Walter Robijns Microsoft Certified Architect
Waar het echt om gaat bij
Bring Your Own Device (BYOD)
Management & Security
Bring Your Own Device (BYOD) is het fenomeen
waar bedrijfsmedewerkers niet-bedrijfs IT inbrengen en gebruiken binnen de organisatie. Gebruikers verwachten vervolgens dat deze IT verbonden kan worden met alle systemen zonder duidelijke eindverantwoordelijkheid en overzicht.
Inhoudsopgave Inleiding 1.
Wie managed wat en hoe bij BYOD in een bedrijfsomgeving? 1.1 Controle; is dat waar het om gaat?
2.
Klassieke beveiliging toepassen op BYOD is een mijnenveld
3.
Controle en verantwoordelijkheid 3.1 Maak het de gebruiker makkelijk 3.2 Apps & Clouds reduceren de digitale footprint 3.3 Niet limiteren, maar indirect controleren
4.
Beveiligingsbewustzijn; de gebruikers uitdaging
Samenvatting
Inleiding “In 2018 zal 70% van de mobiele professionals zijn werk verrichten op een eigen, persoonlijk, smart device.”, Gartner.com Het lijkt zo mooi. Laat de medewerker eigen devices meenemen, geef ze toegang tot de bedrijfsomgeving, en niet alleen de IT investering gaat omlaag maar de medewerker is ook nog geneigd om ook in privé tijd werk te verzetten. Werk verzetten; • door de medewerker, • met het device van de medewerker, • op het favoriete besturingssysteem van de medewerker, • met (vaak) door de medewerker zelf aangeschafte applicaties, • en onder beheer van de medewerker. De ideale wereld voor elk bedrijf. Tegelijkertijd is het de nachtmerrie van elke IT beheerder. Waarom? Gatenkaas! Dat is wat BYOD maakt van de IT infrastructuur en het IT beleid van bedrijven die eigen devices op hun bedrijfsomgeving toelaten.
Doelstelling Het doel van deze whitepaper is om beslissers en beïnvloeders die te maken hebben met de “Bring Your Own” problematiek te helpen in de volledige beeldvorming omtrent de data beveiliging bij “Bring Your Own Devices”. Het gaat om de bewustwording dat het gaat om de data beveiliging, niet om de controle toe te eigenen van apparaten die niet van het bedrijf zelf zijn. Het is een transitie van de klassieke beveiligingsmethodieken naar de methodieken die nodig zijn in de wereld van Cloud en “Bring Your Own Devices”.
1.Wie managed wat en hoe bij BYOD in een bedrijfsomgeving? Alhoewel de focus intuïtief gelegd wordt op het `Device’, zijn voor de IT beheerder de onderliggende vragen bij BYOD belangrijker: • • • • •
Wie heeft de controle? Wie is de eigenaar en is dus verantwoordelijk? Wat staan we toe en wat niet? Hoe beveiligen we het ‘intellectueel bedrijfseigendom’? Wat zijn onze procedures?
1.1 Controle; is dat waar het om gaat?
Het concept van een “Bring Your Own Device” gaat tegen iedere vezel van een IT-beheerder in. Al sinds het begin van het IT tijdperk willen we de gebruiker zo min mogelijk vrijheid geven. De stelling was namelijk: “Een gebruiker kan niet omgaan met IT apparaten en maakt fouten die een beheerder niet zou maken.” Dus beheert de IT afdeling het apparaat, inclusief alle software die er op staat. Hiermee zorgen we er voor dat de gebruiker alleen maar applicaties mag gebruiken en niets meer. Het logisch gevolg van deze “resultaten uit het verleden” is dat alle IT-aandacht gericht is op het beheren van de werkstations (Devices). De gedachtegang over IT beveiliging was altijd: “Als je alle werkstations op een netwerk onder controle hebt, dan heb je de omgeving onder controle”. Het nieuwe fenomeen van “Bring Your Own Device” gooit alleen roet in deze gedachtegang. Heb je een ”Own device” wel volledig onder controle? Is het volledig onder controle krijgen van het apparaat wel de weg tot de beveiliging van de gehele IT omgeving? Wat is nu eigenlijk het elementaire requirement waar het allemaal om draait? Het elementaire IT requirement was altijd en is nog steeds: ‘Het afschermen van data voor onbevoegden’.
2. Klassieke beveiliging toepassen op BYOD is een mijnenveld Als je toch de klassieke manier van IT security wilt toepassen op “Own Devices” dan wil je controle hebben over alle beveiligingselementen van een apparaat: • De Virusscanner • Drive encryptie • Policies die users beperken • Complexe Password regels • De gecontroleerde installatie van Bedrijfssoftware Een Own Device is echter in vele aspecten verschillend van een volledig beheerd werkstation waardoor een aantal Beheer valkuilen ontstaan: Valkuil 1: Software beheer Van iPad tot Windows 8 Tablet, het BYOD kan theoretisch van alles zijn. Wil je software beheren en controleren op BYOD dan heb je distributiemechanismes nodig voor alle mogelijke platformen. Hoewel BYOD in de praktijk vaak neerkomt op Bring Your Own Apple (BYOA) mag je Android en Windows 8 tablets ook niet uitvlakken, tenzij je het beleid hierop aanpast door deze verschillende versies te beperken. Maar dit is weer in strijd is met de “Bring Your Own” gedachte. Valkuil 2: Local Administrator De IT-beheerder is niet de lokale administrator van het apparaat maar dat is de gebruiker zelf. Hierdoor kan de gebruiker alles weer verwijderen of verminken, bewust of per ongeluk. Je zou theoretisch deze rechten kunnen ontnemen maar dan komt de vraag: “Wil je dat wel?” “Wil de gebruiker dat wel?” In hoeverre is het dan nog een “Own Device”? Valkuil 3: Het eigenaarschap De gebruiker is de eigenaar van het apparaat en het is dan ook zijn goed recht om hierop privé zaken te installeren en privé data op te slaan. Maar wie is er verantwoordelijk als tijdens de installatie van de bedrijfsvirusscanner het apparaat crasht of volledig gewist wordt? Alle persoonlijke data inclusief unieke vakantiefoto’s kunnen verloren gaan omdat het bedrijf hier bijvoorbeeld een virusscanner op wil installeren. • Wie is verantwoordelijk voor het verlies van data? • Van wie was de software? • Wie heeft de back-up gemaakt? • Wie had de verantwoordelijkheid om data veilig te stellen? Bovengenoemde valkuilen hebben te maken met wie de controle heeft en bij wie de verantwoordelijkheid ligt. De gebruiker wil zijn eigen software en data kunnen gebruiken. De IT beheerder daarentegen wil het own device dermate veilig maken dat bedrijfsdata veilig is. Klassieke IT security opleggen en toepassen op BYOD zorgt voor problematische gedeelde controle en problematische gedeelde verantwoordelijkheid.
3. Controle en verantwoordelijkheid BYOD vereist een enkele entiteit die controleert en die verantwoordelijk is, elk schip heeft maar één kapitein. Om het makkelijk te maken wordt de eigenaar al aangegeven in de benaming: YOUR OWN! De gebruiker is zelf de baas van zijn eigen device. Om gescheiden verantwoordelijkheden te vermijden is de gebruiker bovendien ook verantwoordelijk voor alle andere zaken: • • • • • •
Bring Your Own Device Bring Your Own Network Bring Your Own Security Bring Your Own Software Bring Your Own Procedures Bring Your Own Support
3.1 Maak het de gebruiker makkelijk Own Device gebruikers doen graag dingen zelf. Echter moet het de gebruiker wel makkelijk worden gemaakt. Net als de handleidingen van IKEA die steeds makkelijker worden, wordt het OD gebruikers steeds makkelijker gemaakt om complexe software functionaliteiten te installeren en te gebruiken. Zogenaamde Applicatie (App) stores van de verschillende platformen stellen de gebruiker in staat op een makkelijke manier software te vinden en te installeren. Deze app stores zijn dermate makkelijk dat ze de gebruiker het gevoel geven dat ze hun eigen device volledig controleren. Wanneer alle benodigde software voor de beveiliging beschikbaar is als een (of meerdere) app(s) hoeft een bedrijf haar medewerkers enkel nog maar te vertellen welke app(s) lokaal geïnstalleerd moeten worden om aan alle veiligheidsvoorschriften te voldoen voor toegang tot het bedrijfsnetwerk. Een specialisatie van apps zijn de zogenaamde cloud-gebaseerde apps. Deze worden ook lokaal geïnstalleerd maar zijn in geen enkele vorm afhankelijk van hardware componenten of functionaliteiten uit andere apps. Enkel een internet verbinding is noodzakelijk. Beheer van de apps ligt ook bij de gebruiker. Hiermee ligt de volledige verantwoordelijkheid op één, en de juiste, plaats, namelijk bij de gebruiker. Het onderbrengen van het beheer van IT bij de gebruiker wordt ‘Consumerization of IT’ genoemd. Het sleutelwoord van `Bring Your Own’ is dus ZELF. Elke andere tussenvorm is gedoemd om vroeg of laat te falen.
3.2 Apps & Clouds reduceren de digitale footprint De beïnvloeding van de werking van een device of impact op een OD wordt ook wel digitale footprint genoemd. Als een bedrijf veel eigen apps distribueert en controle/limitatie middelen oplegt is de digitale footprint van het bedrijf op het OD groot en daarmee het eigenaarschap twijfelachtig. Door het probleem van softwaredistributie en versiemanagement af te handelen in een externe app-store elimineert het bedrijf complexe interne bedrijfsoplossingen voor softwaredistributie en reduceert zo dus haar footprint, en twijfel over eigenaarschap, op het OD. Door in grote mate gebruik te maken van cloud-gebaseerde apps kan de footprint zelfs bijna tot nul gereduceerd worden terwijl toch alle software functionaliteiten worden geboden.
3.3 Niet limiteren, maar indirect controleren
Wanneer het device een beheerd werkstation betreft weet het bedrijf welke maatregelen zijn getroffen om de bedrijfsdata veilig te houden en waar het werkstation zich bevind. In het geval van BYOD is dit echter niet meer het geval. De gebruiker staat zelf aan het roer. Door het gebruik van apps en clouds blijft het eigenaarschap bij de gebruiker en wordt er tegelijkertijd een veiligheidsbasis gelegd. Desondanks is de bedrijfsdata niet veilig genoeg. Een bedrijf heeft geen controle over de software configuratie en kan er bovendien niet vanuit gaan dat de gebruiker te allen tijde alle maatregelen treft. Het device verplaatst zich ook buiten de “beschermende” fysieke omgeving van de organisatie. Dit brengt, normaal niet voorkomende, risico’s met zich mee, zoals: • Diefstal/Verlies; • Onbewaakt achterlaten; • Infectie door virussen. o Lokale data o Netwerk data via het apparaat Hoe kan er in deze situaties voor gezorgd worden dat de bedrijfsdata toch veilig is? “De elementaire basis eis: het afschermen van bedrijfsdata voor onbevoegden.” Het beveiligingsbeleid van het bedrijf heeft hierin een grote rol. Het bedrijf is weliswaar niet de eigenaar en heeft ook niet de directe controle, maar het bedrijf mag wel condities stellen. I.e., welke maatregelen moeten van kracht zijn en voor welke datatypes gelden deze maatregelen. VOORBEELD BEVEILIGINGSCONDITIES VAN BEDRIJF X • Bedrijfsbestanden mogen niet onbeveiligd lokaal worden opgeslagen op het device; • Mail wordt beschouwd als bedrijfsdata; o Online benadering mag altijd o Lokaal opslaan (incl. cache) mag niet zonder databeveiliging • Actuele virusscanner is verplicht; • Complexe device authenticatie; • Applicaties en applicatiedata mogen alleen opgeslagen worden in een beveiligde applicatie sandbox*; • Indien sandboxing van een enkele applicatie niet mogelijk is moet ALLE data op het device onleesbaar zijn voor onbevoegden; o Schijf encryptie o Wissen op afstand mogelijk • Alleen benadering via een beveiligd netwerk.
* Sandbox: een geïsoleerde omgeving binnen het apparaat waarin applicaties uitgevoerd worden en applicatiedata wordt opgeslagen. Applicatie acties en data blijven binnen de sandbox en hebben geen rechtstreekse toegang tot andere, buiten de sandbox levende applicaties. Dit heeft een aantal voordelen: • De applicatie kan het besturingssysteem niet beschadigen; • De applicatie kan andere applicaties niet beschadigen; • Als de Sandbox verwijderd wordt is ALLES verwijderd van de applicatie(s) zonder restant achter te laten op het besturingssysteem.
3.3.1. Toegang tot het netwerk valt wel onder de bedrijfscontrole Nadat de IT beleidsregels van data toegang bekend zijn kan een controle beleid worden opgezet. Het beleid bepaalt wat mag in welke situatie en dit kan vertaald worden in een Rule Based Access Control systeem die de toegang tot het netwerk controleert. Een Rule Based Access Control systeem doet precies wat de naam al laat vermoeden. Afhankelijk van een regel wordt selectief toegang verleend naar het interne netwerk per VLAN, Server, IP-adres of applicatiepoort. Een dergelijk systeem kan bijvoorbeeld controleren of de juiste virusscanner is geïnstalleerd en of de schijf is versleuteld. Als aan (alle) regels is voldaan kan selectief toegang worden verleend. Op dit moment zijn meerdere “firewall” devices en software devices die de gewenste controle kunnen uitvoeren via Rule Based Access Control. Buiten de rules die toegang verlenen of blokkeren, kan de security score ook worden gebruikt door IT systemen die achter de Rule Based Access Control unit staan en deze kunnen hierop specifieke functies aan- of uitschakelen. Een Citrix XenApp omgeving kan bijvoorbeeld het lokaal opslaan van data uitzetten als de lokale schijf van het apparaat niet als “veilig” wordt beschouwd. RAC controleert toegang, geeft een security score en bepaalt functie Rule-based Access Control (RAC) functionaliteiten zitten vaak al geïntegreerd in verscheidene “firewall” devices en software devices. Netwerktoegang verlenen hoeft niet het enige doel te zijn van de regels. Ze kunnen ook gebruikt worden als een `security score’ op basis waarvan specifieke functionaliteiten aan- of uitgeschakeld kunnen worden. Een Citrix XenApp omgeving kan bijvoorbeeld het lokaal opslaan van data uitzetten als de lokale schijf van het apparaat niet als “veilig” wordt beschouwd. EEN PRAKTIJK VOORBEELD We gebruiken de eerder gestelde beleidsregels van bedrijf X als voorbeeld. De situatie is als volgt: Een manager met een iPad wil zijn mail benaderen en ook zijn documenten op de SharePoint site bewerken. De manager heeft de volgende resources: • Een geldig user account; • Een iPad (met geaccepteerde mail-client app, complexe toegangscode en schijf encryptie); • WPA2-encrypted wireless thuisnetwerk.
Hiermee voldoet de manager aan alle gestelde beleidseisen en mag hij zijn mail en SharePoint documenten benaderen en bewerken. Verandert er iets in een van de condities dan veranderen ook de toegangsmogelijkheden. Bijvoorbeeld: als de manager met de iPad op een terras via een onbeveiligd wifi toegang wil krijgen, dan zullen zijn mogelijkheden worden beperkt tot alleen web-mail. Device controle moet zowel binnen als buiten het bedrijf toegepast worden. Voorkomen moet worden dat de buitendeur goed op slot is terwijl via het interne `guest’ netwerk alles openstaat. Alle toegang van mogelijk onveilige apparaten moet worden gecontroleerd door het RAC systeem.
4. Beveiligingsbewustzijn; de gebruikers uitdaging Alle technische middelen om bedrijfsdata te beveiligen, zowel klassiek als voor BYOD, hebben geen enkel nut als de gebruiker zelf data verhuist naar een onbeveiligde opslag. Een gebruiker die werkt op een beveiligd werkstation/OD kan data en mail eenvoudig verplaatsen naar, bijvoorbeeld, Gmail, Dropbox of SkyDrive. Vaak gebeurd dit vanuit de beste bedoelingen. De “User in the Middle”-aanval omzeilt alle beveiligingsmaatregelen. Omdat de gebruiker zichzelf als “veilig” ziet zal dit lek ook niet eenvoudig op te sporen zijn. Ook voorkomen is moeilijk aangezien er regelmatig een nieuwe mogelijkheid bij komt om data te delen. Bewustzijn creëren is hier het devies en de wijze waarop is tweeledig. Allereerst de formele, extrinsieke kant: een zogenaamde Non-Disclosure Agreement (NDA). Hierin wordt procedureel vastgelegd wat een gebruiker wel of niet mag doen, zonder dat daaraan een technische oplossing ten grondslag ligt. Ook staan hierin de eventuele (straf)consequenties voor de gebruiker wanneer de NDA overtreden wordt. Ten tweede is er de informele, intrinsieke kant. Met training en voorlichting moet het bedrijf de gebruikers ervan bewust maken hoe ze om moeten gaan met data en wat de vergaande, oncontroleerbare consequenties voor bedrijf én persoon kunnen zijn als deze data in verkeerde handen komt.
KEMBIT adviseert en ondersteunt organisaties om van een BYOD-strategie de vervolgstap te zetten naar de implementatie van (deel)oplossingen. Op basis van een vooraf samengesteld traject worden diverse stappen doorlopen zoals; Het maken van een scan van de organisatie en de bestaande technische infrastructuur Het in kaart brengen van de behoeftes en mogelijkheden van een BYOD aanpak Het uitbrengen van een adviesrapport wat als basis dient voor de functionele en technische invulling van de BYOD-oplossing. Tijdens dit gehele traject staan het maken van duidelijke en haalbare afspraken, communicatie middels één aanspreekpunt en de juiste nazorg, centraal.
Samenvatting: ‘Vertrouwen in plaats van afdwingen’. De tijd van IT beheer vanuit een centraal punt opleggen is voorbij. De controle die een centrale IT organisatie op zijn gebruikers heeft wordt steeds kleiner door de beschikbare technologieën die vanuit de `Consumerization of IT’ door gebruikers thuis gebruikt worden. Het fenomeen `Bring Your Own Device’ (BYOD) heeft als uitgangspunt dat faciliteiten en data overal, via elk beschikbaar device beschikbaar zijn. Het centraal afschermen en controleren van deze bedrijfsfaciliteiten en data is onhaalbaar en iedere poging daartoe worden ervaren als betuttelend. De gebruiker is eigenaar en verantwoordelijk voor het eigen device bij BYOD. Om het eigenaarschap en verantwoordelijkheid niet te splitsen (met de daaraan gerelateerde problematiek) en haar eigen footprint zo klein mogelijk te houden zal het bedrijf softwaredistributie en beheer moeten externaliseren. I.e., de gebruiker download zelf, door het bedrijf goedgekeurde, apps waarmee toegang tot bedrijfsresources verkregen kan worden. Bovendien pleegt de gebruiker ook zelf beheer op zijn OD omgeving. Echter, enkel `vertrouwen op de blauwe ogen’ is ook geen solide bedrijfstactiek. Het bedrijf heeft wel eigenaarschap en controle over haar eigen netwerk. Door gebruik te maken van Rule-based Access Control kan het bedrijf indirect controle uitoefenen op wie en wat er toegang krijgt en in welke vorm. Het moge duidelijk zijn dat succescolle BYOD zwaar leunt op de gebruiker zelf. Gebruikersbewustzijn van verantwoordelijkheden, veiligheid en gevolgen bij nalatigheid is dan wellicht ook de grootste uitdaging bij BYOD. Bring Your Own Responsibility Pas als de medewerkers zich ook verantwoordelijk voelen voor de beveiliging van data kunnen alle technologische beveiligingsmaatregelen goed werken. Samenvattend is de meest veilige benadering van faciliteiten en data toegang in BYOD dan ook een waarin de volgende punten goed geregeld zijn: • Gebruikers (beveiligings)bewustzijn; • Een duidelijk beleid; • Procedurele gebruikers “beveiliging”; • Device/werkplek beveiliging; • Netwerk beveiliging.
Make your IT agile Over KEMBIT Andere tijden vragen om een andere benadering. Informatie Technologie moet u niet binden, maar moet juist meebewegen met die veranderingen. KEMBIT anticipeert op marktontwikkelingen en zet uw IT vraagstukken om in kansen voor uw business. Onze aanpak is erop gericht uw organisatie met behulp van onze IT expertise optimaal te laten presteren, nu en in de toekomst. Mede door de sterke focus op de inhoudelijke en persoonlijke ontwikkeling van onze circa 100 medewerkers, levert KEMBIT al sinds 1996 hoogwaardige IT-professionals en IT-oplossingen. Onze kennis en kunde zetten wij in voor een breed spectrum van organisaties, variërend van lokale MKB bedrijven tot grote landelijk opererende bedrijven en multinationals. De organisatie opereert vanuit drie locaties te weten, Kasteel Wijnandsrade, Chemelot Campus in Geleen en de High Tech Campus in Eindhoven. Onze vier disciplines IT Services IT Development IT Consultancy IT Knowledge Center Meer weten? Discussiëren over dit E-book? Neem contact met ons op via onderstaande gegevens of ga naar onze website.
KEMBIT Kasteel Wijnandsrade KEMBIT High Tech Campus KEMBIT Chemelot Campus T: +31 (0) 45 - 524 10 21 E:
[email protected] W: www.kembit.nl
