Mobiele beveiliging: onbegonnen werk?
Het nieuwe werken gaat niet meer weg. Werknemers willen (of moeten) van overal kunnen werken: thuis, onderweg, ja zelfs op kantoor. De recente golf van nieuwe producten helpt deze evolutie nog in de hand. Maar het nieuwe werken vraagt ook om een nieuw beveiligen. En dat is minder eenvoudig dan je denkt.
De cijfers lopen sterk uiteen: van 20% thuiswerkers bij Jobat tot 75% mobiele werkers bij Check Point. Maar één ding is zeker: ook de Belgische werknemer verlangt steeds meer flexibiliteit als het aankomt op de keuze van de werkplek. Thuis, op kantoor, bij de klant of onderweg: steeds meer willen werknemers dat ze altijd en overal kunnen werken.
Een uitstekend uitgangspunt natuurlijk: zo kan elke werknemer zijn of haar tijd efficiënter indelen, wat de productiviteit alleen maar ten goede kan komen.
[related_article id=”161563″]
Grens vervaagt
Vaak wordt deze trend in één adem vermeld met een andere trend: de steeds grotere vervaging tussen privé en professionele toestellen om mobiel te werken.
Enerzijds krijgen medewerkers meestal de kans om de toestellen die het bedrijf ter beschikking stelt ook privé te gebruiken. Anderzijds zien we een toenemende trend dat medewerkers hun eigen mobiele apparaten meenemen naar kantoor en hier ook professioneel gebruik van willen maken.
“De grens tussen privé en werk bestaat hier niet meer”, merkt Johan Van Hove, sales lead Belux bij RSA, EMC’s security-dochter: “Ik kan mijn toestel voor privétoepassingen gebruiken, die ik zelf beheer, en voor bedrijfstoepassingen. Erger nog: het mobiele toestel kan door verschillende personen worden gebruikt, en dat gebeurt in de meeste gevallen ook.”
Risico’s
Meteen wordt het belangrijkste risico overduidelijk: “De eindgebruiker is nu het favoriete doelwit van hackers en fraudeurs. Een bedrijf heeft slechts een beperkt aantal datacenters die men kan proberen te hacken, maar heeft honderden, zoniet duizenden eindgebruikers die ongewild en onwetend ‘medeplichtig’ kunnen zijn aan zo’n aanval”, aldus Van Hove.
Niet alleen het toegenomen aantal potentiële slachtoffers is een probleem voor bedrijven, maar ook en vooral het feit dat zij zich buiten de bedrijfsmuren bevinden. “De traditionele kasteelmuur die je rond je bedrijf kon bouwen ter bescherming tegen malware is dus nu totaal verdwenen”, stelt Luc Eeckelaert, countrymanager Benelux bij Sonicwall.
De bedrijfsgegevens en de toestellen die verzoeken om op de bedrijfstoepassingen te werken, kunnen zich zowat overal bevinden, en zijn dus onmogelijk af te schermen van de buitenwereld omdat ze zich een groot deel van de tijd zelf in de buitenwereld bevinden.
En alsof dit alles nog niet volstond, is er de puur objectieve vaststelling dat mobiele toestellen meestal kleiner, breekbaarder en populairder doelwitten voor diefstal zijn dan pakweg een desktop of een server. Dit betekent dus ook dat de toestellen niet alleen beschermd moeten worden tegen malware maar ook tegen verlies, beschadiging en diefstal.
Een IT-manager zou van minder huiveren. Het hoeft dan ook niemand te verbazen dat bij vele bedrijven een voorzichtige strategie wordt gehanteerd wat betreft het toelaten van mobiele toestellen op het netwerk, en van verzoeken van buitenaf.
“Maar aangezien het vaak het management is dat dergelijke toestellen het bedrijf binnenloodst, krijgt de IT-manager vaak van de algemeen directeur zelf ‘zorg dat het werkt, het kan me niet schelen hoe’ te horen.” Zo illustreert Stefaan Hinderyckx, securitydirector bij Dimension data Europe, de onvermijdelijkheid van de situatie.
Oplossingen
Vroeg of laat zal dus elk bedrijf werk moeten maken van een afdoende beveiliging voor mobiele toestellen. Hieronder vind je acht tips om je hierbij te helpen.
1. Vertrek vanuit de informatie
“Het is niet zozeer het toestel zelf dat beveiligd moet worden of de infrastructuur, maar vooral de informatie die op het toestel staat of door dat toestel wordt geraadpleegd”, weet Kim Apers, technical accountmanager bij Symantec.
Zodra je uitgaat van die instelling, die radicaal verschilt met de traditionele visie op IT-security, volgen heel wat logische conclusies vanzelf. Het concept van de perimeter wordt dan min of meer overbodig en maakt plaats voor concepten zoals authenticatie.
Zo heeft Symantec tegenwoordig een remote wipe-functie in zijn mobiele beveiligingssoftware. Die maakt het mogelijk om van op afstand bestanden van een verloren of gestolen toestel te vernietigen. Maar ook DLP (data loss prevention) en IAM (identity en accessmanagement) zijn deelgebieden die in deze context belangrijker worden.
2. Schat de risico’s in
Voor je organisatie werk maakt van een volledige beveiliging tegen alle risico’s, moet je ook goed afwegen wat de impact is van elk risico, en hoe groot de kans is dat dit ooit zal gebeuren. Op basis daarvan kun je je beleid opstellen.
“De kans dat je je tablet verliest, is voorlopig groter dan pakweg dat je tablet besmet raakt met een virus”, geeft Amrit Williams, chief technical officer van IBM-dochter Bigfix, als voorbeeld: “Het is dus minstens even belangrijk dat je een goede wachtwoordbescherming in je policy opneemt als een goed antivirusbeleid.”
Ook met het verschil tussen de diverse toestellen moet je rekening houden bij het inschatten van de risico’s, waarschuwt Luc Eeckelaert: “Een tablet en laptop zijn meestal beveiligd zoals een desktop-pc, maar een gsm is meestal enkel beveiligd met een pincode. Bedrijfskritieke gegevens lopen dus meer risico op een smartphone dan op een notebook, en daar moet je ook aan denken.”
3. Centraliseer
Het klinkt misschien absurd wanneer de mobiele clients zich overal ter wereld kunnen bevinden, maar centralisatie kan echt wel helpen. Maar dan wel centralisatie van de toegangspoort waarlangs alle mobiele toestellen toegang krijgen tot het netwerk.
Wanneer je opteert om enkel internettoegang mogelijk te maken via het eigen netwerk, en de mobiele toestellen langs daar laat passeren, kun je weer wel de gevaren indijken en de kasteelmuur zijn werk laten doen.
4. Gebruik security-as-a-service
In dit geval staat SaaS voor Security as a Service. Minder ingeburgerd dan de softwarevariant, maar niettemin zeer relevant. Als je vertrekt van het idee dat de bedreigingen buiten de bedrijfsmuren plaatsvinden, klinkt het zeer logisch dat men ook de bestrijding buiten de muren laat plaatsvinden.
Hiervoor zijn er twee mogelijkheden: men laat dit over aan de serviceprovider die ook de netwerktoegang verzorgt. BT heeft bijvoorbeeld vorig jaar MobileXpress Secure Virtual Access gelanceerd, met 256-bit AES-encryptie.
5. Vergeet niet te monitoren
Wie een volledige policy met alle denkbare regels heeft opgesteld, en de bijhorende beveiligingstechnologie heeft geïmplementeerd, heeft al snel het gevoel dat het nodige is gebeurd.
Maar dat kan tegenvallen, meent Luc Eeckelaert: “Regels geven u het gevoel dat je alles juist hebt geconfigureerd, maar dat is niet altijd zo. Het is dan ook het best dat je tools gebruikt die alle netwerkverkeer in beeld brengen, zodat je snel kunt ingrijpen als zich toch verdachte bewegingen voordoen in het netwerkverkeer.”
6. Vergeet niet te beheren
Een goede beveiliging is maar afdoend als ze ook echt alles beveiligt. Daarom investeren grotere en zelfs kleinere bedrijven maar beter ook in een (al dan niet in de beveiligingssoftware ingebouwde) beheersuite, die hen perfect op de hoogte houdt van welke mobiele toestellen zich allemaal aan het netwerk koppelen, en welke toestellen moeten worden ondersteund.
7. Gebruik wat er is
Vele leveranciers bieden al meer dan je denkt voor de beveiliging van mobiele toestellen. De meeste smartphones bevatten al een vorm van sandboxing, waarmee in geval van besmetting de applicatie wordt geïsoleerd en dus de rest van de toepassingen niet mee kan besmetten.
Maar soms is de technologie ook gratis te downloaden, zonder dat je het beseft. Checkpoint heeft bijvoorbeeld een app beschikbaar, bijvoorbeeld in de iTunes store. “Hiermee kun je een gebruiker koppelen aan één toestel waarmee hij of zij het netwerk op mag”, licht Jan-Paul Oosterom van Check Point toe.
8. Kijk niet op een euro
Beveiliging blijft steeds een investering waar je meestal geen cent van kunt terugverdienen. Maar net zoals een verzekering weet je pas waarom je meer had moeten investeren wanneer het te laat is.
Nochtans zijn de totale kosten voor een gedegen investering nog beperkt, als we Stefaan Hinderyckx van Dimension Data mogen geloven: “Voor een kleine tienduizend euro kun je een onbeperkt aantal concurrent-users beveiligen. Als je dat vergelijkt met de mogelijke kosten van een eventuele besmetting, is dat echt geen overdreven som.”
“Malware? Welke malware?” Het is een begrijpelijke reactie bij velen. Ook de leveranciers moeten ruiterlijk toegeven dat ze in België weinig of geen klanten kennen die (financieel) hebben geleden onder mobiele malware. Dit in tegenstelling tot landen als de VS, waar er al vele besmettingen werden gesignaleerd.
Is België dan voorlopig aan de dans ontsnapt? Of wordt het gevaar zwaar opgeklopt? Geen ven beide, meent Kim Apers van Symantec:
“In tegenstelling to in vele andere landen is er in België geen meldingsplicht wanneer je door malware besmet bent geraakt. En spontaan zullen weinigen beginnen te vertellen over hun problemen. We kunnen er dus van uitgaan dat er ook in België al de nodige besmettingen zijn geweest, maar dat ze zelfs tegenover de leveranciers de nodige schroom hebben om erover te praten.”
Het nieuwe werken gaat niet meer weg. Werknemers willen (of moeten) van overal kunnen werken: thuis, onderweg, ja zelfs op kantoor. De recente golf van nieuwe producten helpt deze evolutie nog in de hand. Maar het nieuwe werken vraagt ook om een nieuw beveiligen. En dat is minder eenvoudig dan je denkt.
De cijfers lopen sterk uiteen: van 20% thuiswerkers bij Jobat tot 75% mobiele werkers bij Check Point. Maar één ding is zeker: ook de Belgische werknemer verlangt steeds meer flexibiliteit als het aankomt op de keuze van de werkplek. Thuis, op kantoor, bij de klant of onderweg: steeds meer willen werknemers dat ze altijd en overal kunnen werken.
Een uitstekend uitgangspunt natuurlijk: zo kan elke werknemer zijn of haar tijd efficiënter indelen, wat de productiviteit alleen maar ten goede kan komen.
[related_article id=”161563″]
Grens vervaagt
Vaak wordt deze trend in één adem vermeld met een andere trend: de steeds grotere vervaging tussen privé en professionele toestellen om mobiel te werken.
Enerzijds krijgen medewerkers meestal de kans om de toestellen die het bedrijf ter beschikking stelt ook privé te gebruiken. Anderzijds zien we een toenemende trend dat medewerkers hun eigen mobiele apparaten meenemen naar kantoor en hier ook professioneel gebruik van willen maken.
“De grens tussen privé en werk bestaat hier niet meer”, merkt Johan Van Hove, sales lead Belux bij RSA, EMC’s security-dochter: “Ik kan mijn toestel voor privétoepassingen gebruiken, die ik zelf beheer, en voor bedrijfstoepassingen. Erger nog: het mobiele toestel kan door verschillende personen worden gebruikt, en dat gebeurt in de meeste gevallen ook.”
Risico’s
Meteen wordt het belangrijkste risico overduidelijk: “De eindgebruiker is nu het favoriete doelwit van hackers en fraudeurs. Een bedrijf heeft slechts een beperkt aantal datacenters die men kan proberen te hacken, maar heeft honderden, zoniet duizenden eindgebruikers die ongewild en onwetend ‘medeplichtig’ kunnen zijn aan zo’n aanval”, aldus Van Hove.
Niet alleen het toegenomen aantal potentiële slachtoffers is een probleem voor bedrijven, maar ook en vooral het feit dat zij zich buiten de bedrijfsmuren bevinden. “De traditionele kasteelmuur die je rond je bedrijf kon bouwen ter bescherming tegen malware is dus nu totaal verdwenen”, stelt Luc Eeckelaert, countrymanager Benelux bij Sonicwall.
De bedrijfsgegevens en de toestellen die verzoeken om op de bedrijfstoepassingen te werken, kunnen zich zowat overal bevinden, en zijn dus onmogelijk af te schermen van de buitenwereld omdat ze zich een groot deel van de tijd zelf in de buitenwereld bevinden.
En alsof dit alles nog niet volstond, is er de puur objectieve vaststelling dat mobiele toestellen meestal kleiner, breekbaarder en populairder doelwitten voor diefstal zijn dan pakweg een desktop of een server. Dit betekent dus ook dat de toestellen niet alleen beschermd moeten worden tegen malware maar ook tegen verlies, beschadiging en diefstal.
Een IT-manager zou van minder huiveren. Het hoeft dan ook niemand te verbazen dat bij vele bedrijven een voorzichtige strategie wordt gehanteerd wat betreft het toelaten van mobiele toestellen op het netwerk, en van verzoeken van buitenaf.
“Maar aangezien het vaak het management is dat dergelijke toestellen het bedrijf binnenloodst, krijgt de IT-manager vaak van de algemeen directeur zelf ‘zorg dat het werkt, het kan me niet schelen hoe’ te horen.” Zo illustreert Stefaan Hinderyckx, securitydirector bij Dimension data Europe, de onvermijdelijkheid van de situatie.
Oplossingen
Vroeg of laat zal dus elk bedrijf werk moeten maken van een afdoende beveiliging voor mobiele toestellen. Hieronder vind je acht tips om je hierbij te helpen.
1. Vertrek vanuit de informatie
“Het is niet zozeer het toestel zelf dat beveiligd moet worden of de infrastructuur, maar vooral de informatie die op het toestel staat of door dat toestel wordt geraadpleegd”, weet Kim Apers, technical accountmanager bij Symantec.
Zodra je uitgaat van die instelling, die radicaal verschilt met de traditionele visie op IT-security, volgen heel wat logische conclusies vanzelf. Het concept van de perimeter wordt dan min of meer overbodig en maakt plaats voor concepten zoals authenticatie.
Zo heeft Symantec tegenwoordig een remote wipe-functie in zijn mobiele beveiligingssoftware. Die maakt het mogelijk om van op afstand bestanden van een verloren of gestolen toestel te vernietigen. Maar ook DLP (data loss prevention) en IAM (identity en accessmanagement) zijn deelgebieden die in deze context belangrijker worden.
2. Schat de risico’s in
Voor je organisatie werk maakt van een volledige beveiliging tegen alle risico’s, moet je ook goed afwegen wat de impact is van elk risico, en hoe groot de kans is dat dit ooit zal gebeuren. Op basis daarvan kun je je beleid opstellen.
“De kans dat je je tablet verliest, is voorlopig groter dan pakweg dat je tablet besmet raakt met een virus”, geeft Amrit Williams, chief technical officer van IBM-dochter Bigfix, als voorbeeld: “Het is dus minstens even belangrijk dat je een goede wachtwoordbescherming in je policy opneemt als een goed antivirusbeleid.”
Ook met het verschil tussen de diverse toestellen moet je rekening houden bij het inschatten van de risico’s, waarschuwt Luc Eeckelaert: “Een tablet en laptop zijn meestal beveiligd zoals een desktop-pc, maar een gsm is meestal enkel beveiligd met een pincode. Bedrijfskritieke gegevens lopen dus meer risico op een smartphone dan op een notebook, en daar moet je ook aan denken.”
3. Centraliseer
Het klinkt misschien absurd wanneer de mobiele clients zich overal ter wereld kunnen bevinden, maar centralisatie kan echt wel helpen. Maar dan wel centralisatie van de toegangspoort waarlangs alle mobiele toestellen toegang krijgen tot het netwerk.
Wanneer je opteert om enkel internettoegang mogelijk te maken via het eigen netwerk, en de mobiele toestellen langs daar laat passeren, kun je weer wel de gevaren indijken en de kasteelmuur zijn werk laten doen.
4. Gebruik security-as-a-service
In dit geval staat SaaS voor Security as a Service. Minder ingeburgerd dan de softwarevariant, maar niettemin zeer relevant. Als je vertrekt van het idee dat de bedreigingen buiten de bedrijfsmuren plaatsvinden, klinkt het zeer logisch dat men ook de bestrijding buiten de muren laat plaatsvinden.
Hiervoor zijn er twee mogelijkheden: men laat dit over aan de serviceprovider die ook de netwerktoegang verzorgt. BT heeft bijvoorbeeld vorig jaar MobileXpress Secure Virtual Access gelanceerd, met 256-bit AES-encryptie.
5. Vergeet niet te monitoren
Wie een volledige policy met alle denkbare regels heeft opgesteld, en de bijhorende beveiligingstechnologie heeft geïmplementeerd, heeft al snel het gevoel dat het nodige is gebeurd.
Maar dat kan tegenvallen, meent Luc Eeckelaert: “Regels geven u het gevoel dat je alles juist hebt geconfigureerd, maar dat is niet altijd zo. Het is dan ook het best dat je tools gebruikt die alle netwerkverkeer in beeld brengen, zodat je snel kunt ingrijpen als zich toch verdachte bewegingen voordoen in het netwerkverkeer.”
6. Vergeet niet te beheren
Een goede beveiliging is maar afdoend als ze ook echt alles beveiligt. Daarom investeren grotere en zelfs kleinere bedrijven maar beter ook in een (al dan niet in de beveiligingssoftware ingebouwde) beheersuite, die hen perfect op de hoogte houdt van welke mobiele toestellen zich allemaal aan het netwerk koppelen, en welke toestellen moeten worden ondersteund.
7. Gebruik wat er is
Vele leveranciers bieden al meer dan je denkt voor de beveiliging van mobiele toestellen. De meeste smartphones bevatten al een vorm van sandboxing, waarmee in geval van besmetting de applicatie wordt geïsoleerd en dus de rest van de toepassingen niet mee kan besmetten.
Maar soms is de technologie ook gratis te downloaden, zonder dat je het beseft. Checkpoint heeft bijvoorbeeld een app beschikbaar, bijvoorbeeld in de iTunes store. “Hiermee kun je een gebruiker koppelen aan één toestel waarmee hij of zij het netwerk op mag”, licht Jan-Paul Oosterom van Check Point toe.
8. Kijk niet op een euro
Beveiliging blijft steeds een investering waar je meestal geen cent van kunt terugverdienen. Maar net zoals een verzekering weet je pas waarom je meer had moeten investeren wanneer het te laat is.
Nochtans zijn de totale kosten voor een gedegen investering nog beperkt, als we Stefaan Hinderyckx van Dimension Data mogen geloven: “Voor een kleine tienduizend euro kun je een onbeperkt aantal concurrent-users beveiligen. Als je dat vergelijkt met de mogelijke kosten van een eventuele besmetting, is dat echt geen overdreven som.”
“Malware? Welke malware?” Het is een begrijpelijke reactie bij velen. Ook de leveranciers moeten ruiterlijk toegeven dat ze in België weinig of geen klanten kennen die (financieel) hebben geleden onder mobiele malware. Dit in tegenstelling tot landen als de VS, waar er al vele besmettingen werden gesignaleerd.
Is België dan voorlopig aan de dans ontsnapt? Of wordt het gevaar zwaar opgeklopt? Geen ven beide, meent Kim Apers van Symantec:
“In tegenstelling to in vele andere landen is er in België geen meldingsplicht wanneer je door malware besmet bent geraakt. En spontaan zullen weinigen beginnen te vertellen over hun problemen. We kunnen er dus van uitgaan dat er ook in België al de nodige besmettingen zijn geweest, maar dat ze zelfs tegenover de leveranciers de nodige schroom hebben om erover te praten.”