel data, privacy en security hij weggeeft of online gooit. Bovendien is een mobile app always on: zelfs als de app niet wordt gebruikt, kan hij toch misbruikt worden.’
Couttenye stelt dat je het gebruik van consumenten-apps alleen kunt vermijden door zelf een degelijk appaanbod te bieden. ‘Mensen grijpen naar consumenten-apps omdat ze gebruiksvriendelijk zijn en vooral ook omdat ze die apps kennen. Los van het implementeren van dus bijvoorbeeld een zakelijke messaging tool, moet je als bedrijf dan ook investeren in opleiding. Als mensen niet weten hoe iets werkt, zullen ze het uiteraard links laten liggen.’
Drie problemen
Eddy Willems, security evangelist bij G Data, ziet drie problemen bij de zakelijke inzet van consumentenapplicaties. Zo wordt er regelmatig malware aangetroffen in apps uit de officiële Google Play Store. Dat betekent dat een smartphone een potentiële opening kan zijn voor cybercriminelen tot het bedrijfsnetwerk. Ten tweede zijn de meeste consumenten-apps gratis. Het adagium: ‘als een product gratis is, dan ben je zelf het product’ klopt voor de overgrote meerderheid van de gratis consumenten-apps. ‘Als hetzelfde device ook zakelijk gebruikt wordt, ligt feitelijk allerlei bedrijfsinformatie op straat via die apps’, laat Willems weten. Het derde probleem is dat consumenten apps vaak ook zakelijk ingezet worden. ‘Dat is lang niet altijd toegestaan volgens de gebruikersovereenkomst. Dit kan de werkgevers van de gebruikers van deze apps een juridisch zwakke positie geven wanneer bijvoorbeeld sprake is van een datalek via een dergelijke app.’
Security
‘Security moet een no-brainer zijn,’ meent Franky Geldhof, erp-sales consultancy director & applications director bij Oracle. ‘De core business van elk bedrijf is met name business-activiteiten (producten/services) realiseren. Softwareapplicaties worden gebruikt om dit zo goed mogelijk te ondersteunen. De snelheid waarmee businessapplicaties wijzigen geeft bedrijven de mogelijkheid om nieuwe markten te benaderen en te innoveren – wat trouwens hun prioriteit moet zijn. De focus moet hierbij gericht zijn op de toegevoegde waarde van de business applicatiesoftware, waarbij security één van de building blocks is die er gewoon moet zijn. Security mag niet het discussiepunt worden.
Businessactiviteiten softwarematig ondersteunen
Volgens Geldhof heeft een bedrijf ruwweg twee opties om zijn businessactiviteiten softwarematig te ondersteunen: het zelf beheren van de infrastructuur/oplossing (private cloud) en het uitbesteden van de infrastructuur/oplossing (public cloud – SaaS). ‘Met de eerste optie heb je heel wat vrijheid/zelfstandigheid, maar de nadelen zijn hogere kosten (personeel/services) en een tragere innovatiecyclus. Hierbij moet het bedrijf zelf instaan voor bijvoorbeeld beveiliging en dit zal impact hebben op hoe men het budget besteedt. Een deel zal gebruikt worden voor beveiligingsexperten en additionele services in plaats van business-doeleinden. Via de tweede optie kan een bedrijf meer standaardiseren, oplossingen personaliseren, innovatiesnelheid behalen en gebruikmaken van de bestaande, meegeleverde beveiligingsservices,die voldoen aan de hoogste normen. Alle focus ligt dus voor 100 procent op de toegevoegde business value.’
Contracten
Willems van G Data meent dat het lastig is om de beveiliging van zakelijke apps te waarborgen. ‘Dat komt doordat niet elk bedrijf in staat is om de code van een app te controleren. Wanneer een app speciaal voor een onderneming wordt gebouwd, kunnen welk bepaalde afspraken worden vastgelegd in het contract.’ Het is volgens Willems van essentieel belang dat er contractueel wordt vastlegt dat een databewerker onmiddellijk een datalek aan de organisatie moet melden. ‘Je zou ook kunnen vastleggen dat je it-partner aan bepaalde andere normen voldoet.’
Training
Ook Costers (VMware) ziet de meerwaarde van zo’n securitybeleid. Hij meent dat werknemers ook getraind moeten worden. ‘Het is belangrijk om eindgebruikers te laten begrijpen dat er beleid is en dat ze voorzichtig moeten omgaan met het verzenden van hun data via dergelijke apps. We zien ook steeds meer bedrijven eigen apps met vergelijkbare functionaliteiten bouwen in een meer privé-omgeving. Die tools zijn echt verbonden met de onderneming, garanderen je dezelfde gebruiksgemak, flexibiliteit en beschikbaarheid maar ook dat je jezelf niet blootstelt aan mogelijke datalekken of activiteiten die niet overeenstemmen met het securitybeleid.’
Data- en appbeveiliging
‘Als je bij beveiliging vertrekt vanuit de devices, zal je altijd achterop hinken’, meent Steven Heyde, regional director bij Trend Micro Benelux. Dit omdat er steeds nieuwe devices bijkomen. Dat zijn vaak verschillende types van verschillende merken. ‘Voor bedrijven is het heel moeilijk hier vat op te krijgen en continu mee te lopen met de nieuwste hypes.’ Volgens hem moet je daarom data en applicaties beveiligen, centraal en onafhankelijk van het device waarmee ze gebruikt worden. Zo beveilig je je organisatie aan de bron, en ben je niet meer afhankelijk van de trends en nieuwe productlanceringen binnen de mobiele devices.’
