HOE BEVEILIG JE MOBIELE DEVICES EN DATA? 7 securitytips voor het nieuwe werken
DIT IS EEN UITGAVE VAN
7 SECURITYTIPS VOOR HET NIEUWE WERKEN Het zakelijk gebruik van smartphones, tablets en laptops neemt enorm toe. Die inzet van mobiele apparaten moet medewerkers productiever, flexibeler en beter bereikbaar maken. Maar ze vormen ook een beveiligingsrisico. 7 tips voor de beveiliging van mobiel werken.
G
een enkel bedrijf wil dat klantgegevens of bedrijfsgevoelige informatie op straat komt te liggen of in de handen van criminelen belandt. De hoge boetes, reputatieschade en claims van gedupeerde klanten die dat met zich meebrengt, zijn dan niet te overzien. Maar als werknemers dergelijke gegevens buiten de kantoormuren inkijken en bewerken, vormt dat wel een groot risico. Daarom is het belangrijk om al bij de invoering van mobiel werken goed na te denken over de beveiliging. Maar welke securityrisico’s spelen er allemaal bij het nieuwe werken en wat moet en kun je allemaal beveiligen? 7 securitytips waar je aan moet denken wanneer je overstapt op mobiel werken.
van het netwerk. Mobiele apparaten van medewerkers worden vaak gekoppeld aan het bedrijfsnetwerk. Dus moet de beveiliging van dat netwerk in orde zijn. Zowel op kantoor als onderweg.
WIFI Als je het sec over beveiliging van het netwerk hebt, moet je zorgen dat je wifi goed beveiligd is. Versleutel altijd het dataverkeer, bijvoorbeeld via WPA2-encryptie en stel inlogbeveiliging met een sterk wachtwoord in. Dat zijn de minimale vereisten.
GASTENNETWERK Laat bezoekers op kantoor altijd inloggen op een speciaal gastennetwerk. Wanneer je gasten toelaat op het eigen netwerk, loop je een verhoogd risico op besmetting met virussen en andere malware. Anders dan bij de apparatuur die is aangesloten op het eigen netwerk, weet je van sommige gasten niet precies in hoeverre je ze kunt vertrouwen. Dat betekent dat ze directe toegang tot jouw netwerk mogelijk kunnen misbruiken om gevoelige informatie te bekijken of zelfs te downloaden. Dat wil je uiteraard tegen elke prijs voorkomen.
Tip 1 Tref de juiste voorbereiding Een goed begin is het halve werk. Begin daarom met een plan van aanpak. Leg de mobiele strategie vast in een beleidsplan. Daarin staat hoe je als organisatie omgaat met mobiel werken, wie welke bedrijfsdata mag delen en hoe de beveiliging van die apparatuur en de gegevens die daarop staan is geregeld. Minstens zo belangrijk is het vastleggen van eenieder zijn verantwoordelijkheden. Zet het niet alleen op papier, maar zorg dat iedereen ook daadwerkelijk zijn verantwoordelijkheden kent.
BRENG RISICO’S IN KAART MOBIELE NETWERKEN
Breng tevens de risico’s van mogelijk dataverlies in kaart. Welke risico’s spelen er als informatie het pand verlaat? Wat zijn de gevolgen van dataverlies via een mobiel apparaat? En welke bedrijfsgegevens moeten het beste worden beschermd? Deze en andere risico’s bepalen grotendeels hoe je de mobiele apparatuur beheert en beveiligt en het beleid dat je voor mobiel werken hanteert.
3G/ 4G-verbindingen zijn meestal veiliger dan een onbekend wifi-netwerk. Criminelen proberen via geïnfecteerde wifi-spots bij bedrijfsgevoelige gegevens te komen. Professionals die bijvoorbeeld onderweg naar een afspraak nog even klantgegevens of een presentatie doornemen op een onbekend wifi-netwerk lopen een groter risico dat die gegevens in handen komen van criminelen. Om dat risico te voorkomen bied je mobiele devices (ook voor tablet en laptop) met simkaart aan, vervangen door: zodat een medewerker naast wifi ook via 3G of 4G kan werken. Zo is bijvoorbeeld 3G/4G pay as you go een optie om buiten een eigen wifi-netwerk velig > online te zijn.
Tip 2 Beveilig het netwerk Hoe voor de hand het ook ligt om de beveiliging op apparaatniveau te regelen, kijk eerst naar de beveiliging
-2-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
B. CYOD
Tip 3 Bepaal wie de mobiele apparatuur aanschaft
Om de kans op juridische- en beveiligingscomplicaties te verminderen besluiten bedrijven vaak om de ondersteuning van devices te beperken tot een selectie van devices. Meestal wordt hierbij een lijst van mogelijk te gebruiken devices opgesteld waaruit de medewerkers kunnen kiezen of die ze zelf kunnen aanschaffen, afhankelijk van het mobiliteitsbeleid van de organisatie. Deze variant heet Choose Your Own Device (CYOD).
Er zijn ruwweg drie opties voor het aanschaffen van mobiele devices. Iedere optie kent zijn eigen voor- en nadelen. We zetten ze voor je op een rij.
A. BYOD
KOSTENPOST
Het gebruik van eigen apparatuur, oftewel Bring Your Own Device (BYOD), heeft als groot voordeel dat de medewerkers al vertrouwd zijn met hun eigen apparatuur. Ze kennen de ins en outs van het apparaat en het besturingssysteem. Bovendien hoeft geen dure nieuwe apparatuur door het bedrijf te worden aangeschaft. Er kleven echter ook nadelen aan.
Het afrekenmodel binnen CYOD kan verschillen. Zo kan de organisatie ervoor kiezen om een medewerker zelf het toestel te laten aanschaffen, eventueel met een budget. Let erop dat wanneer de medewerker het apparaat aanschaft, hij dus ook de eigenaar van het device is. Een andere mogelijkheid is dat de organisatie het toestel koopt. En waar dat voorheen enorm op de ict-kosten drukte, worden de devicekosten tegenwoordig in veel gevallen doorbelast aan de business. Zo kunnen bedrijfsonderdelen beter worden aangestuurd op kosten.
BEVEILIGINGSRISICO’S Zo wordt het voor de ict-afdeling een grotere uitdaging om alle verschillende devices te beheren. Dat kan met name leiden tot grotere beveiligingsrisico’s. Zo gebruiken verschillende smartphone-fabrikanten het Android-besturingssysteem. Dat lijkt handig, maar iedere fabrikant heeft het systeem op zijn eigen manier aangepast. Elke variant kent daardoor zijn eigen specifieke uitdagingen op beveiligingsgebied.
SCHAALVOORDELEN Groot voordeel van CYOD zijn de schaalvoordelen waar je als bedrijf van profiteert. Omdat je een kleinere selectie aanbiedt, heb je meer dezelfde soort apparaten in huis. Daardoor kunnen de devices worden getest voor optimale gebruikerservaring. Ook kun je modellen op grote schaal inkopen en dus eisen stellen richting de leverancier ten behoeve van device levenscycli (hoe lang is hetzelfde device nog leverbaar) en ondersteuning. Dat verlaagt de druk op de ict-afdeling.
JURIDISCHE COMPLICATIES In het geval van verlies, virus of een datalek leidt het gebruik van een eigen device ook tot juridische complicaties. Wie is er in een voorkomend geval bijvoorbeeld verantwoordelijk? En mag de onderneming zijn ict-beleid onverkort handhaven op privéapparatuur? Zo wissen sommige bedrijven op afstand de data bij diefstal of vermissing van apparatuur. Daarbij wordt met Mobile Device Management (MDM) geen onderscheid gemaakt tussen privédata en zakelijke gegevens. Dat kan problemen opleveren als het gaat om het privébezit van de betrokken medewerkers. Ze kunnen bijvoorbeeld een claim indienen bij de werkgever als die privégegevens van het toestel heeft gewist.
C. Corporate owned devices Corporate Owned Devices houdt in dat de organisatie zelf eigenaar blijft van de mobiele apparaten en deze ter beschikking stelt aan de werknemer. In sommige gevallen kan één device ook door meerdere medewerkers worden gebruikt. Bijvoorbeeld door in te loggen met een smartcard of badge op een mobiele thin client. De hard- >
-3-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
Om zulke dilemma’s aan te pakken, biedt Enterprise Mobility Management (EMM) een uitkomst. Dat is een verzamelterm voor de verschillende mogelijkheden om mobiele apparatuur, apps en data in een zakelijke omgeving te beheren en te beveiligen. Begin met minimaal mobile device management en ga wanneer het kan voor een enterprise appstore en mobile application management. Parallel daaraan kun je mobile content management inrichten. Een overzicht van de verschillende onderdelen:
ware dient in dat geval als ‘voorkant’ en in veel gevallen draait een daadwerkelijke sessie in het datacenter of in de cloud. Dit heet desktop- of applicatievirtualisatie.
MAXIMALE STANDAARDISATIE MAAR BEPERKTE VRIJHEDEN Bij COD draait de werkgever dus op voor de aanschafkosten, maar daar staan een aantal belangrijke voordelen tegenover. Zo kiest de werkgever de standaard voor de te gebruiken mobiele devices waardoor de standaardisatie maximaal kan worden doorgevoerd om managementen supportkosten laag te houden. Nadeel is dat medewerkers het device beperkt voor privé kunnen gebruiken en deze manier van werken dus minder aansluit bij de nieuwe generatie medewerkers.
MOBILE DEVICE MANAGEMENT Bij mobile device management (MDM) worden beleidsinstellingen afgedwongen op het niveau van het apparaat. Denk daarbij aan een wachtwoord of pincode. Tevens kan het apparaat op afstand worden gewist, gelockt of kun je het apparaat vinden en lokaliseren (tracen).
BEVEILIGING OPTIMAAL Bovendien bieden zakelijke devices vaak meer mogelijkheden om de beveiliging te optimaliseren. Zo is er specifieke hardware op de markt waarin beveiliging zit ingebouwd. Denk bijvoorbeeld aan een zakelijke tablet met een veilige versie van Android inclusief ondersteunende hardware waardoor het device niet in de software-ontwikkelmodus kan worden gezet (een manier waarop criminelen proberen om een device te rooten). Daarnaast kan het apparaat alleen worden opgestart met het besturingssysteem dat er vanaf de fabriek op is geïnstalleerd.
MOBILE APPLICATION MANAGEMENT Bij mobile application management (MAM) worden met het oog op beveiliging en beheer restricties gesteld aan de gebruikte apps. Applicatie X mag om veiligheidsredenen bijvoorbeeld niet communiceren met applicatie Y. Of als een bepaalde app gebruikt wordt, mag de camera niet aanstaan. Dat soort beleidsinstellingen leg je vast in mobile application management.
SECURED CONTAINER
Tip 4 Richt beveiliging op applicatieniveau in
Bij mobiele apparatuur die zowel privé als zakelijk wordt gebruikt, kun je ervoor kiezen om apps die zakelijke gegevens bevatten in een aparte beheeromgeving onder te brengen. In een zogenoemde veilige container, ook wel sandbox genoemd. Applicaties binnen die omgeving zijn volledig gescheiden van de applicaties en data die privé worden gebruikt.
Als duidelijk is welke apparaten beveiligd moeten worden, kun je aan de slag met beveiliging op applicatieniveau. Een aantal vragen zijn hierbij essentieel. Denk aan: Hoe veilig moet de data zijn? Kun je die data wel op de devices van je gebruikers zetten? Is een app nog wel het juiste medium? Ga je de app aanbieden in een publieke app store of een beschermde enterprise app store? En hoe zorg je dat je medewerkers toegang tot de data hebben?
ENTERPRISE APPSTORE Nog een stap verder dan de secured container is de enterprise appstore. Daarmee ben je er als bedrijf zeker van dat alle gebruikte applicaties getest zijn, voldoen aan > de veiligheidseisen van het bedrijf en gemakkelijk zijn
-4-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
wordt dus niet de standaardbrowser van het besturingssysteem ingeschakeld, maar een webbrowser die draait in de secured container-omgeving.
uit te rollen en te beheren. De apps die in de enterprise appstore staan kunnen worden geïnstalleerd in de secure container op het device. Je kunt vervolgens kiezen doormiddel van MDM en MAM in hoeverre publieke apps nog uit de ‘gewone’ appstore mogen worden geïnstalleerd. Je kunt publieke apps namelijk ook opnemen in de enterprise appstore. Daarmee voorkom je dat gebruikers bewust of onbewust malafide apps uitrollen binnen het netwerk.
Tip 5 Versleutel gegevens, gebruik encryptie
MOBILE CONTENT MANAGEMENT
Ander belangrijk onderdeel van het beveiligen van mobiel werken is de data op de devices. Er zijn diverse mogelijkheden om met behulp van software data te versleutelen. Zo zijn er verschillende encryptie-oplossingen op de markt, waaronder de optie om op hardware- én softwareniveau encryptie toe te passen. Duurdere zakelijke devices hebben een chip waarmee je een apparaat op hardwareniveau kunt encrypten. Doormiddel van een Trusted Platform Module (TPM) kun je het device versleutelen. Voordeel van deze module is dat je deze ook kunt inzetten voor een virtueel certificaat voor authenticatie van een gebruiker. Nadeel van encryptie kan zijn dat een device trager wordt.
Bij mobile content management (MCM) staat de vraag waar de informatie wordt opgeslagen centraal. Met mobile content management beheer je data centraal en kun je die op een veilige manier raadplegen vanaf meerdere devices. Je stuurt bijvoorbeeld een link door in plaats van het bestand. Zo heb je altijd de laatste versie en beheer je wie toegang heeft en houdt tot je bestanden. Er bestaan verschillende varianten afhankelijk van het benodigde niveau van beveiliging. Zo kun je MCM vanuit een publieke cloud, een private cloud of vanuit een eigen datacenter opzetten.
MOBILE INFORMATION MANAGEMENT (3.0) Nog een stapje verder is mobile information management. Hierbij beveilig je de data op bestandsniveau. Gebruikers krijgen doormiddel van bestandsencryptie en certificaten rechten om een bestand wel of niet in te zien.
Tip 6 Richt meerdere beveiligingslagen in Hoe meer lagen de beveiliging heeft, hoe sterker de weerstand is voor criminelen die toegang willen krijgen tot data of devices. Om de beveiliging te versterken kun je het beste beveiligingslagen stapelen. Je beveiligt bijvoorbeeld de toegang tot een bestand of apparaat met een wachtwoord en zet daarnaast nog een tweede beveiligingslaag in. Dat wordt door security-experts ook wel 2-factor authenticatie genoemd.
MOBILE E-MAIL MANAGEMENT Ook mail moet beveiligd worden. Normaal haal je e-mail op via een client gekoppeld aan het besturingssysteem van het mobiele apparaat. Bij zwaardere beveiliging is die mailclient niet gekoppeld aan het besturingssysteem, maar aan de native app in de secure container. Daardoor is de informatie extra beveiligd.
MOBILE WEBMANAGEMENT
Daarbij zijn biometrische middelen als de gezichts- en vingerafdruk-scan in opkomst. Maar je kan ook werken met een token (een reeks cijfers die door een algoritme wordt bepaald), een NFC-badge (pas met chip) of een virtueel certificaat. Kenmerk van deze onderdelen is dat >
Bij mobile webmanagement gebruik je de browser in de secure container-omgeving. De verbinding is extra beveiligd waardoor criminelen minder makkelijk internetgegevens kunnen afvangen. Voor een verbinding met internet
-5-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
Conclusie
deze specifiek aan één persoon of entiteit wordt uitgegeven en dient ter authenticatie. Het token kan ook dienen ter autorisatie voor het uitvoeren van een handeling.
Voordat je met mobiel werken aan de slag gaat, is het zaak na te denken over de beveiliging van apparatuur, apps en data. Leg afspraken vast en wees je ervan bewust dat beveiliging niet iets is dat je eenmalig invoert. Het is een proces dat continue doorloopt en voortdurend moet worden aangescherpt.
Tip 7 Maak eindgebruikers bewust van de risico’s
Binnen sommige bedrijven wordt security nog altijd gezien als een kostenpost. Maar als je nagaat wat goede beveiliging je organisatie oplevert, dan staan die uitgaven niet in verhouding tot de schade die diefstal van bedrijfsgegevens of klantdata kunnen veroorzaken.
Hoe ver je de beveiliging ook technisch dichttimmert, het handelen van mensen vormt meestal het grootste risico. Iedereen moet zich dus bewust zijn van de risico’s die kleven aan het zakelijk gebruik van mobiele apparaten. Door trainingen aan eindgebruikers kun je hen duidelijk maken welke acties bepaalde risico’s opleveren. Zo kunnen het gebruik van zwakke wachtwoorden, rondslingerende apparaten of het niet goed afsluiten van systemen grote problemen veroorzaken. Het is goed om personeel bewust te maken van de gevolgen die dat opleveren.
Colofon Dit is een uitgave van MT MediaGroep in samenwerking met HP. Redactie: Pim van der Beek. Met medewerking van Pieter Schouten van HP.
Contact Hewlett-Packard Nederland B.V. Hoofd- en verkoopkantoor Startbaan 16, 1187 XR Amstelveen Tel: 0800-266 7272 (voor alle MKB-producten) http://www.hp.nl/
Copyright © Niets uit deze uitgave mag worden overgenomen en/of op enigerlei wijze worden gereproduceerd zonder toestemming van MT MediaGroep en HP.
September 2015 MANAGEMENT TEAM
-6-
