BYOD is allang geen modegril meer, maar voor de meeste IT-organisaties keiharde realiteit. Het bedrijfsnetwerk breidt zich uit tot hotels, conferentieruimtes en zelfs de thuisomgeving. IT en de verantwoordelijken voor security krijgen met extra werk te maken als ze nieuwe assets en omgevingen moeten gaan beveiligen.
Volgens Forrester zijn 29 procent van alle werknemers in de wereld kenniswerkers. Kenniswerkers gebruiken drie of meer devices, werken vanaf meerdere locaties en gebruiken diverse apps om hun taken gedaan te krijgen; voor IT-leiders moet dit als een bekend verhaal in de oren klinken.
Forrester merkt op dat voor het eind van dit jaar, meer dan 600 miljoen werknemers wereldwijd met BYOD te maken zullen krijgen. Allemaal vallen zij onder de noemer kenniswerker. Dit groeicijfer zorgt ervoor dat organisaties bestaande securitypolicies moeten herzien of nieuwe policies moeten uitvaardigen die ook betrekking hebben op mobile.
Aaron Rhodes, Senior Security Consultant bij risicobeheerspecialist Neohapsis, raadt organisaties vijf stappen aan die ondernemen moeten worden, willen ze tot een beleidsdocument komen dat rekening met mobility houdt.
1. Bepaal een strategie
“Start mobiele initiatieven die voortkomen uit een goed doordacht plan; uw strategie moet een holistische blik op security werpen en deel uitmaken van een allesoverschrijdend security raamwerk. Inventariseer de typen data die jouw mobiele werkers op telefoons en tablets benaderen en behandel security op smartphones op deze devices hetzelfde als u zou doen met werkstations op het interne netwerk”, zegt Rhodes.
Als het gaat over een overkoepelend securityraamwerk, dan is het idee dat u ervoor zorgt dat devices die gevoelige bedrijfsdata opslaan een thuis hebben in alle organisatorische plannen met betrekking tot security en strategie, legt Rhodes uit.
“Een deel van de policies en processen binnen uw organisatie moeten gewijd zijn aan mobiele apparaten. Beschouw de mobiele IT-voetafdruk van uw organisatie als onderdeel van de rest van uw activa.”
Vragen die beantwoord moeten worden, zijn bijvoorbeeld welke toegang de verschillende devices op het netwerk hebben. Welke data staat op deze apparaten opgeslagen? Wie gebruikt de apparaten? Hoe worden ze momenteel beheerd? Is dit voldoende of moet dit aangepast worden?
Wat betreft het punt van het behandelen van smartphones als werkstations, legt Rhodes uit dat dergelijke apparaten veel gemeen hebben met pc’s. Het simpele feit dat een mobiel apparaat in staat is met allerlei corporate assets en services te verbinden, betekent dat al deze kanalen ook beveiligd en beheerd moeten worden.
“Een smartphone bevat bijvoorbeeld een mobiele VPN-client die gebruikers in staat stelt interne resources op een zakelijk netwerk te gebruiken, zoals interne webapplicaties. Dit werkt niet anders dan een desktopcomputer zou doen op het zakelijk LAN”, zegt hij.
Rhodes noemt het belangrijk dat een CIO zich op de hoogte weet van de risico’s waaraan een bedrijf met mobiele devices blootstaat. Zo komt het vaak voor dat medewerkers toestellen verliezen of dat apparaten gestolen worden. MDM/MAM kan in zo’n geval een oplossing zijn.
“De MAM/MDM-oplossingen waarmee ik gewerkt heb, kennen policyopties die je kunnen helpen de risico’s te verminderen, bijvoorbeeld het risico op lekken van bedrijfsdata bij verloren devices. Policies als het vereisen van encryptie op lokale e-mail, het werken met pincodes en ook remote wipe komen dan goed van pas”, zegt hij.
“Het is sowieso belangrijk om de gehele security van je netwerk te blijven verbeteren. Mobiele devices moeten daar een belangrijk onderdeel van uitmaken.”
2. Zorg voor een goede planning
“Kom met een tijdlijn waarin doelstellingen en mijlpalen beschreven staan. Maak ook tijd vrij voor onderzoek. Als u nieuwe producten als MDM/MAM-oplossingen aanschaft, bedenk dan goed hoe deze het eenvoudigst in de bestaande IT-architectuur geïntegreerd kunnen worden”, zegt Rhodes.
Wat betreft onderzoek, raadt de adviseur aan om in gesprek te gaan met uw meest bekwame IT-adjudanten om te bepalen welke bestaande tools geschikt zijn voor beheer van mobiele apparaten, na te gaan wat het bedrijf nodig heeft en te onderzoeken welke aanvullende mogelijkheden in de toekomst vereist zullen zijn.
“Zo kent Microsoft Exchange mogelijkheden om te interacteren met mobiele apparaten en securitypolicies te verplichten om de veiligheid van mobiele e-mail te vergroten. Als u uitkijkt naar een MDM/MAM-oplossing, realiseer u dan dat er talloze verschillende smaken zijn. Een leverancier waarvan u reeds gebruikmaakt, kan een MDM-oplossing in het portfolio hebben die de integratie eenvoudiger maakt. Evalueer het pakket features en zorg dat alle mobiele devices die in uw organisatie gebruikt worden ondersteund zijn.”
3. Maak beleid
“Het opstellen en doorvoeren van beleidsregels voorkomen verwarring over hoe data en e-mail op mobiele apparaten gebruikt moeten worden. Het zet gebruikers daarnaast ertoe aan om voorzichtigheid te betrachten. Nog belangrijker, als er een probleem ontstaat, kunnen zij zich niet beroepen op onwetendheid”, stelt Rhodes.
Handhaving kan vervolgens op twee verschillende manieren plaatsvinden. Allereerst zijn er technische controlemechanismen die securityproblemen kunnen voorkomen, zoals versleuteling, pincodes, de mogelijkheid om een apparaat op afstand te wissen, etcetera.
“Daarnaast is er een awareness-component actief binnen computersecurity die u ook altijd zult moeten onthouden. Het aanleren van goede gedragingen bij gebruikers via awarenesstrainingen en herinneringen kunnen de veiligheid van uw organisatie verder vergroten.”
Daarnaast zijn dit de standaardzaken die niet in een policy mogen ontbreken:
- Mobiele devices moeten worden afgeschermd met een wachtwoord
- Mobiele devices moeten gebruikmaken van encryptie bij toegang tot corporate e-mail
- Mobiele devices mogen niet geroot (Android) of gejailbreakt (iOS) zijn
- Mobiele devices moeten door corporate IT beheerd worden via een door IT goedgekeurd MDM-systeem
4. Train
“De meeste mensen realiseren zich niet dat hun acties op mobiele apparaten (al dan niet in het bezit van het bedrijf) directe consequenties hebben voor de gehele organisatie. Het trainen van werknemers in de risico’s en hoe deze te beperken kan helpen een catastrofe te voorkomen”, zegt Rhodes.
Voorbeelden van risico’s zijn het uitvoeren van codes van niet vertrouwde appstores – ook bekend als sideloading –, het opstarten van executables vanuit e-mail, gebruik van onveilige wachtwoorden, een apparaat verliezen en het negeren van popupschermen bij het gebruik van een onveilige WiFi-verbinding.
Als het aankomt op awarenesstraining, wat zijn dan de belangrijkste focuspunten voor organisaties. Rhodes: “De uitspraak ‘Als je iets ziet, meldt dat dan’, springt me gelijk voor ogen. Simpelweg je werknemers vertellen wat de risico’s zijn en waar ze verdachte zaken kunnen melden is absoluut cruciaal. Preventie is belangrijk, maar nooit waterdicht. Goede responsprocessen in gebruik hebben is daarom van kritiek belang.”
5. Denk aan compliance
“Denk aan de vereisten voor compliance wanneer u bezig bent met een bedrijfspolicy. Onthoud: alle bedrijfsdata op mobiele devices is onderhevig aan dezelfde wettelijke eisen als data op andere IT-systemen”, zegt Rhodes.
Gedurende de eerder genoemde onderzoeksfase (zie punt 2), zou dit een van de belangrijkste zaken moeten zijn als het gaat over MDM/MAM-oplossingen. Het is belangrijk om te weten hoe goed zulke oplossingen integreren met de bestaande infrastructuur en hoeveel overhead ze met zich meebrengen.
“Complianceregels neigen er naar op gelijke voet te staan met securityvereisten binnen een organisatie. Sommige MDM/MAM-oplossingen hebben speciale features in het product die u helpen te voldoen aan wettelijke eisen. Het gebruik van bestaande infrastructuur is ook van essentieel belang. Als een systeem dat wordt gebruikt goed binnen je infrastructuur past, is de kans groot dat beheerders het systeem naar volle mogelijkheden gebruiken om security te maximaliseren.”
Security is en blijft voor alle onderdelen van het netwerk kritiek en essentieel, of dat nu het vaste netwerk is, het draadloze netwerk of de mobiele devices. Lees er meer over op [Link]
Reageer
Preview