Mobile Device Management tegen Schaduw-IT: hoe kan jij als instelling effectief MDM-beleid ontwikkelen

In de context van mijn master-scriptie, ging ik onderzoeken hoe het balans kan uitzien tussen de noodzaak van sterk informatiebeveiliging en die van de medewerkers om hun werk te kunnen doen. Dit onderzoek heb ik bij SURF gedaan, onder begeleiding van Joost Gadellaa, die tijdens zijn masterscriptie naar Schaduw-IT had gekeken. Mijn onderzoek bouwt op dei van Joost en focust zich op MDM en MAM beleid dat Schaduw-IT helpt verminderen. Om het balans goed te vinden heb ik eerst met een aantal instellingen gesproken om het probleem goed te begrijpen en kijken wat vanaf een security standpunt nodig is. Daarna, heb ik 8 interviews afgenomen met medewerkers van 6 verschillende instellingen. Het doel hiervan was van hun te horen waar ze zich belemmert voelen, wat ze nodig hebben, en waar ze wel en niet aan kunnen rondom MDM en MAM beleid. 

Waarom werkt huidig beleid niet altijd?

Tijdens mijn onderzoek binnen universiteiten en hogescholen hoorde ik steeds hetzelfde verhaal:

“Als ik zou begrijpen waarom het nodig is, zou het me minder irriteren.”
“Waarom mag ik deze tekst niet gewoon doorsturen naar WhatsApp?”
“Als goedkeuring weken kost, gebruik ik mijn eigen laptop.”

En eerlijk: deze reacties zijn begrijpelijk. Security die het werk belemmert, leidt vaak tot omwegen, vooral als de reden achter de maatregel niet goed begrepen is. En precies in dit omwegen ontstaan de grootste risico’s.

Aanbevelingen

Uit mijn onderzoek kwam er duidelijk naar voren dat succesvol MDM/MAM-beleid om twee fundamentele principes draait: als instellingen beleid willen schrijven dat beter tractie krijgt van hun medewerkers en dus de risico van schaduw-IT verlaag, moeten instellingen kiezen voor sterke communicatie en proportionaliteit rondom MDM en MAM beleid.

1. Communicatiemiddel die mensen bereikt

Mensen willen graag begrijpen waarom iets gedaan wordt. Maar e-mails werken niet altijd goed. Echter, bezoeken bij de afdelingen, een kort gesprek bij de koffieautomaat, of tijdens de onboarding van nieuwe medewerkers – dát zijn de momenten waarop security echt landt.

Wanneer medewerkers begrijpen:

• waarom een maatregel bestaat,
• wat het risico is als die ontbreekt,
• hoe die maatregel hen én de organisatie helpt,
• en hoe hun beperkingen bijdragen aan betere beveiliging,

dan is er een grote kans van verandering. Goede communicatie is misschien wel de krachtigste security control die we hebben! 

2. Proportioneel beleid

Natuurlijk hoort er een basis-set van security maatregelen voor iedereen te gelden. Maar niet iedere medewerker brengt dezelfde risico’s met zich mee.

• HR-medewerkers en onderzoekers met gevoelige data: voor hun zijn zwaardere maatregelen begrijpelijk.
• Docenten of medewerkers die alleen met interne documenten werken: misschien zijn er lichtere maatregelen mogelijk.

Een risico-gebaseerde aanpak heeft twee voordelen: het voelt eerlijk en het maakt uitleg makkelijker. Zo kunnen maatregelen direct gekoppeld worden aan de risico’s.

Waar kan ik mee beginnen?

Vaak zijn de kleine, praktische maatregelen die het meeste effect hebben:

• Communicatie: denk aan hoe dit kan worden aangepakt binnen jouw instelling en investeer hierin!
• Data #1: bescherming van data is wat er echt toe doet! Geef voorkeur aan Mobile Application Management. Dit is namelijk minder ingrijpend.
• Snel en transparant goedkeuring proces: niemand wil weken wachten op een applicatie. Duren assessments van applicaties systematisch lang? Leg dat vooraf uit, zodat medewerkers weten dat ze op tijd moeten aanvragen.
• White/blacklist en een toolpicker: duidelijkheid voorkomt irritatie en voorkomt creatieve omwegen. Natuurlijk kan een melding niet voor alles worden ingeschakeld. Het is dus belangrijk dat medewerkers altijd een plek hebben waar ze bij twijfel terecht kunnen om op te zoeken of wat ze willen gebruiken goedgekeurd of expliciet afgekeurd is. Daarnaast kan een toolpicker handig zijn, om medewerkers te helpen met het vinden van een applicatie of software die al nagekeken is door de informatiebeveiliging afdeling.
• Risicoassessments:  waar liggen de grootste risico’s voor jouw instelling? Bij welke afdelingen/faculteiten zijn maatregels eerst nodig? 

Tip: Kijk ook waar je makkelijker kan beginnen! Bij een faculteit kan het makkelijker zijn dan bij de andere. Gebruik die als voorbeeld voor de rest van de organisatie!

Al deze maatregelen versterken de beveiliging én – misschien belangrijker – helpen de relatie en vertrouw tussen beleidsmakers en gebruikers. Loop regelmatig langs afdelingen, kom uit de ivoren toren, drink een koffie met je collega’s en laat zien dat security een gezamenlijke verantwoordelijkheid is.

Verdere verbeteringen

Van een aantal maatregels die voorgesteld waren tijdens de interviews met de medewerkers, zijn er twee die veel positieve reacties kregen:

• Document labeling: elk bestand of email labelen klinkt saai, maar dit is echt een kleine (toch praktische) actie die bewustwording makkelijker maakt. Gebruikers moeten namelijk even bedenken of het inhoud van dat bestand vertrouwelijk is of niet, en de ontvanger van een vertrouwelijk email kan snel dit zien.
• Real-time meldingen: een waarschuwing, bijvoorbeeld dat ze een interne email aan het versturen zijn naar een ontvanger buiten de organisatie werkt vaak beter dan een totale blokkade. Mensen willen graag weten of ze iets aan het doen zijn wat niet de bedoeling is. Als iemand een tool aan het gebruiken waar ze geen vertrouwelijke informatie zouden moeten uploaden, willen ze graag een melding ontvangen. 

Tip: De labeling kan ook worden gebruikt om specifieke maatregels toe te passen afhankelijk van de classificatie.