Security

02 mei, 2014

Effectieve beveiliging voor de mobiele werkplek

Mobiel werken kan een bedrijf veel flexibeler maken. Tegelijk levert de externe toegang tot gevoelige bedrijfsinformatie en applicaties een veiligheidsrisico op. Hoe zorg je voor een evenwichtige beveiliging van je mobiele werkplekken?

4 minuten

“Een smartphone is tegenwoordig een alledaags gebruiksobject”, constateert beveiligingsexpert en ethisch hacker Marc Smeets van IT-beveiligingsconsultant Linq42. “En dus denken veel mensen niet of nauwelijks na over verantwoordelijk gebruik. Of over de grote potentiële impact voor eigenaar of werkgever als verkeerde mensen er toegang toe krijgen. Veel medewerkers bewaren dan ook doorlopend gevoelige informatie op hun device. Of gebruiken toch die gratis WiFi-verbinding in de McDonalds, terwijl kwaadwillenden zo eenvoudig het internetverkeer kunnen meelezen en misschien wel toegang tot een device krijgen. Een goede beveiliging vereist een optimaal samenspel van drie belangrijke factoren:  People, Process en Technology.”

Creëer bewustwording

Om meteen bij de mensen te beginnen: elke vorm van device-  en informatiebeveiliging begint bij de gebruiker. De eerste stap op elk beveiligingstraject is bewustwording van de risico’s. “Dat betekent dus dat je je mensen goed moet voorlichten”, vertelt Smeets. “Geef ze informatie over de enorme stijging van de hoeveelheid malware, en laat een keer zien hoe eenvoudig het is om via een open WiFi-verbinding internetverkeer af te luisteren. Vanuit dat inzicht kun je een gebruikersovereenkomst maken met gedragsregels waarvan iedereen de noodzaak begrijpt.”

Leg afspraken vast

In een gebruiksovereenkomst kan een organisatie precies aangeven hoe de medewerkers met hun devices én de informatie die zij hiermee verwerken omgaan. “Dat betekent bijvoorbeeld ook dat medewerkers precies moeten weten welke stappen ze moeten nemen wanneer ze hun mobiele device zijn kwijtgeraakt”, aldus Smeets. “Moeten wachtwoorden opnieuw worden ingesteld, klanten geïnformeerd, kan eventuele gevoelige informatie op het toestel op afstand worden verwijderd? Aangezien de devices soms eigendom zijn van de medewerkers, zit aan die laatste optie een juridische dimensie die vooraf goed moet worden uitgezocht en vastgelegd. In zo’n overeenkomst wordt altijd een vast aanspreekpunt genoemd die in geval van veiligheidsissues kan worden benaderd. En afsluitend is hier ook het ‘mappen’ van de toegangsrechten voor de eindgebruikers een belangrijk aandachtspunt. Welke medewerker heeft recht op toegang tot welke applicatie?”

Virusscanner is onvoldoende

Vooralsnog heeft slechts een klein deel van alle gebruikers virusscanners of andere bescherming op zijn mobiele device. Volgens Smeets is het op zich al goed als medewerkers de noodzaak zien om hun device te beschermen. “Maar het securitymodel van een smartphone ziet er heel anders uit dan een desk-  of laptop. Applicaties op zowel iOS als Android bevinden zich bijvoorbeeld in een eigen sandbox, wat inhoudt dat ze vrijwel geïsoleerd zijn van de rest van de telefoon. Vaak doet een ‘virusscanner’ op een smartphone niets meer dan het waarschuwen als er een applicatie wordt geactiveerd die in een database van bekende risicovolle toepassingen staat.”

Mobile device management noodzakelijk

Bedrijven die serieus mobiel aan de slag willen, kunnen volgens Smeets niet zonder mobile device management (mdm). “Daar ben ik heel stellig in: als je denkt zonder te kunnen ben je als bedrijf echt verkeerd bezig”, benadrukt hij. “Het aantal volwassen oplossingen op dat gebied is de afgelopen paar jaar snel toegenomen. Er zijn een aantal architectonisch verschillende pakketten beschikbaar waarin je als bedrijf een selectie moet maken.” Een belangrijke groep binnen deze mdm-oplossingen houdt alle bedrijfsgegevens binnen een zelfgemaakte applicatie die als secure container op het device wordt geplaatst. Een andere groep maakt gebruik van de beveiliging van het onderliggende besturingssysteem, dus iOS of Android. “Daarbij moet je wel stilstaan bij het feit dat elke Android-telefoon in feite zijn eigen versie heeft”, aldus Smeets. “Zo heeft Samsung bijvoorbeeld een eigen ‘Safe’-versie die gericht is op de zakelijke markt. Die Androidversie wordt bijvoorbeeld langer ondersteund door de fabrikant en kan beter overweg met mdm-oplossingen.”

Veiligheid vs gebruiksgemak

Voordeel van de tweede groep mdm-oplossingen is dat de werknemer te maken krijgt met het reeds bekende besturingssysteem, met dito gebruikservaring. Bij de secure container-oplossingen start je met het invoeren van een wachtwoord een app op die direct contact kan hebben met softwaretoepassingen binnen het bedrijf. Eventueel kun je daar ook een token bij gebruiken zoals ook gebruikelijk is bij mobiel bankieren. Dat is dus aanzienlijk veiliger, maar ook omslachtiger. Hoewel dit soort oplossingen de afgelopen jaren sterk is verbeterd in gebruiksgemak. “Maar het niveau van Apple gaan ze helaas waarschijnlijk nooit halen”, aldus Smeets.

Toekomstvisie

De efficiëntie van een mdm-oplossing is aanzienlijk te vergroten door deze te laten aansluiten op de reeds in gebruik zijnde oplossing voor systeembeheer en het beheer van de it-infrastructuur. Door deze integratie kunnen systeembeheerders via een enkele interface alle servers, desktops en mobiele apparaten controleren. Daarbij moet een onderneming echter wel stilstaan bij het feit dat de keuze tussen de verschillende opties ook nauw samenhangt met haar toekomstplannen Smeets: “Het kan bijvoorbeeld zo zijn dat je medewerkers nu alleen toegang wilt geven tot agenda en mail, maar in de toekomst de mogelijkheid open wilt houden om eigen apps te ontwikkelen. Als je daarbij niet kan voortbouwen op de reeds gekozen mdm-oplossing, moet je helemaal overnieuw beginnen. Het is dus zaak om hier goed naar te kijken met medewerkers uit zowel de IT- als de businesskant van de onderneming.”

Beeld via Flickr

Lees ook: