Thuiswerken op eigen computer

En dan als bedrijf ook de afschrijving van de privé computers moeten betalen? Het lekken/verliezen van gegevens omdat mensen de boel niet beveiligd hebben zoals de zaak dat heeft?

Nee. Als je als bedrijf mensen thuis laat werken geef ze dan ook jouw spullen om mee te werken, dat is de verplichting die je als werkgever hebt: zorgen dat je personeel z'n werk kan doen met de spullen die jij hen biedt.

Een kok neemt toch ook niet zijn eigen pannen mee van huis?

sypie schreef op zaterdag 02 mei 2015 @ 11:04:
[...]

Een kok neemt toch ook niet zijn eigen pannen mee van huis?

Toch zijn er steeds meer bedrijven met een BYOD beleid...Wikipedia: Bring your own device

Aan de andere kant zijn (waren...?) er ook bedrijven waar je met de laptop van de zaak nog niet eens op je eigen thuis wifi mag werken maar een (separaat) bedraad netwerk moet gebruiken...

Tsja, het is zonder inzicht te hebben in het soort werk, haast onmogelijk een uitspraak hierover te geven:
* Is het kantoorwerk? Gekoppeld aan Sharepoint-stijl omgevingen? In dat geval is het uiteraard mogelijk maar moet je opletten op de licenties: hebben je medewerkers legale software en staat je bedrijfslicentie sharepoint naar 'buiten toe' toe?
* Zijn er webportals? Zoja: hoe zijn die in hun eigen authenticatie beveiligd? Heb je certificaten + een goede implementatie van technieken zoals SAML, of zit je rechtstreeks X.500 te praten met je services?

Naast de beveiliging van hun computers, moet je dus ook nadenken over je interne infrastructuur: ADFS omgeving náást de Cisco omgeving kan een hoop vereenvoudigen; zelfs naar office365 gaan kan een hoop ontzorgen maar zonder te weten of dat álles is (beetje SAP systeem lult gewoon naar buiten toe tegenwoordig en weet 100% zeker dat je gebruiker je gebruiker is met je eigen ADFS implementatie...), valt er echter weinig te zeggen: houwtje touwtje custom-built wat puur HTTP username + password stuurt is zelfs met een VPN client (mag je die vanuit je licentie bij iedereen neerzetten?) potentieel een risico als je medewerkers aan publieke WIFI netwerken bij de starbucks gaan lopen lurken. Tevens wil je het virus-risico uiteraard beperken... je zou het aantal devices kunnen limiteren en er eisen aan stellen (ja, zelfs voor de macceraars wil je een virusscanner om 'doorsturen' te beperken)...

TL;DR:

* Weet eerst wát je naar buiten wilt aanbieden (want dit is naar buiten...)
* Weet vervolgens óf je het naar buiten mag aanbieden
* Weet 100% zeker waar de grensen ophouden: piratebay kopietjes MS Office wil je niet laten 'bijdragen' aan je sharepoint omgeving
* Vertrouw je clients, en voorzie in een trust platform (2FA, ADFS combinatie) die versterkt is door beleid (ja, het mag, maar je moet op je droids dit installeren, op je macs dit, en op je windows dat)

Het kán enorm krachtig zijn; mijn werkgever heeft een sharepoint omgeving, een SAP systeem, en "standaard office" naar buiten openstaan; en een legio andere zaken die voor een groot gedeelte aansluiten op ADFS; een beetje nog via Forefront TMG (sharepoint/intranet omgeving), en een 'acceptatie' dat we nooit vanaf onze eigen laptops zullen kunnen printen. We zitten via 'web' standaarden op alle systemen aangesloten, niet via lagere netwerk tiers. De werkgever heeft overigens wel office365 'afgekocht' (hetgeen ook weer via ADFS authentiseert).

De voorwaarde ís en blijft echter: data beleid, informatie beleid, en documenten gaan niet op privé machines staan, en voor sommige projecten mag het niet (encrypted laptops 100% verplicht).

[ Voor 3% gewijzigd door Umbrah op 02-05-2015 11:18 ]

Ik werk vanuit huis voor een bedrijf op mijn eigen systeem. 2-3 andere collega's doen hetzelfde, alleen op hun werk PC.

Mijn rede: Mijn eigen PC is factor x sneller dan werk PC's. Wel werd mondeling aangegeven dat ik op de beveiliging moest letten. Schijfencryptie enzo. Wel heb ik zonder pardon gewoon toegang tot productie data, ook op mijn prive systeem.

Het gaat hier overigens om allemaal Apple systemen. Met Windows zou ik iets huiveriger zijn.

Bij voorgaande werkgever 1: thuiswerken was mogelijk middels een inlog op een Citrix-omgeving. Ergo: het maakt (in wezen) geen moer uit wat de host-PC draait. Alles wat nodig is, is een werkende Citrix-client en een token.
Voorgaande werkgever 2: de 'thuiswerk'-omgevnig was een virtuele omgeving die naadloos aansloot op de desktop-omgeving. Deze pakte ook gewoon openstaande programma's over. Wederom: alles wat nodig was, was een RDP-client.

In beide gevallen waren er nauwelijks eisen aan de thuisomgeving. Als medewerker met de wens om thuis te werken was je er eigenlijk alleen voor verantwoordelijk dat de Citrix- of RDP-client geinstalleerd was.
En de kosten beperkten zich voor de werkgever(s) tot het correct inrichten van externe toegang en een token.
Werkgever 1 werkte sowieso al met een Citrix-omgeving, en werkgever 2 had de luxe dat ze de hele omgeving (in verband met een rigoreuze herstructurering van het bedrijf) volledig op de schop aan het gooien waren, waarbij de externe toegang de eerste ervaring met de nieuwe omgeving was

Huidige situatie/werkgever: Ik werk volledig thuis, en dat eigenlijk alleen via een (aantal (beveiligde)) website)s). In combinatie met de nodige certificaten en vertrouwen dat ik geen gekke dingen doe op mijn werk-PC.

All-in-all lijkt het me, gezien de keuze om kosten te maken (laptops met policies zijn niet gratis ) het overwegen waard om RDP te bekijken.

Jester-NL schreef op zaterdag 02 mei 2015 @ 17:48:
All-in-all lijkt het me, gezien de keuze om kosten te maken (laptops met policies zijn niet gratis ) het overwegen waard om RDP te bekijken.

Dat doen ze al....

.Vii schreef op zaterdag 02 mei 2015 @ 10:59:
Deze starten ze op > logen er op in > starten een RDSH sessie op en ze zitten op het centrale netwerk.

RDSH = Remote Desktop Session Host

On topic:

Ik zou adviseren richting management dat:

• Gebruikers zelf verantwoordelijk gesteld worden voor het adequaat beveiligen van hun prive pc.
• De RDP sessie zelf voldoende beveiligt moet zijn/worden. Dat doen jullie nu al met Cisco VPN software, dus eigenlijk is dat al geregeld.
• Verder zou ik adviseren dat het redirecten van het clipboard, lokale printer en drives dichtgezet wordt voor thuiswerkers. Daarmee voorkom je (een beetje) dat bedrijfsdata weglekt. Wees je er wel van bewust dat men alsnog bedrijfsdata naar zichzelf kan mailen, het is dus een schijnveiligheid.

Bovenstaande (en wellicht nog wat mee regels) moet het management gaan verwoorden in het bedrijfsbeleid. Dat is hun taak.

Question Mark schreef op zondag 03 mei 2015 @ 12:42:

• Gebruikers zelf verantwoordelijk gesteld worden voor het adequaat beveiligen van hun prive pc.

Dat klinkt leuk maar in de praktijk is dat maar (zeer) weinig waard. De meeste gebruikers hebben er gewoon te weinig verstand van en nog minder interesse in. Als het dan toch fout gaat dan kan je niet eens een claim bij de werknemer neerleggen want de werkgever blijft gewoon verantwoordelijk tenzij de werknemer echt grof nalatig is geweest.Dat grof nalatig moet echt veel verder gaan dan geen virusscanner/firewall.

Wij combineren ook VPN met RDP naar je eigen werk PC. De VPN is een keyfob of een Android/iOS app, je hebt een PIN-code nodig + de VPN-app code die elke minuut verandert, en als je daarop ingelogd bent, kun je dan RDP doen naar PCs waar je voor gemachtigd bent (en waar je kunt inloggen). Na max 8 uur wordt j eruit gegooid.

VPN+RDP kan in principe vanaf elke willekeurige PC.

Even uit interesse: wat is de rationale van de medewerkers die het op de eigen computer willen kunnen doen? Zijn dat de mensen die nu niet thuis kunnen werken, of mensen die een laptop van de zaak hebben?

.Vii schreef op zondag 03 mei 2015 @ 17:49:
Wat Umbrah ook aangeeft sommige informatie mag van mij wel naar buiten via een thuis verbinding andere projecten wil ik dat absoluut niet hebben, ik denk dat ik hier dan ook iets moet verzinnen dat zodra ik zie dat er een VPN actief is bepaalde folder directories niet bereikbaar zijn.

Dat betekend dat je een vorm van data-classificatie wilt gaan doen. Dat is in de meeste gevallen een project op zich. En dat project zal ook vanuit de business gedragen moeten worden, het is immers hun data. Dit zijn vaak lastige trajecten.

emnich schreef op zondag 03 mei 2015 @ 12:52:
[...]


Dat klinkt leuk maar in de praktijk is dat maar (zeer) weinig waard. De meeste gebruikers hebben er gewoon te weinig verstand van en nog minder interesse in. Als het dan toch fout gaat dan kan je niet eens een claim bij de werknemer neerleggen want de werkgever blijft gewoon verantwoordelijk tenzij de werknemer echt grof nalatig is geweest.Dat grof nalatig moet echt veel verder gaan dan geen virusscanner/firewall.

Klopt, maar het is beter dan hier helemaal niets over opnemen in je beleid. Verder gaat het niet zozeer om claims neer te kunnen leggen, maar meer om het creëren van een stukje awareness bij de eindgebruikers.

Gewoon niet toestaan. Je hebt een zakelijke laptop die moet je dan ook maar gebruiken. De beveiliging van gegevens van het bedrijf staat voor mij boven het gemak van gebruikers.

Verwijderd schreef op maandag 04 mei 2015 @ 12:14:
Gewoon niet toestaan. Je hebt een zakelijke laptop die moet je dan ook maar gebruiken. De beveiliging van gegevens van het bedrijf staat voor mij boven het gemak van gebruikers.

Mee eens, en dat zou de kern moeten zijn van elk bedrijf... een hoop schandaaltjes zouden zo voorkomen kunnen worden. Maar de vraag is: waar trek je de grens. Een goed informatiebeleid wat breed gedragen kan worden kan veel pragmatischer zijn dan desktops met 'stotterende' 2FA, en een wachtwoordenbeleid wat mensen dwingt tot 'gele post-its aan de monitor'.

Tevens is niet elke sector hetzelfde. Concurrentiegevoelige gegevens van een beursgenoteerd bedrijf, defensie, of patientgegevens hebben een heel andere 'gevoeligheid' dan data betreffende foldertjes... en zo dient er ook mee om gegaan te worden.

Er zijn tevens sectoren waar een consistent arbeidstekort in is, en daar dient óók meegewerkt te worden. De ICT sector (sowieso een unieke sector... véél zeer sterk gepolariseerde meningen daar) kwam vorig jaar in Nederland 35.000 man te kort: oftewel, 35.000 vacatures die NIET vervuld zijn. Eenieder die actief is hier én z'n mailadres ergens heeft staan én vindbaar is op LinkedIn kent het verschijnsel van de 10 recruiters/week met geen enkele vakkennis die je benaderen voor een bakje koffie (o.a. info hier: http://www.computable.nl/...ort-aan-ictpersoneel.html). Feit is: er is concurrentie om de (goede) werknemers die er zijn binnen te halen, en binnen te HOUDEN.

Net zoals dat er véél (te) veel ZZP-ers zijn in deze sector die zelf bepalen wat kan/mag, is een zekere 'bevoorrechtheid' wel gezet binnen deze sector. Ik heb nu twee detacheer-bedrijven gehad als werkgever, en bij beiden was ik localadmin, en had ik min of meer een vrije hand: er was wel een informatiebeleid maar dat was óf lastig te vinden, óf niemand deed er iets mee... waar ik nu zit gaat dat beter. Maar dan kom je bij een klant, en dan is het ineens 'normaal' dat er lockdown is, dat er over software licenties wordt nagedacht, en dat er alleen via een netwerk van VPN's en wachtwoord policies gewerkt kan worden. Puur om het bedrijf te behoeden (olie en gas industrie vooral is daar sterk in). Zou je echter zo'n beleid binnen een ICT bedrijf uitvoeren, dan zou jij op moeten letten hoe snel de 'exodus naar de concurrent' begint... arrogant van die ICT-ers, maar tsja, zo werkt dat nou eenmaal. Per contract wordt overigens wel vaak wat geregeld... "consultants" binnen defensie moeten bijvoorbeeld zonder camerafoon naar binnen en werken met 100% bitlocked werkplekken met slechts zéér beperkt internet.

Om terug te komen op je quote: het is helaas niet zo zwart-wit. Ik ben het met je stelling eens, maar er spelen meer factoren hierin...

Niet doen. Ik weet niet voor welk bedrijf je werkt maar als daar privacy gevoelige gegevens een rol spelen moet je dit niet willen. BYOD is juist weer aan het teruglopen. In het begin van de 'trend' (rond 2012) zag je dat er een enorme lobby was van managers die dit wel een leuke manier vonden om de jaarlijkse bonus binnen te halen door kostenbesparing. Echter, je ziet nu dat BYOD een stille dood aan het sterven is omdat er te veel beveiligingsrisico's aan plakken + dat het eigenlijk meer kost om alle lokale problemen bij de gebruikers te verhelpen dan het kost om gewoon laptops uit te leveren aan alle medewerkers. Voor de grote bedrijven is dit sowieso 'not done', voor de kleine bedrijven begrijp ik het enigzins nog wel door beperkte resources maar zou je het eventueel toch niet willen. Één verkeerde medewerker die zijn computer vol met malware heeft staan en je hebt een enorm probleem als bedrijf.

yup... zo hadden we laatst een collega op een mac (nota-bene) die het voor elkaar had gekregen een aangepaste hosts file te krijgen... gelukkig voor het bedrijfs 'slechts' alle banksites die er in stonden, niks van ons, en een windows user (gelukkig niet op een overheidscontract) die dmv. een zelf-geinstalleerde java update alle URL's die hij benaderde in de cloud van ask.com aan het zetten was...

Ik ben niet zo bekend met rdp/rdsh maar ik neem aan dat je het zo kan configureren dat je alleen de remote desktop functionaliteit kan gebruiken en dus het delen van files, clipboard en dergelijken kan uitschakelen. Daarnaast neem ik aan dat je VPN zo is geconfigureerd dat thuiswerkers alleen met de RDSH-host mogen communiceren en niet met de rest van het netwerk.

In dat geval lijkt het me acceptabel. Ik zou dan wel zorgen voor 2FA. Normaal gesproken is de tweede factor dat je op kantoor moet zijn. Thuis (of bij de Starbucks) moet je dan een andere tweede factor hebben.

Het ligt wel erg aan het soort bedrijf/gegevens waar het om gaat, een hoveniersbedrijf is anders dan het leger.

Afspreken dat de medewerker zelf verantwoordelijk is voor de veiligheid van z'n apparatuur is een goed plan maar vertrouw er niet op, de meesten missen de kennis om goed met veiligheid om te gaan (tenzij je een IT-beveiligings-bedrijf runt Je kan als bedrijf wel een beetje helpen door bv een virusscanner aan te bieden voor thuis.

Je kan wel goed afspraken maken over zaken waar "gewone" mensen wel controle over hebben. Bijvoorbeeld dat zakelijk webbrowsen altijd via de remote desktop gaat en dus niet via de lokale browser.

Er zijn verschillende oplossingen. ik neem aan dat je al een RD web access gebruikt. Je kan hier een appliance voorzetten die endpoint vpn kan verzorgen (liefste SSL VPN). Lekker vanuit de browser, niet moeilijk doen voor de eind gebruiker. (Gemiddelde oplossing kan ook 2factor ondersteunen als je dat nodig vind).

Thuiswerken is iets van nu. Ondersteun het dan ook, je collega's hebben valide redenen om hier om te vragen en je werkgever gaat blij zijn met proactieve houding.

[ Voor 14% gewijzigd door Reacher op 04-05-2015 13:23 ]

Reacher schreef op maandag 04 mei 2015 @ 13:21:
Er zijn verschillende oplossingen. ik neem aan dat je al een RD web access gebruikt. Je kan hier een appliance voorzetten die endpoint vpn kan verzorgen (liefste SSL VPN). Lekker vanuit de browser, niet moeilijk doen voor de eind gebruiker. (Gemiddelde oplossing kan ook 2factor ondersteunen als je dat nodig vind).

Thuiswerken is iets van nu. Ondersteun het dan ook, je collega's hebben valide redenen om hier om te vragen en je werkgever gaat blij zijn met proactieve houding.

Als het maar op RD blijft, en op SSL blijft, en bij voorkeur dan ook met zoiets er voor: http://solutions.3m.com/w.../Tips-Resources/Selector/

Je kan een hele hoop zeggen maar in m'n tijd in London (Canary Wharf, 3jr gewoond/gewerkt in die hoek) heb ik een hoop dingen gezien die ik niet zou mogen zien, een hoop sticks/schijven onbeheerd in de starbucks zien liggen terwijl een 'thuiswerker' even koffie ging halen met mogelijk een schandaal in de making, en een lading "password voor intranet over HTTP" scenarios van het niveautje: amehoela. En dan niet denken dat SSL-over-public-wifi met een 'username-password-only' gezonde beveiliging is, absoluut niet.

Bedenk je de worst case scenario eens in wat er gebeurt als ik met jouw data in handen sta. Wat kan ik doen? Aandeelhouders beinvloeden? Koers beinvloeden? Als concurrent er mijn voordeel mee doen? Te weten komen waar je medewerkers wonen en je zo een kostenpost veroorzaken in de vorm van een rechtzaak?

Ik denk dat je dit wat te licht opvat, maar wederom: super-veilig hoeft niet super-lastig te zijn. Het hangt er vanaf wát voor werk je doet; ben je die-hard CAD user maar werk je wel met érg geheime tekeningen dan valt RD al eigenlijk af door de gebrekkige 3D-acceleratie. De kosten om met technieken als HP-RGS te gaan werken zijn dan wel een factor tegen het absurde aan; waardoor je dan kan denken: wat als m'n users op hun eigen vol-met-spyware zijnde laptops die tekeningen neerzetten...

2015 zou het jaar moeten worden van 'geen wachtwoorden meer'. Ik ben daar een voorstander van, want hoe complexer beveiliging wordt, hoe meer mensen er uit praktische overwegingen omheen gaan werken (waar het wachtwoord-op-een-postit concept nog wel heet meest veelvoorkomende is, als variant van pincode op de pinpas).

Ik werk op het moment op een klantlaptop én een zakelijke laptop, en die klant vertrouwt mij dat ik 250.000 namen en adressen van burgers NIET lek. Laat ik het eens omdraaien: zou ik jou als collega willen?

Overigens: thuiswerken is idd op een retour (de 2-3 die we hebben heeft niemand een beeld van wie het zijn, 'see and be seen'), mede door de beveiliging, uiteraard, maar ook door de communciatie. Ik ben er wel voor, maar met beleid. En dat is JUIST (erg lastig op tweakers) niet een 100% exclusieve IT-kwestie.

ALS ik de TS een advies zou geven (.Vii, lees je nog?) dan zou dat zijn:
* Begin met informatie beheer & beleid
* Vervolg met sorteren van je informatie aan 'wel buiten domein' en 'niet buiten domein'
* Classificeer beveiligingsniveaus (100% encrypted domeinlaptop zonder USMD drivers met privacy folie en 30sec screensaver met 2FA lockout over TPM zal een vervolg zijn voor de thuiswerkers als hoog niveau, met een virusscanner loze mac met rotte hosts file als laagste niveau voor de PR documentjes) die garant staan aan de waarde (!!! bedrijfskundige kwestie!!!) van je data
* Wees bereid om je gebruikers teleur te stellen!

Typisch iets voor een ICT-er om zich druk te maken over iets wat je niet controleren en beheersen.
Het grootste risico is de mens zelf. Ongeacht wat jij daar aan zaken om heen kan fabrieken...
Dat wil niet zeggen dat je geen maatregelen moet treffen, maar de basis ligt in vertrouwen.

Het is een bewuste keuze die gemaakt moet worden door bedrijfsleiding en moet passen in de organisatie en je HR beleid etc. De ICT afdeling moet adviseren en controleren op de zaken binnen het bereik van de afdeling en verantwoordelijkheden, ICT is een enabler voor een organisatie, je moet je zelf niet opwerpen als een disqualifier.

En met vertrouwen bedoel ik ook dat je vertrouwen moet hebben in de mensen die hier wel besluiten kunnen en willen in de organisatie. Als de organisatie er voor kiest om onder de juiste voorwaarden dit wel te willen ondersteunen is dat niet goed of slecht, net zoals ze er voor kiezen om dat juist niet te doen als ze beslissen op basis van de correcte informatie.

[ Voor 22% gewijzigd door Reacher op 04-05-2015 13:45 ]

Nog een optie die ik bij een vorige werkgever ben tegengekomen is dat het wordt toegestaan, maar pas nadat de betreffende PC door de IT afdeling is gescand op security etc en op die PC ook een aantal beveilingsprogramma's werden geinstalleerd.
Kostte de werkgever effectief alleen 2 licenties, voor de security software en een aparte RD client die ze gebruikten.

Nadeel was wel dat de medewerkers dus 1-malig hun PC heen-en-weer moesten slepen.

Umbrah schreef op maandag 04 mei 2015 @ 13:34:
[...]
ALS ik de TS een advies zou geven (.Vii, lees je nog?) dan zou dat zijn:
* Begin met informatie beheer & beleid
* Vervolg met sorteren van je informatie aan 'wel buiten domein' en 'niet buiten domein'
* Classificeer beveiligingsniveaus (100% encrypted domeinlaptop zonder USMD drivers met privacy folie en 30sec screensaver met 2FA lockout over TPM zal een vervolg zijn voor de thuiswerkers als hoog niveau, met een virusscanner loze mac met rotte hosts file als laagste niveau voor de PR documentjes) die garant staan aan de waarde (!!! bedrijfskundige kwestie!!!) van je data
* Wees bereid om je gebruikers teleur te stellen!

Je hebt vanuit techniek geredeneerd hele valide punten.

De pest is alleen dat als je dit allemaal ingeregeld hebt gebruikers dit lastig gaan vinden. Die excel sheet waar men 's avonds dan nog even aan wil gaan werken wordt dan gewoon even naar het privé mailadres gestuurd. Thuis bewerkt op de eigen pc, en vervolgens weer naar het zakelijke mailadres gestuurd. En ja, ik heb het zien gebeuren...

Question Mark schreef op maandag 04 mei 2015 @ 16:21:
[...]

Je hebt vanuit techniek geredeneerd hele valide punten.

De pest is alleen dat als je dit allemaal ingeregeld hebt gebruikers dit lastig gaan vinden. Die excel sheet waar men 's avonds dan nog even aan wil gaan werken wordt dan gewoon even naar het privé mailadres gestuurd. Thuis bewerkt op de eigen pc, en vervolgens weer naar het zakelijke mailadres gestuurd. En ja, ik heb het zien gebeuren...

Yup, hetzelfde. Ik noemde de gele post-it en de pinpas-met-pincode ook... De TS noemt specifiek BGT data... dat is nogal heavy shit, dat WIL je niet thuis hebben. Al was het maar omdat "stel dat" je dan iets aan een HELE HOOP mensen mag gaan uitleggen...

TL;DR: soms is het compromis tussen veilig en werkbaar NIET mogelijk en moet je het gewoon NIET doen. En om een antwoord op Reacher te formuleren: elke maandag ben ik optimistisch en productief, tegen de vrijdag aan ben ik qua competentie het vertrouwen kwijt in de menselijkheid (ik ben geen beheerder maar als men angstig is om de service desk te bellen met de opmerking: 'hoe leg ik dit uit', komt men naar mij toe: een collega, zei het externe inhuur, zo laatst een collega die wou bloemen online bestellen, ging naar pagina 8 van google, en drukte op een advertentie met 'download' op de knop... alles om bloemen te bestellen... het resultaat mag je raden)...

Zit er ook een fatsoenlijke werkplek bij die (zakelijke) laptop? Want anders mag er vanwege Arbo niet langer dan 2 uur per dag gewerkt worden.

Lange discussie, terwijl het antwoord zo eenvoudig is:

.Vii schreef op zaterdag 02 mei 2015 @ 10:59:

Wat is jullie mening over mensen die thuiswerken op hun eigen computer, ik zelf kan niet de veiligheid van die computers garanderen ondanks dat er met een Cisco AnyConnect cliënt wordt gewerkt en daardoor de beveiliging wel aanwezig naar het bedrijfsnetwerk.

Als je de veiligheid niet kunt garanderen, dan is het simpel: niet doen.

Stel dat je het risico van data lekken kan beperken tot scherm-met-een-verrekijker-meelezen, dan is er nul verschil tussen een laptop met VPN+RDP en een eigen apparaat met VPN+RDP.

MarcoC schreef op maandag 04 mei 2015 @ 16:32:
Lange discussie, terwijl het antwoord zo eenvoudig is:
[...]
Als je de veiligheid niet kunt garanderen, dan is het simpel: niet doen.

Wij hebben hierbij extra standpunt erbij genomen, PC is eigen risico. Bij defect of andere problemen mag hij dus geen beroep doen op de IT, die zijn uitsluitend voor hardware van de zaak. Iets te veel gezeur gehad met kapotte PC's, spyware/bloatware tot een PC nagenoeg volledig draaiend op keygen based software.

.Vii schreef op maandag 04 mei 2015 @ 16:05:

Helaas als IT'er heb ik 0,0 vertrouwen hoe iemand zijn thuis laptop in regelt en beveiligd. Dan mag hij nog zo'n IT hobbyist zijn of IT Guru van een andere organisatie die een andere kant op slaat en andere werkzaamheden buiten de IT gaat doen. Het feit blijft uit eindelijk is de IT verantwoordelijk voor hoe de beveiliging is en wat de gevolgen er van zijn als er niet aan voldaan wordt.

Je kan prima een computer van een medewerker scannen of deze voldoet aan minimale eisen:
http://citrix.opswat.com/ bijvoorbeeld.