Hallo Arnold,

ik lees het niet zo hard in je bericht, maar zeg je nu eigenlijk: de werkgever mag eisen stellen aan het gebruik van eigen middelen (zoals controle) en anders die middelen weigeren? (met als consequentie dat je of naar de zaak moet komen, of dat je alleen thuis kan werken als de werkgever een PC beschikbaar stelt)

Q

Ik vrees dat we aan een halte voorbij gaan.
Arnoud geeft keurig aan dat wernemers alleen privé aansprakelijk zijn bij opzet of (zeer) grove nalatigheid... Échter zou ik en een ieder ander die BYOD-regels probeert op te stellen dat om nalatigheid te voorkomen een alternatief is het systeembeheer/(in de vraagstelling 'de werkgever') te laten controleren. Besluit je dat dit tegen jouw privacywens is, valt het binnen jouw verantwoordelijkheid (stel ik ook duidelijk in de documenten) om actief updates uit te voeren en berichten van de 'security-portal' (hier plaats ik memo's / "post-its" over hot-topics en plaats FAQ's) actief bij te houden.

Zodoende (ben ik dan van mening) kunnen wij stellen dat zogauw de gebruiker niet wenst dat het systeembeheer de controles uitvoert en het ook maar in enige vorm nalaat de overige instructies te volgen deze per direct nalatig en zodoende ook privé aansprakelijk is. De enige andere wijze om nalatigheid te voorkomen bij een niet-zorgvuldig-genoege gebruiker is immers wél-competente mensen inzetten, excuus voor de lullige vorm van verwoording.

Waarom (vind ik) moet dit standpunt standvastig vastgehouden worden? Anders gaan 'deze categorie' gebruikers die alleen kijkt (blijkt "time and again" uit hun keuzes en handelingen) naar hun eigen gemakspunten en klaarblijkelijk (want ze kunnen nalatig worden) tegelijkertijd niet de benodigde achtergrondkennis hebben voor de security-afweging an-sich uit pure gemaktzucht nooit deze fout *niet* maken.

Situatie (naar voorbeeld uit mijn eigen ervaring)
De gebruikers mogen thuiswerken, hiervoor kan een gebruiker kiezen een door het bedrijf aangeschafte computer te gebruiken die vooraf is geïnstalleerd, of conform ons BYOD-beleid een apparaat inbrengen wat zich mag aanmelden binnen onze Active Directory.
Het meerendeel van de gebruikers kiest als je geen restricties in de vrijheden stelt bij de situatie met BYOD voor de BYOD oplossing in de volgende vorm:
"Oh, een laptop deels vergoed (in onze situatie) door de zaak, die kies ik met iets uitgebreidere hardware en ik zet deze ook meteen privé in".
"Oh, maar de werkgever wil controleren of ik alles juist beveilig? Nee, PRIVACY! ookal hebben jullie pakweg het ruime meerendeel van het apparaat vergoed!" (wat bijna automatisch op de kwestie eigendom vs bezit/houderschap stuit...)
vervolgens vindt er een datalek plaats bij deze gebruiker.
"Ja, maar ik wíst helemaal niet dat ik onvoldoende beveiligd was." is vervolgens het argument wat blijkbaar (als ik de wet juist interpreteer) nog een geldige reden mag wezen ook... Tegen elke vorm van logica druist het in, want waar expertise mist zou je een expert in moeten schakelen in plaats van de boel de boel te laten en het nog voet voor argumentering te geven ook...

Hoe deze situatie uiteindelijk heeft kunnen ontstaan?
Simpelweg omdat de wet te kort door de bocht was geïnterpreteerd... wanneer een gebruiker namelijk "de risico's aanvaardt dat het systeembeheer geen controle uitvoert" (en dan hebben we het in onze situatie zelfs over aangekondigde controle, wijzelf bellen de gebruiker bijvoorbeeld alvoor teamviewer een popup geeft of wij even mogen mee-kijken) moet de gebruiker nou eenmaal accepteren dat hij de beveiliging ook onzorgvuldig uit kán voeren (onzekerheidsprincipe), en dus moet het deze persoon ook vanzelfsprekend verwijtbaar worden wanneer deze de risico's accepteert maar niet juist heeft ingeschat of beoordeeld, laat staan het werkelijk worden van risico's controleert (wat de hele functie van de externe controle, feitelijk, is)...
De wetgeving laat hier een gigantisch grijs gebied over vallen wat alleen gepast is wannéér het BYOD-beleid niet specificeert wélke handelingen van de gebruiker verwacht worden op het moment dat systeembeheer het beheer niet (al dan niet zelfstandig) mag uitvoeren. Op dat mag je echter (terecht) stellen dat de gebruiker onvoldoende is ingelicht...
Ik ben zelfs van mening dat als een bedrijf een kraakhelder BYOD-beleid zou hebben (moet de eerste nog tegenkomen, die van ons is ook zát op aan te merken) en de gebruiker voor de risico's aan zijn zijde kiest, het bedrijf zelfs niks verweten mág worden tot een vorm van schuld aan hen zijde is aangetoond...

M.A.W. we moeten blijkbaar in het algemeen aanleren dat het accepteren van risico's ook verantwoordelijkheden met zich meebrengt (ik dacht dat de meeste kleuters dit al doorhadden tijdens de eerste looppogingen, maar goed...), zulke verantwoordelijkheden kan je blijven proberen afschuiven, maar dat levert in feite alleen maar meer problemen op...

Er is eigenlijk een veel simpeler manier om de boel te beveiligen. Zorg dat een thuiswerker altijd inlogt op een virtual desktop (citrix of ms remote desktop) met voldoende afscherming (geen bestandsuitwisseling, geen printer driver uitwisselen e.d.) Dan hoeft de werkgever niet te controleren, hoeft niet bang te zijn, dat zomaar bedrijfsgegevens uitlekken en kan de werknemer zelf uitzoeken wat hij met zijn eigen spullen wil. Daarmee kun je ook problemen van verschil in OS opvangen.

Hele rare gang van zaken om dit middels een teamviewer sessie te controleren. Ben zelf beheerder maar zou dit ook pertinent weigeren. Tevens is dit een momentopname en zegt dus niks over de toekomst, of gaan ze elke week/maand een sessie opzetten?

Er zijn slimme SSL VPN oplossingen, bijv. Barracuda SSL, die netjes controleren of je een recent nog ondersteund OS hebt, je browser de laatste versie is en of programma's zoals java en flashplayer uptodate zijn. Deze check wordt bij elke inlogpoging gedaan en lijkt me een stuk veiliger dan een teamviewer sessie opzetten en zo blijft ook de privacy gewaarborgt.

Tevens hoeven dit soort apparaten /vm's helemaal niet zo kostbaar te zijn en heeft voor zowel de organisatie als medewerker grote voordelen.

Is het niet handiger als de werkgever een thuiswerkfaciliteit inricht waarbij de veiligheid van de PC van de mensen thuis
niet meer van belang is voor de veiligheid van het bedrijfsnetwerk?
Er zijn zoveel opties voor tegenwoordig...
Meestal maak je dan meteen de afhankelijkheid van de specifieke omgeving thuis veel minder.
D.w.z. de gebruiker kan thuis gewoon onder Linux of MacOS werken ook al is het werk een Windows-shop.

Arnoud noemt hier het "Automatisch rondkijken in een privé omgeving". Daar is hier dus geen sprake van. Het gebruikte programma TeamViewer is een remote desktop tool waarmee het bureaublad van een computer met anderen (in dit geval waarschijnlijk de systeembeheerder van de werkgever) kan worden gedeeld.

Vanuit de techniek is er ook veel mogelijk. Gewoon Security guidelines enforcen. Geen up to date virusscanner, patches of andere dingen, dan krijg je geen toegang tot de bedrijfssystemen.

Vanuit de techniek is hiervoor voldoende mogelijk.

Als de werkgever wil dat ik thuis werk, dan stelt hij daarvoor maar een computer beschikbaar.
Werkgever op mijn eigen machine laten rondneuzen? No way!

Nee, dan is geen toegang via BYOD mogelijk. Inmiddels kan thuiswerken worden geeist, dus dan zorgt de werkgever maar voor een andere oplossing. Beetje met de tijd meegaan.

Dat zie je verkeerd: de werkgever wil niet dat jij thuiswerkt, JIJ wilt thuiswerken. En als ik de werkgever was dan had ik je de keuze gegeven: of jij laat mij controleren dat jouw thuis pc in orde is, of je komt maar mooi naar kantoor.

In de praktijk krijgen veel mensen een laptop van het bedrijf en speelt dit natuurlijk niet...

Als je volledige controle wilt behouden dien je voor alles te betalen. Punt.
Computer van de zaak. Compleet met policies en management software. Dedicated verbinding. Enzovoorts.

Als je denkt "voor een dubbeltje op de eerste rang te kunnen zitten" dan zitten daar (juridische) risico's aan verbonden.
Kun je denken dat af te vangen met een hoop dure woorden en bluf, maar de gemiddelde jurist zal daar gehakt van maken.

Want dat de wetgever achterloopt op de stand der techniek is al langer een feit.

En zelfs al krijg je, achteraf, juridisch gelijk. Het leed is dan al geleden. Voorkomen is een betere strategie.
Risico's in kaart brengen en pragmatisch afdekken. Met de zegen van de top. In de wetenschap dat het hier en daar hinderlijk gaat zijn.

Het is met BYOD en thuiswerken dus heel simpel. Laat ook daar blijken hoe serieus je de zaken neemt. De rest is/wordt leergeld.

Alles bij elkaar genomen lijkt het verstandiger om externe verbindingen binnen te laten komen op een dichtgetimmerde TS/Citrix/whatever server, en van daaruit doorhoppen naar de bedrijfssystemen.

Sowieso is het aan te raden je bedrijfssystemen ook tegen interne bedreigingen te wapenen. Bij wijze van spreken alsof ze rechtstreeks aan het Internet hangen. Want ongetrainde medewerkers is een ding, maar wat externen/inhuur soms op hun laptops mee naar binnen slepen.... au! Zoals SSL VPNs, via tethering desnoods, naar allerlei onbeschermde netwerken openen. Of bedrijfsdata naar de lokale laptop kopieren (werkt sneller en veiliger), maar "vergeten" dat Dropbox mee kijkt. Zelfs complete databases die ongevraagd een of andere Cloud dienst ingeduwd worden. En die gasten hebben vaak meer toegang tot gevoelige data dan de gemiddelde werknemer.

Persoonlijk vind ik het rondkijken met Teamviewer 2 stappen te ver voor een werkgever. Er zijn, zoals ook al enkele malen aangegeven, voldoende andere middelen om de checks die een werkgever wil doen electronisch uit te voeren en wel elke keer als je gebruik maakt van de corporate omgeving. Helaas werkt het opstellen van regels en verklaringen niet meer in deze tijd van 'algemene voorwaarden klikken we gewoon aan zonder te lezen', anders zou dat een andere mogelijkheid zijn.

Een werkgever die thuiswerken ziet als een gunst heeft het volgens mij niet helemaal begrepen. Je wilt, als werkgever, je personeel zo optimaal mogelijk laten werken. Voor een grote groep mensen hoort daar met enige regelmaat thuis werken bij. Als het voor je functie mogelijk is en een werknemer heeft er behoefte aan moet je proberen dat op een goede manier te faciliteren, inclusief de rechten en plichten van de werknemer. Het recht is het thuiswerken, de plichten zijn dat er ook echt gewerkt wordt en wel op een veilige manier.

Werkgever vraagt medewerker: Wat is je IP adres?
Medewerker zegt: xxxxxxx
Werkgever doet een remote security scan zonder inzicht in gegevens...

Welkom in 2015!

Met alle respect voor Arnoud, maar deze keer praat hij erom heen zonder tot een duidelijke uitspraak te komen. Zal wel komen uit zijn universitaire opleiding waar je tegenwoordig leert een onderwerp vanuit meerdere standpunten te belichten zonder veel eigen licht te hebben.

Mbt de BYOD: dat is een onding wat je moet vermijden. Handhaaf een simpele, duidelijke scheiding tussen bedrijf en privee. Prijs van HW en SW is tegenwoordig zo laag dat er geen enkel excuus meer is voor een bedrijf om eigen apparatuur ter beschikking te stellen.

Thuiswerken en byod: prima. Is het nodig dat ding te scannen, niet echt.
Standaard mag je niet op het lokale device de data verwerken, dus je zet een beveiligde sessie op met het bedrijfsnetwerk en werkt daar (bijvoorbeeld in een Citrix omgeving).
Voordelen:
- geen USB sticks meer toestaan, dus geen verlies
- data blijft op het bedrijf
- pc is van ondergeschikt belang

Voorwaarde is wel dat er een beschermde - sandbox achtige - encrypted sessie wordt opgezet naar het bedrijf. Geen IE achtige oplossing.

Als het bedrijf systeembeheerder op thuiscomputers wil laten kijken dan is er denk ik iets mis met het bedrijf, want moet die man dat dagelijks doen? Iedere 10 minuten? Beetje dom toch?

Thuiswerken is volgens onze overheid een recht, waarbij werkgever moet onderbouwen waarom het niet zou kunnen, indien de werkgever het niet ziet zitten. De claim dat BYOD een gunst is, is verder wel heel erg twijfelachtig.

Veel bedrijven gebruiken BYOD omdat ze dan minder hardware hoeven aan te schaffen voor hun medewerkers. Wat dat betreft zie ik het eerder als een gunst richting werkgever, dan een gunst van de werkgever.

''With a BYOD program on an enterprise wireless network, businesses can transfer operating costs to the user. Companies can save a lot of money with the worker paying for the majority or all of the costs for the mobile devices, services, and other associated expenses.''

Dat er de afgelopen jaren zo'n hype gemaakt is van BYOD door het bedrijfsleven (waar vele miljoenen aan zijn gespendeerd), komt door het feit dat bedrijven zelf belang hebben bij BYOD. Dat werkgevers BYOD willen positioneren als een zogenaamde gunst, dat is een heel ander verhaal.

Denk je ook aan dit soort aspecten, wanneer je het hebt over BYOD, of zie je het enkel en alleen als ''iets leuks voor de werknemer'' ? Verder lijkt het niet krijgen van apparatuur van je baas, ten behoeve van thuiswerken, mij ook evenmin een ''gunst''. Integendeel.


Dergelijke checks hoeven helemaal niet handmatig uitgevoerd te worden. Indien ik een verbinding maak naar het netwerk van mijn werkgever, dan controleert de Juniper Netscreen oplossing of mijn PC voldoet aan de gestelde beveiligingseisen. Is dat niet het geval, dan kan ik geen verbinding opzetten.

Het verbaast mij dat er bedrijven zijn die denken dat je dit soort zaken handmatig uit moete gaan voeren.


En jij hebt anno 2015 geen firewall welke dergelijk verkeer vanaf het internet richting jouw PC blokkeert ? ;)


Hoe weet jij nou of ''anoniem'' zelf wil thuiswerken, of dat zijn werkgever wil dat hij ook thuis werkzaamheden verricht ? Van wie de wens komt, hangt maar net van de situatie af. Ik moet vaak genoeg thuis werken (ongeacht of ik dat wil). Je roept wat, zonder de context te kennen.

Tegenvraag: Is handmatige controle de meeste proportionele (en effectieve) manier om zo'n check uit te voeren, aangezien er tal van geautomatiseerde oplossingen voorhanden zijn waarmee zo'n check uitgevoerd kan worden ? Ik heb geen bezwaar tegen een controle of ik een virusscanner draai en update heb gecontroleerd.

Daarvoor zijn geen remote access tools nodig, en ik zou mijn werkgever ook geen toegang middels dergelijke tools (die ik niet op mijn PC wil hebben) verschaffen. Een beheerder of andere collega heeft ook niets te zoeken op mijn PC.

Hangt erg van de situatie af. Iemand die freelance werkt, zal al snel met eigen apparatuur komen, om maar wat te noemen. Generiek roepen dat men BYOD moet vermijden is een beetje kort door de bocht.

Hoezo ''standaard'', dat hangt af van de met de werkgever gemaakte afspraken, en van de aard van de data.

Het bedrijf is wel aansprakelijk als Pipo met z'n BYOD met educatieve en illegale software aan de slag gaat. Aangezien wij veel met Autodesk en Adobe licenties werken, is het wel prettig als ze voldoen aan onze voorwaarden. En ik zou dat toch graag gecontroleerd willen hebben als beheerder zijnde.

Waarom zou je het accepteren om je werk en dus alle bijkomende verantwoordelijkheden 'mee te nemen' naar je eigen apparaten? Omdat het handig is? Dat klinkt met name als een 'wel de lusten maar niet de lasten'. Het zou me niet verbazen als diezelfde personen hun priveleven ook meenemen naar de apparaten op het werk, inclusief virussen, malware en andere rotzooi.

Juniper heeft een tool die controleert zodra je inlogt of de computer voorzien is van up to date antivirus. Dat de tools zijn er voor de werkgever die moet alleen de juiste apparaten weten te vinden.

Inderdaad, "je noemt maar wat" door te stellen dat "hangt van de situatie af" en door te stellen om een freelancer met eigen spullen met het bedrijfsnetwerk te laten verbinden. Dat is toch vragen om problemen.
Als je freelancer's hulp nodig hebt koop dan goede HW en SW, laad en bevries het image en je bent klaar voor zo'n 1.000 Euro of minder. Dat mag toch geen probleem zijn!!

Tijdens het lezen van dit bericht was het enige wat meerdere malen door mijn hoofd schoot: Network Access Protection (standaard vanaf Windows 2008 uit mijn hoofd). Voor zover ik weet is het probleem wat hier geschetst wordt, het hele bestaansrecht van NAP. Voldoe je niet aan bepaalde health policies, ga je naar een apart VLAN. Ga maar maken totdat je er wel aan voldoet, daarna mag je op het netwerk.
Teamviewer gebruiken om te kijken of security op orde is, is in mijn optiek zacht gezegd ongebruikelijk.

Zou je eens de redenen en omstandigheden kunnen schetsen van die situatie dat je thuis "moet" werken? ik krijg de indruk uit je formulering dat je min of meer gedwongen wordt thuis te werken terwijl je dat helemaal niet wilt. Ik vraag me af hoe dat komt. Het lijkt mij dat het niet kan bestaan dat een werkgever je dwingt tot thuiswerken, ik zie niet in hoe dat mogelijk is zowel juridisch als praktisch (gaat je werkgever je verplichten je woning anders in te richten om het mogelijk te maken? Gaat je werkgever je verplichten te zorgen dat je woonkamer vrij is van krijsende kinderen en rondlopende huisdieren? Verwacht je werkgever dat elke werknemer zo groot woont dat die een ruimte kan inrichten als kantoor aan huis?). In de meeste gevallen zal thuiswerken iets zijn waar beide partijen baat bij hebben, maar uit jouw verhaal hoor ik een ander geluid.

Beetje een onzinverhaal. Twee analogieën:

Een politieman krijgt een dienstwapen. Dat mag hij niet privé gebruiken. Dit wordt gecontroleerd.

Een werknemer krijgt een computer om thuis te werken. Deze mag hij niet privé gebruiken. Dit wordt gecontroleerd. Probleem opgelost.

Zou je de bittenbak van de zaak wel privé willen/mogen gebruiken, dan betekent dit dat het bedrijf i.c. een systeembeheerder volledig toegang heeft en zelfs móet hebben met een beheerdersaccount.

BYOD is overigens geheel in strijd met de basisregels voor beveiliging van een bedrijf. Zo simpel is het.

De allereerste zin van de vraag eindigt met 'met je eigen computer'. Dus je analogieeen gaan allebei niet op.

Lekker naar het bedrijf toe gaan. Ben je nergens verantwoordelijk/aansprakelijk voor.
En als je thuis bent, ben je ook echt afgewerkt.

Natuurlijk is een computer van de zaak de beste oplossing als je thuis wilt werken maar in een hoop gevallen (kleine bedrijfjes) er is gewoon geen geld voor of komt het te weinig voor en willen werknemers toch soms thuis werken bijv. als er een kind ziek is en via VPN inloggen op het bedrijfsnetwerk.

Het is toch mooi dat men dat soms mogelijk kan maken zonder al te veel problemen. Men heeft het hier over NAP en andere elektronische oplossingen maar die moet je dan wel hebben en bovendien vaak moet de werknemer dan ook extra software installeren en dat is zeker niet privacy gevoelig dan? Ik denk dat ik liever heb dat iemand even via teamviewer meekijkt of alles goed is in zoverre je dat kunt zien natuurlijk dan dat ik 1 of andere tool installeer die mijn PC constant in de gaten houd.

Ik snap niet waar jullie weer problemen over maken. Als IT-er of beheerder maak je zo vaak mee dat werknemers juist uit hunzelf vragen om even naar hun thuis pc te kijken omdat ze 1 of ander probleem hebben. Kortom het is een kwestie van vertrouwen. Als beheerder weet je dat je liever geen vreemde systemen in je netwerk wil toelaten, tuurlijk... maar je hebt niet altijd de middelen om het tegen te houden en dan is teamviewer of andere check een prima middel om even te controleren om de simpelste dingen op te merken. Het is niet perfect, het is een moment opname maar so what. Beter dan helemaal niks doen. Dan weet je zeker dat het fout gaat.

En als de werknemer het niet wil, nou ja prima dan komt die toch gewoon naar kantoor toe.

Elke connectie naar 'de zaak' is untrusted, per definitie; maakt niet uit met welk apparaat. Ergo, zoals in eerdere comments aangegeven word, zal en *kan* de techniek automatisch, gereguleerd & gefaseerd toegang moeten geven tot de diverse niveaus van security die het bedrijf rijk (of arm) is.

Het gebruik van Teamviewer heeft IMHO geen plek in die ketting. DMZs, geautomatiseerde security policies wel.

Wanneer ga je daar weg ?

Lijkt me een interessante discussie als we de lijn doortrekken naar banken die eisen dat je thuis pc correct beveiligd is. Heeft blijkbaar een bank meer recht om eisen te stellen dan een werkgever ? En qua bewijsvoering, hoe toon je aan je beveiliging afdoende is ?
Arnoud, vergelijk ik nu appels en peren of zit hier wel degelijk een punt van discussie aan te komen ?

Het gebruik van Teamviewer geeft wel aan dat het bedrijf waarvoor je werkt zich "of"niet goed verdiept heeft in de technologische middelen die beschikbaar zijn om geautomatiseerd security settings te controleren (vpn clients bijvoorbeeld), "of" niet willen investeren in de juiste technische middelen.

Ik zag al meerdere reacties voorbij komen die op hetzelfde wijzen (voldoende technische middelen beschikbaar om geen privay issue te veroorzaken)

Je zou nog kunnen zeggen: met Teamviewer moet ik proactief tijdelijk rechten geven en ik houd persoonlijk toezicht dat alleen naar de security settings wordt gekeken, ik zit tenslotte voor het scherm en zie de muis bewegen....
Dan heb je nog steeds het risico dat je wordt afgeleid en vergeet de Teamviewer sessie stop te zetten (dat moet je zelf doen). Daarnaast....wie geeft er garanties dat gedurende de Teamviewer sessie geen software op je thuiswerkplek geinstalleerd wordt?

Wil je thuiswerken en het gebruik van Teamviewer toestaan, dan zou ik de volgende maatregelen nemen: Maak op je PC/laptop een nieuwe gebruiker aan met zo min mogelijk rechten (installeren van software e.d. alleen onder een beheeraccount) en gebruik dat account alleen als je thuis gaat werken. Zo creeer je ook een scheiding tussen zakelijke en prive informative.

Ik kan je verzekeren dat elke computer in mijn bezit (allen met Linux voorzien) standaard beter beveiligd is dan welke computer op mijn werk. Dat zijn er dik 23.000, en nog durf ik dit te beweren. Oude browsers, oude Java-engines, oude Flash plugins.... het kan niet erger. En als je het aankaart krijg je niet eens een fatsoenlijk antwoord terug. De enige reactie is: "Anders werkt de software niet meer!"

Laat niemand van mijn werk ook maar zeggen dat ze mijn PC willen checken op veiligheid. Dan lach ik ze keihard uit...