Een stap verder dan Mobile Device Management Een oplossingsgerichte aanpak voor het toestelonafhankelijk beveiligen van bedrijfsdata. Inleiding De explosieve groei van smartphones en tablets voor zakelijk gebruik zorgt ervoor dat vertrouwelijke informatie niet alleen binnen uw organisatie op servers en desktops beschikbaar is, maar deze informatie ook opgeslagen wordt op mobiele apparaten – welke gevoelig zijn voor verlies of diefstal – en vervolgens buiten de controle van uw organisatie verspreid kunnen worden. Het is voor een werknemer eenvoudig om middels een simpele handeling gevoelige bedrijfsinformatie buiten de organisatie te verspreiden, per ongeluk of met opzet, bijvoorbeeld door het uploaden van werknemersgegevens naar een publieke cloud via een cloud storage app. Traditionele netwerkbeveiligingen kunnen niet voorkomen dat data van mobiele apparaten naar buiten lekken, en dat gebeurt vaak naar publieke netwerken. Veel organisaties verwachten dat Mobile Device Management (MDM) het wondermiddel is voor hun zakelijke mobiele beveiliging. Hoewel MDM vaak een goed middel is voor het managen van mobiele apparaten, is MDM als zodanig slechts een onderdeel van een compleet Enterprise Mobility Management (EMM) platform. MDM gaat over het vergrendelen van functionaliteiten van een apparaat, zoals het beperken van toegang tot wifinetwerken, het voorkomen van het gebruik van de camera, het afdwingen van complexe wachtwoorden etc. Hoewel dit in een aantal gevallen voldoende kan zijn, zal dit in sommige situaties niet afdoende, of niet van toepassing zijn. MDM gaat ervanuit dat de IT-afdeling de volledige controle heeft over het apparaat en de wensen van de gebruiker kan negeren. Echter het instellen van gebruikersbeperkingen en de mogelijkheid tot het verwijderen van persoonlijke apps is een recept voor ontevredenheid bij de eindgebruiker. Als het apparaat alleen voor zakelijke doeleinden gebruikt wordt kan dit een prima methode zijn, maar in veel gevallen hebben organisaties het Bring Your Own Device (BYOD) en/of Corporate Owned Personally Enabled (COPE) model ingevoerd. In die gevallen zal er wel rekening gehouden moeten worden met de behoeften en het persoonlijke gebruik van de eindgebruiker. Een redelijk MDM-beleid zal acceptabel zijn, maar zeer streng beleid zal zeker afgewezen worden. Dit beperkt de inzet van een MDM-oplossing als een beveiligingsmiddel van het mobiele apparaat. 1 00 010 11001 0101110 011010101 01010101010 1010101110101 0101010010101010 101100011000010101 010101000100101010101 010101000101100101011100 110101010101010101010101011 10101010101001010101010110001 10000101010101010001001010101010 1010100010110010101110011010101010 101010101010101110101010101001010101 0101100011000010101010101000100101010 1010101010001011001010111001101010101 010101010101010111010101010100101010 10101100011000010101010101000100101 01010101010100010110010101110011 01010101010101010101010111010 10101010010101010101100 011000010101 1 00 010 11001 0101110 011010101 01010101010 1010101110101 0101010010101010 101100011000010101 010101000100101010101 010101000101100101011100 110101010101010101010101011 10101010101001010101010110001 10000101010101010001001010101010 1010100010110010101110011010101010 101010101010101110101010101001010101 0101100011000010101010101000100101010 1010101010001011001010111001101010101 010101010101010111010101010100101010 10101100011000010101010101000100101 01010101010100010110010101110011 01010101010101010101010111010 10101010010101010101100 011000010101 1 00 010 11001 0101110 011010101 01010101010 1010101110101 0101010010101010 101100011000010101 010101000100101010101 010101000101100101011100 110101010101010101010101011 10101010101001010101010110001 10000101010101010001001010101010 1010100010110010101110011010101010 101010101010101110101010101001010101 0101100011000010101010101000100101010 1010101010001011001010111001101010101 010101010101010111010101010100101010 10101100011000010101010101000100101 01010101010100010110010101110011 01010101010101010101010111010 10101010010101010101100 011000010101 Bovendien beveiligt MDM alleen het apparaat en niet de data op het apparaat. Het lekken van data blijft een zorg voor apparaten die gemanaged worden met MDM. Zo kan bijvoorbeeld een gebruiker een bestand uploaden naar een persoonlijke cloudopslag, waardoor het document buiten de door de organisatie beheerde omgeving komt. Men kan in gevoelige zakelijke gegevens knippen en dit vervolgens in een andere applicatie plakken. Dus ondanks dat het apparaat geconfigureerd is volgens een MDM-beleid, kan er toch gevoelige informatie buiten de organisatie lekken. Hoewel dit kan gebeuren door kwade opzet, gebeurt dit vaker door een simpele gebruikersfout. Wat nodig is, is een technologie die een organisatie voorziet in de behoefte om constant controle te hebben over hetgeen voor hen het meest belangrijk is – de bedrijfsdata – in de werkprocessen, zonder binnen te dringen in de persoonlijke sfeer of het rechtmatige persoonlijke gebruik door de eindgebruiker te limiteren. De controle over de bedrijfsdata zou in stand moeten blijven of het nu gaat om een apparaat dat Corporate Owned, Personally Enabled (COPE) is, of Bring Your Own (BYO), of gemanaged door MDM-software. Met technologie die uw vertrouwelijke bedrijfsinformatie beveiligt, de productiviteit stimuleert en de eindgebruikers tevredenstelt, ongeacht het eigendom van het apparaat of de MDM–management status. Wie wil dat nu niet? MDM: op zichzelf niet toereikend Een MDM-oplossing gebruikt platform management services die onderdeel zijn van het mobiele besturingssysteem of aangeboden door de toestelfabrikant. IT-organisaties kunnen vervolgens management controle toepassen door bijvoorbeeld het toevoegen van wachtwoorden, het op afstand wissen of blokkeren van een toestel etc., zodat data en apps beschermd worden. Desalniettemin zal voor beveiliging en ter voorkoming van dataverlies een MDM-oplossing alleen te kort schieten. Onderstaand worden een aantal tekortkomingen uitgelicht. MDM-beveiligingscontrole is gelimiteerd tot apparaat afhankelijke beveiligingsdiensten. Aangezien MDM-oplossingen afhankelijk zijn van het mobiele besturingssysteem en de specifieke apparaat gerelateerde diensten van de producent, kunnen veiligheidscontroles zeer uiteenlopen. Bedrijven die te maken hebben met een mix aan besturingssystemen, zoals iOS, Android en Windows, zullen het beveiligen van deze toestellen een uitdaging vinden. Bijvoorbeeld, niet alle Androidtoestellen ondersteunen dataencryptie. Een MDM-oplossing, hoe uitgebreid ook, zal geen encryptie toe kunnen voegen op een toestel dat dit niet ondersteunt vanuit het besturingssysteem. Zonder een cross-platformstandaard dat ervoor zorgt dat beleid en controle consistent doorgevoerd kunnen worden, zal IT het lastig vinden om in een heterogene omgeving de bedrijfsdata effectief te beschermen. MDM-beleid wordt geïmplementeerd op toestelniveau, dat persoonlijk gebruik belemmert. Password Bijvoorbeeld, om te voorkomen dat onbevoegde gebruikers toegang hebben tot uw bedrijfsemail op een persoonlijk toestel, vereist een MDM-oplossing een password op het toestel zelf in plaats van op de emailapplicatie. Als gevolg zal de werknemer elke keer een wachtwoord in moeten toetsen zodra hij het toestel gebruikt, ongeacht of dit voor zakelijke of privédoeleinden is. Wanneer IT vervolgens geconfronteerd wordt met onvermijdelijke klachten van gebruikers die het lastig vinden om elke keer een complex wachtwoord in te voeren als ze het toestel willen gebruiken, zal IT zwakkere wachtwoorden toestaan, dat de kans op verlies van bedrijfsdata aanzienlijk verhoogt. Password rd Passwo Pas swo rd Password Password Password Password rd Passwo Het op afstand wissen van een toestel vindt met een MDM-oplossing ook op toestelniveau plaats. Hiermee kan IT op afstand bedrijfsapps en bedrijfsdata wissen als een toestel kwijt of gestolen is. Echter, als het toestel ook privé gebruikt wordt, zullen hiermee ook alle persoonlijke data en apps verwijderd worden. Gebruikers zullen dit niet op prijs stellen, voelen zich misschien in hun persoonlijke privacy aangetast en worden gedwongen hun persoonlijke gegevens te reconstrueren. MDM-beleid kan inbreuk maken op persoonlijke privacy. De meeste beleidscontrole aangeboden door mobiele OS leveranciers geven uitgebreide toegang tot persoonlijke informatie op het apparaat. Bijvoorbeeld, een werkgever zou toegang verkrijgen tot de volledige catalogus van apps op het apparaat, gebruikspatronen, geolocatie en andere data gerelateerd aan het gebruik van het apparaat. De toegang tot informatie is niet gelimiteerd tot zakelijke apps en zakelijk gebruik maar ook persoonlijke apps en persoonlijk gebruik zijn toegankelijk. Zo’n invasieve controle kan leiden tot weerstand bij de gebruiker tegen de oplossing en de weigering om apparaten in gebruik te nemen. Zeker als het apparaat eigendom is van de gebruiker, zoals in het BYODmodel, is de inbreuk voor velen onaanvaardbaar. In sommige delen van de wereld kan dit zelfs bij wet niet toegestaan zijn. Veel populaire apps zijn een uitdaging voor de meeste MDMoplossingen. Beleidscontroles en dataencryptie kunnen geen mogelijke veiligheidsrisico’s benaderen die binnen de apps zelf aanwezig zijn. Bijvoorbeeld een app die ontworpen is om direct of indirect toegang te verkrijgen tot, en het kunnen delen van, bedrijfsdata met derde partij apps en clouddiensten. De meeste data lekt weg door onopzettelijke acties van de werknemer, wanneer deze ook gebruik maakt van consumentenapps. Aangezien de meeste MDM-oplossingen gelimiteerd zijn tot veiligheidscontroles op toestelniveau, zijn de meeste MDM-functies niet in staat om een potentieel veiligheidsrisico te signaleren op appniveau. Wat is er nodig: een oplossingsgerichte aanpak om mobiliteit te beveiligen Bedrijven dienen een veilige mobiliteitsoplossing in te voeren die IT-afdelingen in staat stelt het beveiligingsbeleid vast te leggen en te beheren op applicatie-, apparaaten identiteitsniveau. Zowel de Apple App Store als Google Play Store bieden meer dan één miljoen apps aan. Dat maakt het voor een gebruiker lastig om apps te selecteren die hen helpen bij het uitvoeren van hun werkzaamheden en die tegelijkertijd in overeenstemming zijn met het IT-beleid. Door inzicht te krijgen in de wensen en eisen van de organisatie en de gebruikers, kan IT de gebruikers voorzien van goedgekeurde apps die goed werken met de zakelijke systemen en voldoen aan het veiligheidsbeleid. Het niet verstrekken van de juiste apps kan resulteren in het zelf selecteren van consumentenapps door de gebruiker, welke een risico vormen voor uw bedrijfsdata. Ook zal er een grotere inspanning van IT gevraagd worden als de zelfgeselecteerde apps niet werken zoals verwacht. Met de juiste ontwikkelde of aangekochte apps kan IT verder kijken dan de basis provisioning-mogelijkheden van MDM en meer focussen op het containeriseren van de mobiele apps, om de bescherming van gegevens te garanderen. Dit gebeurt op appniveau met toestel onafhankelijke encryptie en beleidscontroles op de container (bijvoorbeeld authenticatie, delen, wissen etc.). Apps in een beveiligde container zorgen voor hetzelfde niveau van databescherming, of het apparaat nu uitgerust is met MDM of niet. Dat betekent dat er ook apps veilig gebruikt kunnen worden waarbij een MDM-profiel niet gewenst is. Door het leveren van veiligheid en controle op zowel toestel- als appniveau, kan IT het risico van dataverlies verder verminderen, BYOD mogelijk maken en zorgen voor een compromisloze gebruikerservaring. Het Good Platform Voor organisaties die overwegen hun bedrijfsvoering te mobiliseren, levert het Good Platform een uitstekende bruikbaarheid, beheerbaarheid en bewezen zakelijke beveiliging op meerdere niveaus. Het biedt MDM-controle, maar gaat een stap verder; het levert een krachtige, kwalitatief hoogwaardige gebruikservaring, met controlegemak voor IT. Het Good platform garandeert zakelijke kwaliteitsservice, managet apps, apparaten en gebruikers, en beveiligt data van bron naar doel. Afhankelijk van de specifieke behoeften van een individuele organisatie kan IT een gedeelte of alle componenten van het Good Platform gebruiken. Omdat het platform modulair is opgebouwd kan een organisatie kiezen voor de opties die men vandaag nodig heeft, met de mogelijkheid om na verloop van tijd meerdere opties alsnog in te zetten. Daarmee kunnen bedrijven in de eerste fase van het mobiliseren van de bedrijfsvoering kiezen om alleen gebruik te maken van de MDMfunctionaliteiten. Bovendien, omdat alle delen van het platform gebruik maken van gelijke beheertools en gelijk zijn in architectuur, is er in het geval van nieuwe organisatievereisten geen vervanging of aanvullende training nodig. Het Mobile Device Management component van het Good platform biedt geïntegreerde device management mogelijkheden die IT volledig toegang en zicht geeft op apparaten. IT kan heel makkelijk nieuwe apparaten verstrekken, beveiligingsbeleid afdwingen en alleen de bedrijfsdata of het gehele toestel wissen. Good Mobile Device Management ondersteunt een brede reeks beleidsmaatregelen op meerdere platforms, waaronder iOS, Android en Windows. Het ondersteunt ook doorontwikkelde, fabrikant specifieke beleidsmaatregelen zoals Samsung KNOX. Naast het simpelweg managen van het toestel, managet het Good Platform met de Mobile Application Management component ook apps en het appsbeleid. IT kan een specifieke lijst opstellen van goedgekeurde apps en deze aanbieden via een zakelijke appstore. De appstore biedt de beoordelingen en recensies die gebruikers graag zien, alsook de analyses van de installatiestatistieken waar IT in geïnteresseerd is. Good biedt zeer specifieke controle over functies, zoals welke apps je data mogen verplaatsen, of knippen en plakken is toegestaan tussen beveiligde en niet-beveiligde apps, en honderden andere beleidscontroles. Beleidsmaatregelen kunnen toepasbaar gemaakt worden op een enkele werknemer of op een hele groep. Beveiligde apps gebouwd voor zakelijk gebruik Veel organisaties starten met het mobiliseren van hun basisproductiviteit en samenwerkingstoepassingen. Good biedt een oplossing die daarbij aansluit. Good Work™ is een alles-in-een app die speciaal ontwikkeld is voor de zakelijke gebruiker. Good Work™ biedt onder andere beveiligde email, kalender, contacten en toegang tot documenten. Gebruikersgericht Geïntegreerde contacten, VIP & contact geschiedenis Eén klik Launcher voor alle zakelijke apps Eén klik acties & opstellen van documenten Single sign on & VPN-loos intranet Good Work is ontworpen voor mobiele apparaten en biedt een consistente, op maat gemaakte gebruikerservaring, geschikt voor alle grote platforms. Met Good Work implementeert IT een volledige zakelijke oplossing voor mobiele apparaten die voldoet aan de gewenste veiligheidseisen en toegangsmogelijkheden. Door gebruik te maken van de reeks van Good apps kan IT veilig de werkstromen mobiliseren. Alle apps zijn door het platform beveiligd en beschermd zodat belangrijke zakelijke informatie, zoals klantgegevens of bedrijfsprognoses nooit de organisatie zullen verlaten. Beveiligen van vertrouwelijke informatie en productiviteit stimuleren Unieke beveiligde mobiele appcontainer Good beperkt het risico van zakelijke gegevens op mobiele apparaten door met behulp van de Good beveiligde appcontainer bedrijfsdata te versleutelen en te voorzien van beleidscontrole. Good is de enige die het hoogst haalbare beveiligingscertificaat in bezit heeft, het Common Criteria EAL 4+ voor iOS en Android. De door Good beveiligde apps zorgen ervoor dat IT controle heeft over alle bedrijfsdata en de privéinformatie van de werknemers onaangetast blijft. Bijvoorbeeld, bijlages en andere bedrijfsdocumenten die geopend worden met Good Work, of met de Good Work beveiligde browser, zijn versleuteld binnen de door Good beveiligde container, zodat derde partijen geen toegang hebben, tenzij dit goedgekeurd is door het IT-beleid. Doordat apps via de appcontainerising op verschillende niveaus gecontroleerd worden, kan IT complexe wachtwoorden handhaven op zakelijk applicatieniveau, waar het er het meest toe doet, in plaats van op toestelniveau. Gebruikers zullen op deze manier niet onnodig lastig gevallen worden wanneer ze hun toestel privé willen gebruiken, voor bijvoorbeeld een telefoongesprek, Facebook of een privé-email. Good heeft de appcontainer uitgevonden en heeft tot op de dag van vandaag de meest geavanceerde container. Om de data te beschermen, of het apparaat nu wel of niet in gebruik is, gebruikt de beveiligde Good container FIPSgevalideerde cryptografische bibliotheken, die toestelonafhankelijk zijn. Dit betekent dat zelfs als de viercijferige pincode van het toestel gekraakt is, de bedrijfsdata binnen de beveiligde Good container versleuteld blijven. De beveiligde Good container beschermt inhoud, de verificatiegegevens, en de configuratiegegevens op een unieke manier. Inhoud kan beveiligd worden tegen lekmethodes als het gebruik van persoonlijke clouds en knippen en plakken. Het beschermt verificatiegegevens zoals gebruikersnamen en passwords, tekens en certificaten voor de container. En tot slot beschermt het configuratie informatie zoals wifi, VPN en andere toegangsmethodes. In het kort komt het erop neer dat de beveiligde Good container alle belangrijke zakelijke data beschermt. Daarnaast hoeft IT zich niet langer zorgen te maken over apparaten die mogelijk geen versleuteling toestaan in het besturingssysteem, zoals Internet of Things of draagbare apparaten, aangezien de versleuteling toestelonafhankelijk is. Met deze aanpak kan IT de gebruiker toestaan volledige toegang te hebben tot de persoonlijke apps en data, met de zekerheid dat alle zakelijke gegevens beveiligd blijven binnen de containerapp. Beveiligde werkstromen In plaats van apps te beveiligen door deze volledig af te schermen, ondersteunt de Good containerapp het veilig delen van data tussen de verschillende apps. Voor elke app die gebruik maakt van het platform is het mogelijk om appgegevens bij andere apps binnen te halen. Dit veilig delen van data tussen de verschillende apps zorgt ervoor dat gebruikers in staat zijn om makkelijk hun werkzaamheden uit te voeren en productief te zijn. Tegelijkertijd blijft de IT-controle in stand door het beveiligd delen van gegevens tussen de apps. Eén klik toegang met de Launcher Makkelijk beveiligd een email opstellen Beveiligde zakelijke apps Een vertrouwde, veilige architectuur In aanvulling op de unieke mobiele appcontainerisatie biedt Good ook een vertrouwde, veilige architectuur. Dit gaat verder dan de mogelijkheden die alleen een MDM-oplossing biedt, omdat het mobiele, realtime collaboratie en zakelijke applicatie toegang ondersteund middels uitgebreide beveiliging. Allereerst is er voor het toestel de Good Launcher. Middels deze button heeft men toegang tot alle mobiele apps en diensten, inclusief Good Apps. Alleen Good biedt deze uitgebreide, zakelijke gebruikservaring, met multi-app werkstromen en de volledige bescherming van de zakelijke gegevens en de privacy van de gebruiker. Andere oplossingen hebben een gefragmenteerde en vaak frustrerende gebruikerservaring. Good versleutelt de data wanneer het toestel niet gebruikt wordt, als een app wel in gebruik is en zelfs terwijl er tussen twee apps gewerkt wordt. Oplossingen die werken door het verpakken van de app of het beveiligen van het apparaat komen niet in de buurt van het hoge veiligheidsniveau dat door het Good platform geboden wordt. Vervolgens biedt de Good Secure Cloud aan de ene kant één strak gecontroleerd toegangspunt tussen de Launcher en de apps op het apparaat, en aan de andere kant de enterprise back-end cloud. Andere oplossingen hebben meerdere toegangspunten, meerdere poorten in de firewall en zelfs meer gateways die een risico vormen voor het lekken van data. Mobiliseer met vertrouwen Terwijl veel oplossingen op een aantal belangrijke punten tekortschieten, wat kan leiden tot verlies van bedrijfsdata, kunnen organisaties er zeker van zijn dat het Good platform makkelijk te integreren is en mee zal groeien met uw behoeften. Het platform is eenvoudig in gebruik, heeft flexibele inzetmogelijkheden, biedt management van apparaten en apps, evenals beveiliging die verder gaat dan de standaard MDM-beveiliging. Dit terwijl de privacy van de gebruiker gewaarborgd blijft en de productiviteit van de gebruikers stijgt. Met de brede supportmogelijkheden voor de huidige, diverse platforms, zal de flexibele architectuur de groei in uw mobiele toestellen en apps mogelijk maken, ongeacht waar mobiliteit u zal brengen. Over de samenwerking van Good Technology en Intercity Technology Over Good Technology, powered by BlackBerry Good Technology is toonaangevend op het gebied van mobile security en levert innovatieve en kwalitatief hoogwaardig oplossingen voor alle fasen van de mobility lifecycle voor ondernemingen en overheden wereldwijd. Meer dan 6.200 organisaties in meer dan 190 landen gebruiken de oplossingen van Good Technology, waaronder FORTUNE™®100 koplopers in het bank- en verzekeringswezen, de gezondheidszorg, ruimtevaart en defensie. In november 2015 is de organisatie overgenomen door Blackberry. Lees meer op www.good.com. Over Intercity Technology Intercity Technology is een internationale aanbieder van innovatieve, zakelijke communicatieoplossingen waarmee bedrijfsresultaten verbeterd worden. Intercity onderscheidt zich van andere aanbieders door een persoonlijke aanpak, inzicht in klantenwensen en het leveren van de best mogelijke service. Met deskundig advies over de inzet van de nieuwste communicatie- en informatietechnologie worden kostenbesparingen, productiviteitsverbeteringen en beveiliging bij haar klanten gerealiseerd. De strategische partners worden zorgvuldig gekozen op basis van stabiliteit, kwaliteit en toegevoegde waarde voor de eindgebruiker. Daarmee worden enterprise oplossingen interessant gemaakt voor een bredere markt. Intercity is de eerste mobiele service provider die een samenwerking met Good Technology aangaat voor het aanbieden van een mobiele data security oplossing van wereldklasse aan het midden- en kleinbedrijf. +31 20 655 3000 intercitytechnology.nl Versie09/02/16