Cisco voor elk apparaat: Kiezen voor een productieve en veilige toekomst met een gunstige concurrentiepositie

White paper

Cisco voor elk apparaat: Kiezen voor een productieve en veilige toekomst met een gunstige concurrentiepositie Wat u leert

De traditionele beperkingen van het bedrijfsnetwerk zijn aan het verdwijnen en er ontstaat een omgeving zonder grenzen. Smartphones, tablets, andere endpointapparaten en webtoepassingen veranderen voorgoed de manier waarop mensen online werken en spelen. Met het concept 'Any Device' omarmt Cisco elk apparaat. Dit geeft medewerkers meer opties voor apparaten, terwijl de gebruikerservaring constant en voorspelbaar blijft en de internationale concurrentiepositie, productiviteit en beveiliging worden gewaarborgd of zelfs bevorderd. Bedrijven en grote ondernemingen moeten besluiten of zij bepaalde gebruikers, apparaten en locaties toegang verlenen tot bedrijfsnetwerken, -gegevens en -services. Deze white paper bespreekt op basis van de ervaringen en resultaten van Cisco de stappen en zakelijke besluiten die beleidsvormers en ontwerpers binnen IT en beveiliging moeten overwegen bij de overstap naar 'Any Device'.

Inleiding

Er is een internationaal bedrijf waar elke dag 80.000 mensen een Windows-apparaat inschakelen, 17.000 medewerkers zich aanmelden bij een Macintosh-computer, 7000 mensen Linux-machines gebruiken en 35.000 werknemers hun agenda en e-mail bekijken op een Blackberry, iPhone en Android1. Dit bedrijf is Cisco Systems, Inc. Onze meer dan 70.000 medewerkers en ruim 30.000 internationale aannemers, consultants en zakelijke partners willen kunnen kiezen met welke apparaten zij werken - en waar ze die gebruiken voor toegang tot bedrijfsnetwerken, systemen, toepassingen, gegevens, en online services. Hoewel de grote meerderheid Cisco-medewerkers zowel een computer als een smartphone gebruikt voor toegang tot IT-services, gebruikt 20% meer dan twee apparaten, en de diversiteit van die apparaten groeit exponentieel. Zoals gezegd heeft Cisco zich toegelegd op een langetermijnvisie voor allerlei soorten apparaten: Any Device. Het doel is om de keuze aan apparaten te vergroten en een consistente gebruikerservaring te bewaken, waardoor de internationale concurrentiepositie en beveiliging worden behouden of zelfs worden bevorderd. De voornaamste zakelijke argumenten voor 'Any Device' zijn:

•

•

P  roductiviteit: Cisco stelt technisch slimme medewerkers in staat om met hun gewenste smartphones, tablets of laptops te werken, waar en wanneer zij willen, waardoor de tevredenheid en de productiviteit stijgen. De geschatte toename in werkgerelateerde productiviteit is 30 minuten per dag.2 P  ersoneel dat evolueert: De nieuwe generatie die de arbeidmarkt betreedt, is technisch goed onderlegd. Ze zijn gewend aan hun eigen apparaten en omgeving, en ze beslissen graag zelf hoe ze zo productief mogelijk kunnen zijn.

1. Interne metrieken van Cisco, per Q2CY11 2. Interne metrieken van Cisco, per april 2011

White paper

•

•

•

Innovatie: Door nieuwe medewerkers direct hypermoderne apparatuur te laten gebruiken kan nog meer productiviteit worden behaald. Mensen die vroeg overstappen, zijn vaak een indicatie van grotere veranderingen, die de IT-implementatie en productstrategie van Cisco positief kunnen beïnvloeden. Integratie bij overnames: De vele door Cisco overgenomen bedrijven hebben vaak hun eigen arsenaal aan niet-standaardapparaten. Met 'Any Device' kunnen nieuwe afdelingen snel worden geïntegreerd met minimale risico's voor de beveiliging. De geschatte vermindering van de integratietijd bij overnames is 17 weken. K  apitaalkosten: Cisco heeft tienduizenden aannemers en consultants over de hele wereld in dienst. Het is financieel onhaalbaar om laptops en smartphones van Cisco te leveren aan deze groeiende groep. Door aannemers en consultants over te zetten op Cisco® VXC-apparaten (Virtualization Experience Client) behaalt Cisco geschatte jaarlijkse besparingen van 25% per gebruiker, op basis van onze bestaande desktop-TCO.

Andere ondernemingen hebben gedeelde toegang tot real-time gegevens nodig om hun eigen specifieke redenen, zoals gegevensbeveiliging, verhoogde mobiliteit en samenwerkingsomgevingen. Er komen steeds meer, en meer verschillende, endpointapparaten, dus bedrijven moeten bepalen welke bedrijfsmiddelen zij wel of niet toegang willen verlenen tot hun toepassingen en gegevens, zowel binnen als buiten het netwerk. Vervolgens moeten ze bepalen hoe ze deze beleidsregels willen plannen, controleren, onderbouwen en uitvoeren. In deze paper wordt het volgende besproken: de risico's, de voordelen en de uitwerking op het bedrijf, IT en beveiligingsbeleidsregels; de oplossingen die Cisco op dit moment implementeert; andere zaken die Cisco tot nu toe is tegengekomen bij de introductie van Any Device.

Fases van de implementatie van Cisco's Any Device Fase 1: Interne toegang In de afgelopen 15 jaar is de wijze waarop gebruikers zich toegang verschaffen tot het Cisco-netwerk, sterk veranderd. Tegen het einde van het vorige millennium bevonden alle IT-apparaten zich op de bedrijfslocaties en moesten medewerkers op een kantoor aanwezig zijn voor interne toegang tot ITresources, zoals in fase 1 van Figuur 1 is weergegeven. Fase 2: Overal Laptops en VPN's gaven medewerkers steeds meer mobiliteit en een steeds internationaler personeelsbestand maakte flexibelere werkpatronen nodig. Fase 2 laat zien hoe de productiviteit steeds minder werd beperkt door werkomgevingen en gangbare kantooruren vanaf het moment dat het mobielere personeelsbestand overal toegang kreeg tot bedrijfs-IT-resources, zoals bij een klant, thuis, in een koffiehuis of een hotel. Nu men minder aan locatie is gebonden, hebben gebruikers overal toegang tot resources met IT beheerde bedrijfsmiddelen.

Onafhankelijkheid van apparaten

Figuur 1. De fases van toegang voor personeel op het pad naar Any Device Interne toegang

Overal

Je moest naar het kantoor komen voor toegang tot resources

Overal toegang tot resources met door IT beheerde bedrijfsmiddelen

Elk apparaat, overal

Overal, met elk apparaat toegang tot resources

Elke service, elk apparaat, overal

Virtuele onderneming

Services beheren de gegevens. Services zijn apparaatonafhankelijk

De onderneming wordt virtueel, volledig onafhankelijk van locatie en service

Tijd Markttrend: Consumentering van apparaten

2

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

Markttrend: Consumentering van services

White paper

Fase 3: Elk apparaat, overal In de afgelopen jaren heeft de commodificatie van smartphones, tablets en laptops – naast nieuwe functies, een efficiëntere vormfactor en kortere levensduur van apparaten – ervoor gezorgd dat medewerkers hun eigen apparaten willen gebruiken voor alles van het openen van bedrijfs-e-mail en toegang tot intranet tot het gebruiken van zakelijke toepassingen. Al deze factoren zijn in een relatief kort tijdsbestek van belang geworden, wat de IT-ondersteuning van bedrijven onder druk zette. Medewerkers die zich via een overname aansloten bij Cisco, wilden hun eigen apparaten voor hun werk blijven gebruiken. Duizenden Cisco-extranetpartners hadden ook toegang tot bepaalde toepassingen nodig. Het leveren van IT-beheerde endpoints voor Cisco was een oplossing met hoge kapitaal- en operationele kosten. Cisco IT zag in dat het gebruik van deze geavanceerde technologieën direct moest worden omarmd om productiviteit mogelijk te maken, en dat de traditionele tactiek van het beperken en beheren van de implementatie van nieuwe technologieën op de werkplek niet geschikt zou zijn. Deze snelle acceptatie van nieuwe clienttechnologieën heeft gezorgd voor de komst en implementatie van andere bedrijfsstrategieën, hulpmiddelen en technologieën. Zo zijn gebruikersgroepen ontstaan, die een radicale wijziging hebben veroorzaakt in de manier waarop IT ondersteuning levert en eindgebruikers de kennis van collega's gebruiken om algemene problemen op te lossen. Het is niet de taak van Cisco IT om deze communities te leiden, maar om er deel van uit te maken en als gelijke een bijdrage te leveren. De introductie van Apple-producten binnen Cisco werd aanvankelijk geleid door gebruikers, die hun favoriete apparaten en platforms voor hun werk meebrachten. Naar schatting bevonden zich 3000 Mac-gebruikers bij Cisco voordat IT deze apparaten op grote schaal beschikbaar maakte. Mac-gebruikers startten onafhankelijk van IT een initiatief voor hulp bij installatie, gebruik en beheer via e-mailaliassen, wiki's, intranet en video. Toen Cisco IT de Mac aanbood als onderdeel van het pc-vernieuwingsbeleid, werd het zelfhulpmodel door IT overgenomen en ondersteund, zonder dat de Mac-gemeenschap werd verstoord of aangepast. IT heeft dit fundament omarmd en gebruikt om meer zelfondersteunende services te ontwikkelen. Samen gaven deze factoren de noodzaak aan van een nieuwe bedrijfsstrategie voor apparatuur die de fundamentele en prangende vraag beantwoordde: Hoe kunnen we, nu de grenzen aan het verdwijnen zijn, mensen vanaf elk apparaat en overal toegang bieden tot bedrijfsresources? Niet elke medewerker heeft hetzelfde type of niveau van toegang tot de bedrijfsinfrastructuur nodig. Sommigen hebben alleen toegang tot e-mail en agenda op hun smartphone nodig, anderen hebben behoefte aan meer opties. Verkoopprofessionals van Cisco kunnen bijvoorbeeld bestelprogramma's op hun smartphone openen, waardoor ze hun werk beter kunnen doen. Cisco-extranetpartners kunnen hun eigen werkstations gebruiken voor toegang tot een virtuele desktopomgeving, waardoor Cisco een beter beheer heeft over de bedrijfsmiddelen. Fase 4: Elke service, elk apparaat, overal Cisco geeft gebruikers op dit moment toegang tot bedrijfsresources die zich op kantoorlocaties bevinden. In de toekomst zal de consumentisering van services — toepassingen, opslagruimte en computervermogen — meer flexibiliteit en kostenbesparingen bieden vergeleken met inhouse IT-services. Voor sommige apparaten en scenario's is al toegang tot externe cloudservices vereist voor zakelijke transacties (zie figuur 2). Hoewel de toenemende grensvervaging tussen toepassingen en services buiten het bestek van deze paper valt, vormt Cisco's Any Device strategie een stevige basis waarop toekomstige architecturen voor 'elke service, elk apparaat, overal' en een uiteindelijke virtuele onderneming kunnen worden gebouwd. Fase 5: Virtuele onderneming De virtuele onderneming is een logische ontwikkeling voortvloeiend uit fase 4, waarin een onderneming steeds meer locatie- en serviceonafhankelijk wordt. De onderneming beschikt over een volwassen identiteitsmodel, dat gedetailleerde toegangscontrole en externe samenwerking toestaat, en een volledig bereik aan beveiligingscontroles en -mogelijkheden wordt toegepast op de ondernemingsgegevens. De virtuele onderneming wordt nader besproken naarmate we dichter bij dit toekomstbeeld komen.

3

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Overal toegang op elk apparaat

In dit gedeelte bekijken we welke stappen Cisco neemt om een volwassen Any Device-architectuur tot stand te brengen, hoe Any Device de traditionele beveiligingsnormen omverwerpt en welke oplossingen Cisco in het netwerk heeft geïmplementeerd. Bij het implementeren van verschillende Any Device-oplossingen heeft Cisco zich gericht op drie scenario's:

• Externe toegang • Interne toegang • Toegang via desktopvirtualisatie

Onafhankelijkheid van apparaten

Figuur 2. Drie manieren van toegang tot het bedrijfsnetwerk op elk apparaat Interne toegang

Overal

Elk apparaat, overal

Je moest naar het kantoor komen voor toegang tot resources

Overal toegang tot resources met door IT beheerde bedrijfsmiddelen

Overal, met elk apparaat toegang tot resources

Elke service, elk apparaat, overal

Virtuele onderneming

De onderneming Services beheren wordt virtueel, de gegevens. volledig onafhankelijk Services zijn apparaatonafhankelijk van locatie en service

Elk apparaat, overal Time

Markttrend: Toegang tot elk apparaat Consumentering van apparaten 1. Intern 2. Extern 3. Desktopvirtualisatie

Markttrend: Consumentering van services

Externe toegang vanaf elk apparaat Stap 1: Proxygebaseerde toegang vanaf elk apparaat De enorme toename van het gebruik van mobiele smartphones gedurende de afgelopen 5 jaar legt steeds meer druk op Cisco IT om toegang tot bedrijfsresources toe te staan vanaf apparaten zoals Palm, Windows Mobile, Nokia, iPhone, Android, enz. Hoewel het toestaan van dergelijke toegang voordelen had voor Cisco met betrekking tot productiviteit, waren er ook aanzienlijke risico's (zie zijbalk: "Potentiële risico's van 'Any Device'"). Cisco heeft gekozen voor een pragmatische benadering door een gecontroleerde reeks services aan te bieden — e-mail en agenda — aan mobiele apparaten door middel van proxygebaseerde toegang. Gebruikers kunnen zelf een apparaat kiezen, terwijl Cisco beveiligingsbeleidsregels handhaaft die gegevensbeveiliging en vertrouwelijkheid maximaliseren. Gebruikers moeten bijvoorbeeld een vier-cijferige pincode configureren en invoeren voor toegang tot hun e-mail of agenda. Na tien mislukte pogingen wordt de service vergrendeld en na tien minuten inactiviteit treedt een time-out op voor de verbinding. En als een smartphone is verloren of gestolen, kan de medewerker contact opnemen met een medewerker van de Cisco-helpdesk, die het apparaat vervolgens kan laten wissen. Hoewel deze benadering niet onfeilbaar is, zou het niet aanbieden van deze oplossing nog grotere risico's voor de organisatie hebben geïntroduceerd. Omdat mobiele apparaten voortdurend toegang tot het bedrijfsnetwerk verkregen via een draadloze LAN (WLAN) — naast degenen die kozen voor toegangsmogelijkheden buiten het beheer van het bedrijf om, zoals Yahoo IM en Gmail — had Cisco vóór de rollout van deze service praktisch geen controle over ons beveiligingsniveau. Door mobiele e-mailtoegang mogelijk te maken biedt Cisco gebruikers een aantrekkelijk toegangspakket, waarin eenvoudige, maar effectieve, toegangscontrole is geïntegreerd. Cisco biedt momenteel bescherming voor ongeveer 35.000 handheld-apparaten3 via deze mobiele e-mailtoegang. Wanneer Cisco nieuwe toegang biedt tot andere bedrijfsresources via smartphones, worden de beveiligingsvereisten dienovereenkomstig aangescherpt. 3. Interne metrieken van Cisco, per mei 2011 4

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Stap 2: Volledige externe toegang vanaf elk apparaat Na het implementeren van mobiele e-mailservices voor handheld-apparaten heeft Cisco IT zich gericht op het bijwerken en uitbreiden van externe toegang voor alle draagbare apparaten. Oorspronkelijk hadden externe medewerkers met door IT verstrekte laptops toegang tot het Cisco-bedrijfsnetwerk via VPN's. Het aantal medewerkers dat uiteenlopende Macs, Windows-pc's en Linux-pc's wilde gebruiken, al dan niet door IT verstrekt, nam echter toe. Bovendien betekende de groeiende populariteit van tabletpc's dat ook gebruikers van deze apparaten externe toegang wilden hebben. Deze verzoeken vormden een aanzienlijke uitdaging voor het Cisco-beveiligingsmodel voor door IT beheerde bedrijfsmiddelen. Als gevolg hiervan heeft Cisco het concept 'vertrouwd apparaat' geïntroduceerd. Een vertrouwd apparaat kan een willekeurig type apparaat zijn, maar het moet voldoen aan een bepaalde beveiligingsbasis om volledige toegang te kunnen krijgen tot het bedrijfsnetwerk. Cisco definieert een vertrouwd apparaat op basis van de volgende architecturale principes:

•

•

•

C  ontrole beveiligingsniveau van apparaat: Cisco moet unieke apparaten kunnen identificeren die toegang wensen tot het bedrijfsnetwerk en ze kunnen koppelen aan een specifieke gebruiker. Cisco moet ook in staat zijn om het beveiligingsniveau te beheren van apparaten die verbinding maken met zakelijke services. Deze mogelijkheid is van essentieel belang voor Cisco-teams voor incidentbeheer.  ebruikersverificatie en autorisatie: Cisco vereist G van zakelijke gebruikers dat ze worden geverifieerd. Verificatie identificeert gebruikers en voorkomt ongeautoriseerde toegang tot aanmeldingsgegevens van gebruikers. Daarnaast voorkomt Cisco verificatie van medewerkers wiens dienstverband is beëindigd en wordt hun de toegang tot bedrijfsmiddelen en bedrijfsgegevens geweigerd. V  eilige gegevensopslag: Voor activiteiten voor zakelijke services (zoals e-mail lezen, documenten openen of samenwerken via het Cisco Quad™samenwerkingsplatform voor ondernemingen) moeten alle gegevens die lokaal op het apparaat worden bewaard, worden beveiligd. Gebruikers moeten gegevens op het apparaat kunnen openen en opslaan zonder het risico te lopen bedrijfsgegevens achter te laten, wat zou kunnen leiden tot ongeautoriseerde toegang.

Beleid vertrouwde apparaten Architecturale principes moeten worden vertaald naar technische specificaties om ondernemingen in de richting van implementeerbare oplossingen te leiden. Vertrouwde apparaten moeten voldoen aan de volgende vereisten wat betreft beleidsuitvoering en het beheer van bedrijfsmiddelen: Beleidsuitvoering Apparaten die toegang hebben tot bedrijfsservices, moeten de implementatie van de volgende veiligheidscontroles valideren alvorens verbinding te maken. Het ongeoorloofd verwijderen van deze controles moet toegang tot bedrijfsresources onmogelijk maken: • Controles voor plaatselijke toegang die gebruikmaken van sterke wachtwoorden (complexiteit), een time-out na tien minuten zonder activiteit en een vergrendeling na tien mislukte aanmeldingspogingen •G  egevensversleuteling van onder andere apparaten en verwisselbare media • Mogelijkheden voor wissen en vergrendelen op afstand als een medewerker wordt ontslagen of als een apparaat zoek is of is gestolen • Inventarisfuncties voor het controleren van de aanwezigheid van specifieke beveiligingssoftware, patchupdates en bedrijfstoepassingen Beheer van bedrijfsmiddelen Apparaten die toegang hebben tot bedrijfsservices, moeten de volgende kenmerken hebben: •U  niek identificeerbaar, waarbij identificatie niet zomaar kan worden vervalst • Expliciet en afzonderlijk goedgekeurd voor bedrijfstoegang en geregistreerd voor en te traceren naar een specifieke gebruiker • Kan bedrijfstoegang blokkeren

• Kan forensische logboekgegevens Met zo veel gebruikers die hun eigen mobiele apparaten produceren (bijvoorbeeld van kiezen en hierop verbinding maken met het bedrijfsnetwerk, beveiligingssoftware, verificatie wordt het netwerk kwetsbaar voor gaten in de beveiliging en autorisatie van gebruikers, configuratiewijzigingen) indien dit en worden IT-middelen en bedrijfsgegevens in gevaar vereist is voor onderzoek gebracht. Cisco AnyConnect™ Secure Mobility — inclusief een VPN-client, de Cisco Adaptive Security Appliances als firewall en VPN-headend, en de lokale of cloudgebaseerde webbeveiliging van Cisco — reageert op deze zorg door intelligente, transparante en permanente connectiviteit te bieden met contextbewuste, uitgebreide en preventieve beveiligingshandhaving, en veilige mobiliteit voor alle beheerde en onbeheerde mobiele apparaten van vandaag de dag (figuur 3).

5

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Figuur 3. Cisco AnyConnect Secure Mobility Bedrijfskantoor

Bekabeld

Mobiele gebruiker

Thuiskantoor

Wi-Fi

Mobiel/ Wi-Fi

Veilige, consistente toegang

Spraak, video, apps, gegevens De Cisco AnyConnect Secure Sockets Layer (SSL) VPN-client richt zich op de verschillende beveiligingsuitdagingen die gepaard gaan met het bieden van flexibiliteit aan Cisco-medewerkers om apparaten te gebruiken die niet onder IT-controle of -beheer staan. Cisco IT staat alleen geregistreerde apparaten toe verbinding te maken met het netwerk. Om zeker te weten dat een apparaat dat een SSL VPN-sessie tot stand probeert te brengen, is geregistreerd, controleert de Cisco AnyConnecttoepassing het certificaat van het apparaat tegen het serienummer. Door apparaatregistratie te vereisen wordt het apparaat bovendien aan een persoon Potentiële risico's van 'Any gekoppeld, wat beveiligingsonderzoek ondersteunt en Device' gebruikersverantwoordelijkheid helpt garanderen. Cisco IT gebruikt Cisco ASA 5500 Series Adaptive Security Appliances om apparaten te controleren op compliance in het kader van de beveiligingsrichtlijnen van het bedrijf. Cisco-gebruikers kunnen bijvoorbeeld geen VPN-verbinding tot stand brengen als ze nog geen wachtwoord voor schermvergrendeling hebben geconfigureerd. Cisco AnyConnect helpt voorkomen dat gebruikers die geen medewerker zijn, verbinding kunnen maken met het Cisco-netwerk via apparaten die door iemand zijn verloren. Als een medewerker Cisco IT op de hoogte brengt van een verloren apparaat, kan Cisco IT alle actieve VPN-sessies direct beëindigen en voorkomen dat nieuwe VPN-verbindingen vanaf dat apparaat tot stand worden gebracht. Cisco IT kan ook eenvoudig accounts beëindigen van medewerkers die het bedrijf hebben verlaten.4 Beveiliging voor mobiele iPhones en Nokia- en Android-apparaten is nog strenger, omdat deze certificaten worden gedistribueerd door een Mobile Device Management-oplossing. Deze oplossing biedt meer gedetailleerde handhaving van beveiligingsbeleidsregels, voorraadbeheer en het op afstand wissen van apparaten indien een apparaat is verloren of het dienstverband is beëindigd.

Bij een breed scala aan apparaten moeten ondernemingen de volgende potentiële risico's in acht nemen: • Het verlies van de controle over bedrijfsgegevens die op het apparaat zijn opgeslagen, waaronder regelgevings- of klantgegevens • Het verlies van controle over de apparaatstatus: – Minder controle op de algemene apparaatbeveiliging kan het risico op exploitatie van en aanvallen op de infrastructuur en services van Cisco verhogen. –A  pparaten voldoen mogelijk niet aan beleidsregels en bedrijfsmodellen, waardoor zakelijke relaties beschadigd kunnen worden of niet kan worden voldaan aan (wettelijke) reguleringen •M  inder inzage in de aangesloten apparaten op het netwerk, dat wil zeggen waar deze zich bevinden, wie de eigenaar is en wie deze beheert, leidt tot mogelijke problemen voor beveiliging, licentieverstrekking, verzekeringen volgens (wettelijke) regelgeving en controle

4. Ga naar www.cisco.com/web/about/ciscoitatwork/downloads/ciscoitatwork/pdf/Cisco_IT_Case_Study_AnyConnect_Deployment.pdf 6

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Cisco is momenteel bezig om de Cisco AnyConnect-client te integreren met de Cisco ScanSafeoplossing voor cloudgebaseerde beveiliging en de Cisco IronPort™ Web Security Appliance (WSA) voor lokale webbeveiliging. Deze complementaire oplossingen beschermen gebruikers tegen webgebaseerde malware, ongeacht of ze beschikken over een actieve SSL VPN-verbinding. De Cisco ScanSafe-oplossing blokkeert malware-infecties, zodat apparaten — en het bedrijfsnetwerk — veilig blijven, zelfs als gebruikers schadelijke URL's bezoeken wanneer ze zich niet op het netwerk bevinden, noch verbinding hebben via VPN.

Interne toegang via Any Device Stap 1: Benadruk netwerkgebaseerde malwarecontroles Een apparaat in bedrijfseigendom is een belangrijk hulpmiddel in het handhaven van de beveiliging en integriteit van bedrijfsgegevens. Cisco doet uitstekend werk in het beveiligen van onze beheerdehostingomgevingen door meerdere verdedigingslagen te installeren en beheren op onze bedrijfscomputers — waaronder antispam, antispyware, beheerde antivirus, hostgebaseerde preventie tegen indringers en patchbeheer. Doordat Cisco zich echter steeds minder bezighoudt met beheerde-hostingomgevingen en apparaten in bedrijfseigendom, moeten ook deze controles minder direct op de endpoint worden gericht en in het beheerde netwerk worden ingebouwd. Cisco maakt momenteel gebruik van hulpmiddelen zoals de Cisco IronPort Web Security Appliance (WSA), de Cisco IronPort Email Security Appliance (ESA) en Cisco Intrusion Prevention Systems (IPS's) in aanvulling op door derden ontwikkelde beveiligingsmiddelen voor NetFlow, zero-day malwarebeveiliging, hulpmiddelen voor gebeurtenisbeheer, enzovoort, om ons netwerk te beschermen (zie figuur 4). Figuur 4. Netwerkbeveiligingscontroles in een Cisco Any Device-omgeving Identiteit en status apparaat (TrustSec) Detectie en preventie van ongeautoriseerde toegang (IPS)

• • • •

E-mailbeveiliging (ESA) Webbeveiliging (WSA) Gegevensbeheer en voorkoming van gegevensverlies (ESA, WSA, ScanSafe)

Naleving Beheer Handhaving Herstel

Gesprek volgen en reageren op incidenten (WSA, Netfiow) Besturingssysteemeigen beveiliging Exploitatie

Beleid (niet-beheerde apparaten)

Trusted Platform

Netwerkomgeving Gevirtualiseerde omgeving

Trusted Layer

7

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Met een beveiligingsproxy zoals de Cisco IronPort WSA op de netwerk-edge wordt de hoeveelheid inkomende dreigingen van bekabelde en draadloze netwerken aanzienlijk verminderd. De Cisco IronPort WSA-implementatie voldoet niet alleen aan de vereisten voor netwerkbeveiliging van Cisco's Any Device-strategie, maar beschermt bovendien het bedrijf. Tijdens de eerste implementatie in Ciscointernetgateways in het Oosten van de Verenigde Staten blokkeerde de WSA meer dan 3.000.000 schadelijke transacties5 gedurende een periode van 45 dagen6. De Cisco IronPort ESA is een e-mailgateway met toonaangevende preventie tegen dreigingen zoals spamberichten, virussen, malware en gerichte aanvallen. Deze omvat uitgaande controle met preventie tegen gegevensverlies, handhaving van beleidsregels voor acceptabel gebruik en op berichten gebaseerde versleuteling. Het verschuiven van e-mailbeveiliging naar het netwerk zorgt niet alleen voor de bescherming van verschillende apparaten, maar het verbetert ook de productiviteit. In één maand tijd heeft de Cisco IronPort ESA bijvoorbeeld 280 miljoen7 e-mailberichten naar Cisco.com-adressen geblokkeerd, wat 88 procent van het totale aantal pogingen is. Cisco vertrouwt daarnaast op de opsporingsmogelijkheden van Cisco IPS voor informatiebewaking en waarschuwingen tussen onze netwerken. Cisco IT en Beveiliging kunnen informatie over dreigingen snel verwerken, zodat wij deze kunnen identificeren en hierop kunnen reageren zonder afhankelijk te zijn van de endpoint. Omdat Cisco IPS beschikbaar is op specifieke apparaten of is geïntegreerd in Cisco-firewalls, -switches en -routerplatforms, wordt het geïmplementeerd op alle Cisco-locaties over de hele wereld. Door deze dekking kan het Cisco Computer Security Incident Response Team (CSIRT) snel handelen met betrekking tot incidenten die zich voordoen binnen het hele netwerk. Aangezien het apparaatgebruik van Cisco IT verschuift van geleasede en beheerde apparaten naar door de gebruiker verstrekte apparaten, wordt het zeer belangrijk om de netwerklaag in detail te kunnen inspecteren. Zonder afbreuk te doen aan het inzicht in apparaten moet worden geïnvesteerd in technologieën die een uitgebreid, realtime omgevingsbewustzijn bieden voor dreigingen op de netwerklaag. Stap 2: Verbeter de toegangscontrole voor apparaten In het verleden vertrouwde het Cisco CSIRT op IT-systemen — zoals voorraadbeheer, beheer van bedrijfsmiddelen en systemen voor hostbeheer — om apparaten die betrokken waren bij incidenten, te koppelen aan gebruikers. Als een apparaat was gecompromitteerd, kon het Cisco CSIRT het opzoeken in voorraadsystemen voor hardware en software, het koppelen aan een bepaalde gebruiker en contact zoeken met deze gebruiker om het probleem te verhelpen. Deze oplossing is niet mogelijk in een wereld met Any Device. Het Cisco CSIRT heeft IT-systemen opnieuw uitgerust voor de Any Device-strategie. Om de identiteit van een gebruiker vast te stellen, worden DHCP-records en MAC-adressen bijvoorbeeld gekoppeld aan aanmelding via een toepassing, in plaats van aanmelding via een apparaat. Zeer binnenkort zal de Cisco TrustSec®-architectuur — die toegangscontrole op basis van beleidsregels, identiteitsbewuste netwerken en services voor het verzekeren van de integriteit en vertrouwelijkheid van gegevens biedt — helpen bij het oplossen van dit probleem. Door middel van het 802.1x-protocol worden gebruikers door de Cisco TrustSec-netwerkaanmelding geïdentificeerd en aan hun apparaten gekoppeld. Het stelt Cisco bovendien in staat gedifferentieerde toegang tot een dynamische netwerkomgeving te bieden en zorgt voor naleving van de regels voor een groeiend aanbod aan consumentenapparatuur en netwerkapparatuur. Cisco TrustSec-technologie kan bijvoorbeeld profiteren van de beveiligingsbasis van het vertrouwde apparaat. Wanneer apparaten worden beschouwd als vertrouwd, krijgen ze volledige toegang tot bedrijfsresources op het interne netwerk. Het platform Identity Services Engines (ISE) - de oplossing voor geconsolideerde identiteit en toegangscontrole van Cisco - biedt bovendien de nieuwste architectuur voor identiteits- en beleidsbeheer.

Toegang via desktopvirtualisatie vanaf elk apparaat Mobiliteit en nieuwe apparaten hebben de Cisco Any Device-strategie versneld en er is al snel een derde factor ontstaan: het integreren van acquisities en het beheren van buitenlandse en externe relaties voor uitbesteding.

5. Inclusief downloads van malware, software die browsers overneemt, ongewenste reclame, botnet-check-ins en Trojaanse paarden (verbindingen via de achterdeur) 6. 14 april tot 31 mei 2011 7. Gegevens van Q1CY11 8

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Gedurende de afgelopen jaren heeft Cisco verschillende bedrijven overgenomen, waarvan de integratie voor uitdagingen heeft gezorgd voor Cisco IT en beveiligingsorganisaties. Elk overgenomen bedrijf beschikte over zijn eigen apparaten en beveiligingsbeleidsregels en -standaarden, die vaak verschilden van die van Cisco. Het Cisco Information Security-team had de verantwoordelijkheid om ervoor te zorgen dat de endpointapparaten voldeden aan de Cisco-beleidsregels en -standaarden. Er waren slechts twee geschikte oplossingen, die allebei de nodige problemen met zich meebrachten. De eerste oplossing was om de overgenomen apparatuur te vervangen door apparatuur die door Cisco IT werd verstrekt en ondersteund, en medewerkers te trainen voor het gebruik ervan. Deze procedure zou leiden tot een kostbare en langdurige overgang die weken- of maandenlang van invloed zou zijn op de productiviteit. De tweede optie was om de bestaande apparaten te houden, maar dan te riskeren dat het beveiligingsniveau voor de gehele onderneming zou worden verlaagd. Er moest een andere oplossing worden gevonden. Het bedrijfsbeleid stond ook onder zware druk door de overstap naar uitbesteding. Vijftien jaar geleden was outsourcing beperkt tot eenvoudige taken. Tegenwoordig wordt er in de meeste onderdelen van de onderneming gebruik van gemaakt en zijn er allerlei bedrijfsprocessen bij betrokken. Het huidige externe personeel van Cisco bestaat uit meer dan 45.000 arbeidskrachten, waarvan er 17.000 dagelijkse activiteiten uitvoeren vanaf 350 externe locaties. Cisco onderhoudt daarnaast outsource-relaties met meer dan 200 verschillende externe bedrijven. Tot nu toe zijn de meeste externe medewerkers met of zonder vaste locatie voorzien van apparaten die door Cisco IT worden ondersteund en Cisco-beleidsregels naleven. Voor offshore- en offsite-outsourcing beheert Cisco IT een extranet-infrastructuur die alle netwerkverbindingen van externe partijen ondersteunt. Cisco IT beheert 70 procent van alle end-to-end-extranetverbindingen, waaronder apparaten, WAN-connectiviteit en het externe netwerk op de locatie van de externe partij. Omdat outsourcing bij Cisco vaker voorkomt en complexer is geworden, voldoet dit model echter niet meer aan de bedrijfsverwachtingen wat betreft time-to-capability en TCO. Met desktopvirtualisatie in combinatie met de netwerkbeveiligingsmogelijkheden die eerder in deze paper zijn beschreven, kunnen deze problemen worden opgelost en kunnen tegelijkertijd aanzienlijke voordelen worden behaald (zie in de zijkolom 'Voordelen en problemen van desktopvirtualisatie'). Cisco voorspelt dat desktopvirtualisatie een potentiële kostenbesparing van meer dan 20 procent en een verhoging van 40 tot 60 procent in time-tocapability zal opleveren voor acquisities en offshore/offsite outsourcing-locaties. Deze gecentraliseerde, volledig schaalbare, locatie-onafhankelijke service verbetert ook gegevensbeveiliging en apparaatcompliance. Cisco is al een desktopvirtualisatiepilot begonnen met 2000 gebruikers in de Verenigde Staten. Andere internationale locaties volgen later in 2011. 9

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

Voordelen en problemen van desktopvirtualisatie Desktopvirtualisatie is een computermodel dat programma's, toepassingen, services en gegevens centraliseert. De gebruikerservaring lijkt sterk op die van een normale computer, maar de gegevens, het besturingssysteem en de toepassingen bevinden zich niet allemaal op het apparaat van de eindgebruiker. Dit computermodel — ook wel VDI genoemd (Virtual Desktop Infrastructure) — heeft vele potentiële voordelen: • Consistente ervaring: gebruikers benutten dezelfde interface op alle apparaten met VDI. • Verhoogde productiviteit: gebruikers hebben toegang tot gegevens en toepassingen vanaf elk apparaat met VDI, onafhankelijk van hun locatie. Toegang tot toepassingen is vaak sneller omdat de VDI-omgeving zich in het datacenter bevindt. • Minder risico op malware: IT kan garanderen dat toepassingen en patches voortdurend bijgewerkt blijven en dat gebruikers de patches installeren. • Minder risico op verlies van gegevens en intellectuele eigendom: gegevens worden centraal opgeslagen, er wordt een reservekopie van gemaakt en ze zijn beschikbaar, zelfs als het apparaat niet werkt, zoekraakt of wordt gestolen. • Kortere afstand tot de markt: belangrijke gebruikers, zoals overgenomen bedrijven en partners met hun eigen apparaten, kunnen sneller worden opgenomen in de bedrijfsomgeving. • Toepassingscompatibiliteit: desktopvirtualisatie kan fungeren als compatibiliteitsbrug voor het uitvoeren van bedrijfstoepassingen in een bekende besturingssysteemomgeving. • Eenvoudiger te ondersteunen: het inrichten van een virtuele desktop is sneller dan het installeren van een nieuwe pc, en virtualisatie is heel geschikt voor een gecentraliseerd ITondersteuningsmodel. Desktopvirtualisatie is mogelijk geen oplossing voor alle toepassingen of gebruikersgroepen. Bekende problemen zijn: • Niet geschikt voor bepaalde toepassingen: er zijn op dit moment problemen met toepassingen die veel bandbreedte gebruiken, zoals ontwerptoepassingen, video en geïntegreerde communicatie. • Niet geschikt voor bepaalde apparaten: de gebruikerservaring van desktopvirtualisatie sluit niet aan op bepaalde apparaten, zoals smartphones en tablets met kleine schermen. • Beperkte platforms: de meeste desktopvirtualisatie-oplossingen richten zich voornamelijk op Windows-apparaten. • Omgevingen met hoge wachttijd: VDI werkt niet optimaal in netwerkomgevingen met hoge wachttijd.

White paper

Geleerde lessen van Cisco

Het opstellen en invoeren van een Any Device-strategie is een aanzienlijke verandering voor een onderneming. Een dergelijke transformatie kan gemakkelijker en met meer succes worden geïmplementeerd met een consistente beleidsstructuur. Bij deze ondernemingsbrede overstap naar Any Device hebben Cisco IT en beveiligingsexperts verschillende lessen geleerd:

• De overstap naar Any Device vereist inspanningen in verschillende domeinen: van desktop, beveiliging en netwerkinfrastructuur tot communicatieafdelingen.

• Ondernemingen moeten een enkele eindverantwoordelijke aannemen voor het organiseren van het functieoverschrijdende team, het trainen van leidinggevenden en het rapporteren van resultaten en metrieken.

• Onderschat niet hoeveel werk het is om gebruikersgroepen te segmenteren en een gebruikersanalyse uit te voeren. Deze analyse bepaalt welke gebruikers recht hebben op welke services en is de eerste stap bij het invoeren van Any Device.

Ondernemingen doen aanzienlijke investeringen om te kunnen voldoen aan toepasselijke regelgeving voor gegevensbeveiliging, integriteit, privacy en audits. In 2010 werkte Cisco de zakelijke gedragscode bij met richtlijnen voor apparaten in persoonlijk bezit en de afdeling voor gegevensbeveiliging bewerkt vele van de beveiligingsbeleidsregels zodanig dat gegevens centraal staan. In andere gevallen kunnen deze investeringen echter de Any Device-visie tegenspreken. Cisco maakt bijvoorbeeld gebruik van artsen en verpleegkundigen die gezondheidszorgservices aan medewerkers leveren. Het is voor deze zorgverleners handig om tablets naar hun patiënten mee te nemen en voor Cisco TelePresence®-vergaderingen te gebruiken, zodat zij op afstand diagnoses kunnen stellen en patiënten kunnen behandelen. Deze tablets verschaffen echter toegang tot gegevens die onder HIPAA vallen (Health Insurance Portability and Accountability Act). Cisco staat niet toe dat zijn gezondheidszorgmedewerkers hun persoonlijke tablets in deze omgeving gebruiken en zorgt ervoor dat er alleen apparaten van het bedrijf worden gebruikt, waarop de correcte protocollen voor beveiliging en gegevensbeheer worden nageleefd.

Uw eerste stappen op weg naar Any Device Bij het invoeren van Any Device heeft Cisco dertien essentiële zakelijke gebieden aangewezen waar dit nieuwe model op van invloed is. Deze aandachtsgebieden zijn aangegeven in Tabel 1, die ook een lijst bevat met vragen. Dit zijn de vragen waarmee Cisco potentiële problemen heeft herkend en heeft kunnen omzeilen. U kunt ze als richtlijn gebruiken om problemen tijdens de invoering aan te pakken. Neem deze vragen in overweging en wees zo eerlijk mogelijk in uw antwoorden bij het invoeren van uw eigen Any Device-plan.

10

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Tabel 1. Vragen die moeten worden gesteld bij het invoeren van Any Device Zakelijk gebied

Zakelijke vragen die moeten worden beantwoord

Planning bedrijfscontinuïteit en noodherstel

•M  oeten niet-bedrijfsapparaten worden opgenomen in, of uitgesloten van, de planning voor bedrijfscontinuïteit? • Moet de mogelijkheid bestaan om elk eindapparaat dat zoek is of is gestolen en wordt gebruikt voor toegang tot het netwerk, te wissen? • Mogen niet-bedrijfsapparaten deelnemen aan bestaande hostbeheerstreams van het bedrijf?

Hostbeheer (patching) Clientconfiguratiebeheer en controle van gegevensbeveiliging

• Hoe wordt bedrijfscompliance voor beveiligingsprotocollen gecontroleerd en bijgewerkt?

Strategieën voor toegang • Wie heeft op welke apparaten recht op welke services en platforms? op afstand • Krijgt een externe medewerker dezelfde rechten wat betreft apparaten, toepassingen en gegevens? Softwarelicenties

•M  oet het beleid worden gewijzigd om de installatie van software waarvoor het bedrijf over een licentie beschikt, mogelijk te maken op niet-bedrijfsapparaten? • Zijn bestaande software-overeenkomsten voldoende voor gebruikers die dezelfde softwaretoepassing via verschillende apparaten gebruiken?

Vereisten voor versleuteling

• Moeten niet-bedrijfsapparaten voldoen aan de bestaande vereisten voor schijfversleuteling?

Verificatie en machtiging • M  oeten of mogen niet-bedrijfsapparaten worden opgenomen in bestaande Microsoft Active Directory-modellen? Beheer van naleving van regelgeving

•W  at is het organisatorisch beleid met betrekking tot niet-bedrijfsapparaten in situaties met hoge compliance of hoge risico's?

Incidentenbeheer en onderzoek

•H  oe gaan IT-beveiligings- en privacyfunctionarissen om met incidenten en onderzoeken met betrekking tot niet-bedrijfsapparaten?

Interoperabiliteit van toepassingen

•H  oe gaat de onderneming om met het testen van interoperabiliteit van toepassingen met betrekking tot niet-bedrijfsapparaten?

Beheer van bedrijfsmiddelen

•M  oet de onderneming de manier wijzigen waarop de eigen apparaten worden onderscheiden van de niet-bedrijfsapparaten?

Ondersteuning

•W  at is het beleid van de onderneming voor het leveren van ondersteuning aan nietbedrijfsapparaten?

De toekomst

De introductie van Any Device bij Cisco is een doorlopende langetermijninvestering in de toekomst. Gedurende de komende paar jaar zet Cisco het plan voort om belangrijke gegevens en toepassingen te verplaatsen van apparaat naar netwerk en cloud, en identiteits- en beleidsbeheer te integreren op apparaten wanneer deze interactie hebben met het netwerk. Met de volgende stappen van dit plan kunnen problemen bij Any Device op de volgende zakelijke gebieden worden verholpen: Interoperabiliteit van toepassingen 60 procent van de apparaten die op dit moment worden aangesloten op het Cisco-netwerk, zijn Windows-desktops, maar dit percentage daalt naarmate andere apparaten populairder worden. In de toekomst heeft Cisco minder controle over het type of de versie van de software die op apparaten wordt geïnstalleerd, waardoor het waarschijnlijker wordt dat er interoperabiliteitsproblemen tussen toepassingen, browsers, versies en runtime-omgevingen ontstaan. Nu webtoepassingen wijdverspreid zijn, is het probleem eenvoudiger geworden, maar niet opgelost. Naarmate de verscheidenheid van desktops, smartphones en tablets zich uitbreidt, wordt ook het aantal browseromgevingen groter. Cisco-leidinggevenden hebben zich ingezet voor een 'browsernorm' voor interne webtoepassingen op basis van W3C-normen (World Wide Web Consortium). Branchenormen voor webontwikkeling maken interoperabiliteit van toepassingen mogelijk binnen een ecosysteem dat bestaat uit verschillende browsers, besturingssystemen en eindapparaten. Cisco vertrouwt ook op desktopvirtualisatie om een compatibele besturingsomgeving op elk besturingssysteem te presenteren. Er is een desktopvirtualisatiepilot gepland die op dit moment duizenden gebruikers beslaat en in juli 2012 beschikbaar wordt voor 18.000 medewerkers.

11

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.

White paper

Softwarelicenties Net als de meeste ondernemingen gebruikt Cisco systemen voor bedrijfsmiddelenbeheer om softwarelicenties te controleren. Cisco moet vele beleidsvragen in beschouwing nemen met betrekking tot verschillende situaties voor Any Device-softwarelicenties, zoals:

• Mogen gebruikers bedrijfssoftware op hun eigen apparaten installeren? • Is bedrijfssoftware volgens bestaande contracten met softwareleveranciers toegestaan op niet-bedrijfsapparaten? • Moet Cisco niet-bedrijfsapparaten controleren, en zo ja, hoe?

Cisco onderzoekt momenteel het gebruik van gegevens die zijn verzameld door Cisco TrustSectechnologie, zoals gebruikersidentiteit en MAC-adres. Het doel is implementatie van een systeem voor bedrijfsmiddelenbeheer waarmee alle apparaten worden gecontroleerd en van gedetailleerde rapportagemechanismen voor niet-bedrijfshardware en -software. Bedrijfscontinuïteitsplan en noodherstel Cisco heeft naast medewerkers die met bedrijfsmiddelen op de locaties van andere bedrijven werken, wereldwijd ook een groot aantal tijdelijke krachten op Cisco-kantoren. Wie is ervoor verantwoordelijk dat de gegevens veilig en intact blijven? Cisco maakt een centrale back-up van zijn Windows-pc's, maar vele van onze partners willen niet dat hun intellectuele eigendom wordt opgeslagen op een extern systeem. Welke voorzieningen zijn er getroffen zodat gebruikers die niet zijn opgenomen in continuïteitsservices van het bedrijf, hun werk snel kunnen voortzetten na een uitval? Een mogelijke oplossing is desktopvirtualisatie, waarmee gevoelige gegevens van apparaten worden losgekoppeld. Cisco is begonnen de gebruikersinteractie via het netwerk te beheren. Met een combinatie van desktopvirtualisatie en Software as a Service (SaaS) of cloud computing werkt het bedrijf vol vertrouwen aan een toekomst waarin minder toepassingen en gegevens zich op de desktop bevinden. Sommige bedrijfstoepassingen of -locaties gaan over naar een benadering op basis van transactie, waarbij gebruikers, bewerkingen en gegevens consistent kunnen worden beheerd, gevolgd en opgeslagen. Met deze evolutie werkt Cisco IT toe naar een effectieve en veilige toekomst voor Any Device, elke service, overal, en uiteindelijk naar een virtuele onderneming.

Meer informatie

Cisco boekt aanzienlijke vooruitgang met een omgeving voor 'elke service, elk apparaat en overal' voor de onderneming. Wij blijven onze ervaringen en verworven kennis met u delen opdat u eventuele problemen tijdens het proces kunt omzeilen. De kennis en methodologie die Cisco heeft gebruikt om de bedrijfs- en IT-omgeving te transformeren tot Any Device en verder, kunnen worden toegepast op alle ondernemingen, groot of klein. Raadpleeg uw Cisco-vertegenwoordiger om te weten te komen hoe u uw bedrijfs-, IT- en beveiligingsinfrastructuur strategisch positioneert als voorbereiding op de overstap naar Any Devicearchitecturen. Informatie over Cisco-oplossingen die Any Device mogelijk maken vindt u op:

• Cisco AnyConnect Secure Mobility Client • Virtualisatiestrategieën • Cisco TrustSec-technologie • Cisco IronPort-e-mailbeveiligingstoebehoren • Cisco IronPort-webbeveiligingstoebehoren

Hoofdkantoor Amerika Cisco Systems, Inc. San Jose, CA

Hoofdkantoor Zuidoost-Azië Cisco Systems (USA) Pte. Ltd. Singapore

Hoofdkantoor Europa Cisco Systems International BV Amsterdam, Nederland

Cisco beschikt wereldwijd over meer dan 200 kantoren. Adressen, telefoonnummers en faxnummers vindt u op de Cisco-website op www.cisco.com/go/offices.

Cisco en het Cisco-logo zijn handelsmerken van Cisco Systems, Inc. en/of van zijn dochterondernemingen in de VS en andere landen. Een lijst met handelsmerken van Cisco is te vinden op www.cisco.com/go/trademarks. Hier genoemde handelsmerken van derden zijn eigendom van hun respectieve eigenaren. Het gebruik van het woord partner impliceert geen partnerschaprelatie tussen Cisco en enig ander bedrijf. (1005R) C11-681837-00 08/11

12

© 2011 Cisco en/of zijn dochterondernemingen. Alle rechten voorbehouden.