Een stap verder dan Mobile Device Management

advertisement
Een stap verder
dan Mobile Device
Management
Een oplossingsgerichte aanpak voor
het toestelonafhankelijk beveiligen van
bedrijfsdata.
Inleiding
De explosieve groei van smartphones en tablets voor zakelijk gebruik zorgt ervoor dat vertrouwelijke
informatie niet alleen binnen uw organisatie op servers en desktops beschikbaar is, maar deze informatie ook
opgeslagen wordt op mobiele apparaten – welke gevoelig zijn voor verlies of diefstal – en vervolgens buiten de
controle van uw organisatie verspreid kunnen worden. Het is voor een werknemer eenvoudig om middels een
simpele handeling gevoelige bedrijfsinformatie buiten de organisatie te verspreiden, per ongeluk of met opzet,
bijvoorbeeld door het uploaden van werknemersgegevens naar een publieke cloud via een cloud storage app.
Traditionele netwerkbeveiligingen kunnen niet voorkomen dat data van mobiele apparaten naar buiten lekken, en
dat gebeurt vaak naar publieke netwerken. Veel organisaties verwachten dat Mobile Device Management (MDM) het
wondermiddel is voor hun zakelijke mobiele beveiliging. Hoewel MDM vaak een goed middel is voor het managen
van mobiele apparaten, is MDM als zodanig slechts een onderdeel van een compleet Enterprise Mobility Management
(EMM) platform.
MDM gaat over het vergrendelen van functionaliteiten van een apparaat, zoals het
beperken van toegang tot wifinetwerken, het voorkomen van het gebruik van de
camera, het afdwingen van complexe wachtwoorden etc. Hoewel dit in een aantal
gevallen voldoende kan zijn, zal dit in sommige situaties niet afdoende, of niet van
toepassing zijn.
MDM gaat ervanuit dat de IT-afdeling de volledige controle heeft over het
apparaat en de wensen van de gebruiker kan negeren. Echter het instellen van
gebruikersbeperkingen en de mogelijkheid tot het verwijderen van persoonlijke apps
is een recept voor ontevredenheid bij de eindgebruiker. Als het apparaat alleen voor
zakelijke doeleinden gebruikt wordt kan dit een prima methode zijn, maar in veel
gevallen hebben organisaties het Bring Your Own Device (BYOD) en/of Corporate
Owned Personally Enabled (COPE) model ingevoerd. In die gevallen zal er wel
rekening gehouden moeten worden met de behoeften en het persoonlijke gebruik
van de eindgebruiker. Een redelijk MDM-beleid zal acceptabel zijn, maar zeer streng
beleid zal zeker afgewezen worden. Dit beperkt de inzet van een MDM-oplossing als
een beveiligingsmiddel van het mobiele apparaat.
1
00
010
11001
0101110
011010101
01010101010
1010101110101
0101010010101010
101100011000010101
010101000100101010101
010101000101100101011100
110101010101010101010101011
10101010101001010101010110001
10000101010101010001001010101010
1010100010110010101110011010101010
101010101010101110101010101001010101
0101100011000010101010101000100101010
1010101010001011001010111001101010101
010101010101010111010101010100101010
10101100011000010101010101000100101
01010101010100010110010101110011
01010101010101010101010111010
10101010010101010101100
011000010101
1
00
010
11001
0101110
011010101
01010101010
1010101110101
0101010010101010
101100011000010101
010101000100101010101
010101000101100101011100
110101010101010101010101011
10101010101001010101010110001
10000101010101010001001010101010
1010100010110010101110011010101010
101010101010101110101010101001010101
0101100011000010101010101000100101010
1010101010001011001010111001101010101
010101010101010111010101010100101010
10101100011000010101010101000100101
01010101010100010110010101110011
01010101010101010101010111010
10101010010101010101100
011000010101
1
00
010
11001
0101110
011010101
01010101010
1010101110101
0101010010101010
101100011000010101
010101000100101010101
010101000101100101011100
110101010101010101010101011
10101010101001010101010110001
10000101010101010001001010101010
1010100010110010101110011010101010
101010101010101110101010101001010101
0101100011000010101010101000100101010
1010101010001011001010111001101010101
010101010101010111010101010100101010
10101100011000010101010101000100101
01010101010100010110010101110011
01010101010101010101010111010
10101010010101010101100
011000010101
Bovendien beveiligt MDM alleen het apparaat en niet de data op het apparaat. Het lekken van
data blijft een zorg voor apparaten die gemanaged worden met MDM. Zo kan bijvoorbeeld een
gebruiker een bestand uploaden naar een persoonlijke cloudopslag, waardoor het document
buiten de door de organisatie beheerde omgeving komt. Men kan in gevoelige zakelijke
gegevens knippen en dit vervolgens in een andere applicatie plakken. Dus ondanks dat het
apparaat geconfigureerd is volgens een MDM-beleid, kan er toch gevoelige informatie buiten
de organisatie lekken. Hoewel dit kan gebeuren door kwade opzet, gebeurt dit vaker door een
simpele gebruikersfout.
Wat nodig is, is een technologie die een organisatie voorziet in de behoefte om constant
controle te hebben over hetgeen voor hen het meest belangrijk is – de bedrijfsdata – in
de werkprocessen, zonder binnen te dringen in de persoonlijke sfeer of het rechtmatige
persoonlijke gebruik door de eindgebruiker te limiteren.
De controle over de bedrijfsdata zou in stand moeten blijven of het nu gaat om een apparaat
dat Corporate Owned, Personally Enabled (COPE) is, of Bring Your Own (BYO), of gemanaged
door MDM-software. Met technologie die uw vertrouwelijke bedrijfsinformatie beveiligt, de
productiviteit stimuleert en de eindgebruikers tevredenstelt, ongeacht het eigendom van het
apparaat of de MDM–management status. Wie wil dat nu niet?
MDM: op zichzelf niet toereikend
Een MDM-oplossing gebruikt platform management services die onderdeel zijn van het mobiele
besturingssysteem of aangeboden door de toestelfabrikant. IT-organisaties kunnen vervolgens management
controle toepassen door bijvoorbeeld het toevoegen van wachtwoorden, het op afstand wissen of blokkeren van
een toestel etc., zodat data en apps beschermd worden. Desalniettemin zal voor beveiliging en ter voorkoming
van dataverlies een MDM-oplossing alleen te kort schieten. Onderstaand worden een aantal tekortkomingen
uitgelicht.
MDM-beveiligingscontrole is gelimiteerd tot apparaat afhankelijke beveiligingsdiensten.
Aangezien MDM-oplossingen afhankelijk zijn van het mobiele besturingssysteem en de specifieke apparaat gerelateerde
diensten van de producent, kunnen veiligheidscontroles zeer uiteenlopen.
Bedrijven die te maken hebben met een mix aan besturingssystemen, zoals iOS, Android en Windows, zullen
het beveiligen van deze toestellen een uitdaging vinden. Bijvoorbeeld, niet alle Androidtoestellen ondersteunen
dataencryptie. Een MDM-oplossing, hoe uitgebreid ook, zal geen encryptie toe kunnen voegen op een toestel dat dit niet
ondersteunt vanuit het besturingssysteem. Zonder een cross-platformstandaard dat ervoor zorgt dat beleid en controle
consistent doorgevoerd kunnen worden, zal IT het lastig vinden om in een heterogene omgeving de bedrijfsdata effectief
te beschermen.
MDM-beleid wordt geïmplementeerd op toestelniveau,
dat persoonlijk gebruik belemmert.


Password
Bijvoorbeeld, om te voorkomen dat onbevoegde gebruikers toegang
hebben tot uw bedrijfsemail op een persoonlijk toestel, vereist
een MDM-oplossing een password op het toestel zelf in plaats
van op de emailapplicatie. Als gevolg zal de werknemer elke keer
een wachtwoord in moeten toetsen zodra hij het toestel gebruikt,
ongeacht of dit voor zakelijke of privédoeleinden is. Wanneer IT
vervolgens geconfronteerd wordt met onvermijdelijke klachten van
gebruikers die het lastig vinden om elke keer een complex wachtwoord
in te voeren als ze het toestel willen gebruiken, zal IT zwakkere
wachtwoorden toestaan, dat de kans op verlies van bedrijfsdata
aanzienlijk verhoogt.

Password
rd
Passwo


Pas
swo
rd

Password
Password



Password
Password
rd
Passwo
Het op afstand wissen van een toestel vindt met een MDM-oplossing
ook op toestelniveau plaats. Hiermee kan IT op afstand bedrijfsapps en
bedrijfsdata wissen als een toestel kwijt of gestolen is. Echter, als het
toestel ook privé gebruikt wordt, zullen hiermee ook alle persoonlijke
data en apps verwijderd worden. Gebruikers zullen dit niet op prijs
stellen, voelen zich misschien in hun persoonlijke privacy aangetast en
worden gedwongen hun persoonlijke gegevens te reconstrueren.
MDM-beleid kan inbreuk maken op persoonlijke privacy.
De meeste beleidscontrole aangeboden door mobiele OS leveranciers geven uitgebreide toegang tot persoonlijke
informatie op het apparaat. Bijvoorbeeld, een werkgever zou toegang verkrijgen tot de volledige catalogus van apps op
het apparaat, gebruikspatronen, geolocatie en andere data gerelateerd aan het gebruik van het apparaat. De toegang
tot informatie is niet gelimiteerd tot zakelijke apps en zakelijk gebruik maar ook persoonlijke apps en persoonlijk
gebruik zijn toegankelijk. Zo’n invasieve controle kan leiden tot weerstand bij de gebruiker tegen de oplossing en de
weigering om apparaten in gebruik te nemen. Zeker als het apparaat eigendom is van de gebruiker, zoals in het BYODmodel, is de inbreuk voor velen onaanvaardbaar. In sommige delen van de wereld kan dit zelfs bij wet niet toegestaan
zijn.
Veel populaire apps zijn een uitdaging voor de meeste MDMoplossingen.
Beleidscontroles en dataencryptie kunnen geen mogelijke veiligheidsrisico’s
benaderen die binnen de apps zelf aanwezig zijn. Bijvoorbeeld een app die
ontworpen is om direct of indirect toegang te verkrijgen tot, en het kunnen
delen van, bedrijfsdata met derde partij apps en clouddiensten. De meeste
data lekt weg door onopzettelijke acties van de werknemer, wanneer deze ook
gebruik maakt van consumentenapps. Aangezien de meeste MDM-oplossingen
gelimiteerd zijn tot veiligheidscontroles op toestelniveau, zijn de meeste
MDM-functies niet in staat om een potentieel veiligheidsrisico te signaleren
op appniveau.



Wat is er nodig: een
oplossingsgerichte aanpak om
mobiliteit te beveiligen
Bedrijven dienen een veilige mobiliteitsoplossing in te voeren die IT-afdelingen in
staat stelt het beveiligingsbeleid vast te leggen en te beheren op applicatie-, apparaaten identiteitsniveau.
Zowel de Apple App Store als Google Play Store bieden
meer dan één miljoen apps aan. Dat maakt het voor
een gebruiker lastig om apps te selecteren die hen
helpen bij het uitvoeren van hun werkzaamheden en die
tegelijkertijd in overeenstemming zijn met het IT-beleid.
Door inzicht te krijgen in de wensen en eisen van de
organisatie en de gebruikers, kan IT de gebruikers voorzien
van goedgekeurde apps die goed werken met de zakelijke
systemen en voldoen aan het veiligheidsbeleid. Het niet
verstrekken van de juiste apps kan resulteren in het zelf
selecteren van consumentenapps door de gebruiker,
welke een risico vormen voor uw bedrijfsdata. Ook zal
er een grotere inspanning van IT gevraagd worden als de
zelfgeselecteerde apps niet werken zoals verwacht.
Met de juiste ontwikkelde of
aangekochte apps kan IT verder kijken dan de basis
provisioning-mogelijkheden van MDM en meer focussen
op het containeriseren van de mobiele apps, om de
bescherming van gegevens te garanderen. Dit gebeurt
op appniveau met toestel onafhankelijke encryptie
en beleidscontroles op de container (bijvoorbeeld
authenticatie, delen, wissen etc.). Apps in een
beveiligde container zorgen voor hetzelfde niveau van
databescherming, of het apparaat nu uitgerust is met
MDM of niet. Dat betekent dat er ook apps veilig gebruikt
kunnen worden waarbij een MDM-profiel niet gewenst
is. Door het leveren van veiligheid en controle op zowel
toestel- als appniveau, kan IT het risico van dataverlies
verder verminderen, BYOD mogelijk maken en zorgen voor
een compromisloze gebruikerservaring.
Het Good Platform
Voor organisaties die overwegen hun bedrijfsvoering te
mobiliseren, levert het Good Platform een uitstekende
bruikbaarheid, beheerbaarheid en bewezen zakelijke
beveiliging op meerdere niveaus. Het biedt MDM-controle,
maar gaat een stap verder; het levert een krachtige, kwalitatief
hoogwaardige gebruikservaring, met controlegemak voor IT.
Het Good platform garandeert zakelijke kwaliteitsservice,
managet apps, apparaten en gebruikers, en beveiligt data van
bron naar doel.
Afhankelijk van de specifieke behoeften van een individuele organisatie kan IT
een gedeelte of alle componenten van het Good Platform gebruiken. Omdat het
platform modulair is opgebouwd kan een organisatie kiezen voor de opties die
men vandaag nodig heeft, met de mogelijkheid om na verloop van tijd meerdere
opties alsnog in te zetten. Daarmee kunnen bedrijven in de eerste fase van het
mobiliseren van de bedrijfsvoering kiezen om alleen gebruik te maken van de MDMfunctionaliteiten. Bovendien, omdat alle delen van het platform gebruik maken
van gelijke beheertools en gelijk zijn in architectuur, is er in het geval van nieuwe
organisatievereisten geen vervanging of aanvullende training nodig.
Het Mobile Device Management component van het Good platform biedt
geïntegreerde device management mogelijkheden die IT volledig toegang en
zicht geeft op apparaten. IT kan heel makkelijk nieuwe apparaten verstrekken,
beveiligingsbeleid afdwingen en alleen de bedrijfsdata of het gehele toestel wissen.
Good Mobile Device Management ondersteunt een brede reeks beleidsmaatregelen
op meerdere platforms, waaronder iOS, Android en Windows. Het ondersteunt ook
doorontwikkelde, fabrikant specifieke beleidsmaatregelen zoals Samsung KNOX.
Naast het simpelweg managen van het toestel, managet het Good Platform met de
Mobile Application Management component ook apps en het appsbeleid. IT kan een
specifieke lijst opstellen van goedgekeurde apps en deze aanbieden via een zakelijke
appstore. De appstore biedt de beoordelingen en recensies die gebruikers graag
zien, alsook de analyses van de installatiestatistieken waar IT in geïnteresseerd is.
Good biedt zeer specifieke controle over functies, zoals welke apps je data mogen
verplaatsen, of knippen en plakken is toegestaan tussen beveiligde en niet-beveiligde
apps, en honderden andere beleidscontroles. Beleidsmaatregelen kunnen toepasbaar
gemaakt worden op een enkele werknemer of op een hele groep.
Beveiligde apps gebouwd voor
zakelijk gebruik
Veel organisaties starten met het mobiliseren van hun basisproductiviteit en
samenwerkingstoepassingen. Good biedt een oplossing die daarbij aansluit.
Good Work™ is een alles-in-een app die speciaal ontwikkeld is voor de zakelijke
gebruiker. Good Work™ biedt onder andere beveiligde email, kalender, contacten en
toegang tot documenten.
Gebruikersgericht
Geïntegreerde
contacten, VIP &
contact geschiedenis
Eén klik Launcher voor
alle zakelijke apps
Eén klik acties
& opstellen van
documenten
Single sign on &
VPN-loos intranet
Good Work is ontworpen voor mobiele apparaten en biedt een consistente, op maat
gemaakte gebruikerservaring, geschikt voor alle grote platforms. Met Good Work
implementeert IT een volledige zakelijke oplossing voor mobiele apparaten die
voldoet aan de gewenste veiligheidseisen en toegangsmogelijkheden.
Door gebruik te maken van de reeks van Good apps kan IT veilig de werkstromen
mobiliseren. Alle apps zijn door het platform beveiligd en beschermd zodat
belangrijke zakelijke informatie, zoals klantgegevens of bedrijfsprognoses nooit de
organisatie zullen verlaten.
Beveiligen van vertrouwelijke informatie en
productiviteit stimuleren
Unieke beveiligde mobiele appcontainer
Good beperkt het risico van zakelijke gegevens op mobiele apparaten door met behulp van de
Good beveiligde appcontainer bedrijfsdata te versleutelen en te voorzien van beleidscontrole.
Good is de enige die het hoogst haalbare beveiligingscertificaat in bezit heeft, het Common
Criteria EAL 4+ voor iOS en Android. De door Good beveiligde apps zorgen ervoor dat IT
controle heeft over alle bedrijfsdata en de privéinformatie van de werknemers onaangetast
blijft.
Bijvoorbeeld, bijlages en andere bedrijfsdocumenten die geopend worden met Good Work, of met de Good Work
beveiligde browser, zijn versleuteld binnen de door Good beveiligde container, zodat derde partijen geen toegang
hebben, tenzij dit goedgekeurd is door het IT-beleid. Doordat apps via de appcontainerising op verschillende niveaus
gecontroleerd worden, kan IT complexe wachtwoorden handhaven op zakelijk applicatieniveau, waar het er het meest
toe doet, in plaats van op toestelniveau. Gebruikers zullen op deze manier niet onnodig lastig gevallen worden wanneer
ze hun toestel privé willen gebruiken, voor bijvoorbeeld een telefoongesprek, Facebook of een privé-email.
Good heeft de appcontainer uitgevonden en heeft tot op de dag van vandaag de meest geavanceerde container.
Om de data te beschermen, of het apparaat nu wel of niet in gebruik is, gebruikt de beveiligde Good container FIPSgevalideerde cryptografische bibliotheken, die toestelonafhankelijk zijn. Dit betekent dat zelfs als de viercijferige
pincode van het toestel gekraakt is, de bedrijfsdata binnen de beveiligde Good container versleuteld blijven. De
beveiligde Good container beschermt inhoud, de verificatiegegevens, en de configuratiegegevens op een unieke manier.
Inhoud kan beveiligd worden tegen lekmethodes als het gebruik van persoonlijke clouds en knippen en plakken. Het
beschermt verificatiegegevens zoals gebruikersnamen en passwords, tekens en certificaten voor de container. En tot
slot beschermt het configuratie informatie zoals wifi, VPN en andere toegangsmethodes. In het kort komt het erop neer
dat de beveiligde Good container alle belangrijke zakelijke data beschermt.
Daarnaast hoeft IT zich niet langer zorgen te maken over apparaten die mogelijk geen versleuteling toestaan in het
besturingssysteem, zoals Internet of Things of draagbare apparaten, aangezien de versleuteling toestelonafhankelijk is.
Met deze aanpak kan IT de gebruiker toestaan volledige toegang te hebben tot de persoonlijke apps en data, met de
zekerheid dat alle zakelijke gegevens beveiligd blijven binnen de containerapp.
Beveiligde werkstromen
In plaats van apps te beveiligen door deze
volledig af te schermen, ondersteunt
de Good containerapp het veilig delen
van data tussen de verschillende apps.
Voor elke app die gebruik maakt van het
platform is het mogelijk om appgegevens
bij andere apps binnen te halen. Dit veilig
delen van data tussen de verschillende
apps zorgt ervoor dat gebruikers in staat
zijn om makkelijk hun werkzaamheden
uit te voeren en productief te zijn.
Tegelijkertijd blijft de IT-controle in stand
door het beveiligd delen van gegevens
tussen de apps.
Eén klik toegang met
de Launcher
Makkelijk beveiligd
een email opstellen
Beveiligde zakelijke
apps
Een vertrouwde, veilige architectuur
In aanvulling op de unieke mobiele appcontainerisatie biedt Good
ook een vertrouwde, veilige architectuur. Dit gaat verder dan de
mogelijkheden die alleen een MDM-oplossing biedt, omdat het mobiele,
realtime collaboratie en zakelijke applicatie toegang ondersteund
middels uitgebreide beveiliging.
Allereerst is er voor het toestel de Good Launcher. Middels deze button
heeft men toegang tot alle mobiele apps en diensten, inclusief Good
Apps. Alleen Good biedt deze uitgebreide, zakelijke gebruikservaring, met
multi-app werkstromen en de volledige bescherming van de zakelijke
gegevens en de privacy van de gebruiker. Andere oplossingen hebben
een gefragmenteerde en vaak frustrerende gebruikerservaring. Good
versleutelt de data wanneer het toestel niet gebruikt wordt, als een app
wel in gebruik is en zelfs terwijl er tussen twee apps gewerkt wordt.
Oplossingen die werken door het verpakken van de app of het beveiligen
van het apparaat komen niet in de buurt van het hoge veiligheidsniveau
dat door het Good platform geboden wordt.
Vervolgens biedt de Good Secure Cloud aan de ene kant één strak
gecontroleerd toegangspunt tussen de Launcher en de apps op het
apparaat, en aan de andere kant de enterprise back-end cloud. Andere
oplossingen hebben meerdere toegangspunten, meerdere poorten in de
firewall en zelfs meer gateways die een risico vormen voor het lekken
van data.
Mobiliseer met vertrouwen
Terwijl veel oplossingen op een aantal belangrijke punten tekortschieten, wat kan leiden tot verlies van bedrijfsdata,
kunnen organisaties er zeker van zijn dat het Good platform makkelijk te integreren is en mee zal groeien met uw
behoeften. Het platform is eenvoudig in gebruik, heeft flexibele inzetmogelijkheden, biedt management van apparaten
en apps, evenals beveiliging die verder gaat dan de standaard MDM-beveiliging. Dit terwijl de privacy van de gebruiker
gewaarborgd blijft en de productiviteit van de gebruikers stijgt. Met de brede supportmogelijkheden voor de huidige,
diverse platforms, zal de flexibele architectuur de groei in uw mobiele toestellen en apps mogelijk maken, ongeacht
waar mobiliteit u zal brengen.
Over de samenwerking van Good Technology en
Intercity Technology
Over Good Technology, powered by BlackBerry
Good Technology is toonaangevend op het gebied van mobile security en levert
innovatieve en kwalitatief hoogwaardig oplossingen voor alle fasen van de mobility
lifecycle voor ondernemingen en overheden wereldwijd. Meer dan 6.200 organisaties
in meer dan 190 landen gebruiken de oplossingen van Good Technology, waaronder
FORTUNE™®100 koplopers in het bank- en verzekeringswezen, de gezondheidszorg,
ruimtevaart en defensie. In november 2015 is de organisatie overgenomen door
Blackberry. Lees meer op www.good.com.
Over Intercity Technology
Intercity Technology is een internationale aanbieder van innovatieve, zakelijke
communicatieoplossingen waarmee bedrijfsresultaten verbeterd worden. Intercity
onderscheidt zich van andere aanbieders door een persoonlijke aanpak, inzicht
in klantenwensen en het leveren van de best mogelijke service. Met deskundig
advies over de inzet van de nieuwste communicatie- en informatietechnologie
worden kostenbesparingen, productiviteitsverbeteringen en beveiliging bij haar
klanten gerealiseerd. De strategische partners worden zorgvuldig gekozen op basis
van stabiliteit, kwaliteit en toegevoegde waarde voor de eindgebruiker. Daarmee
worden enterprise oplossingen interessant gemaakt voor een bredere markt.
Intercity is de eerste mobiele service provider die een samenwerking met Good
Technology aangaat voor het aanbieden van een mobiele data security oplossing
van wereldklasse aan het midden- en kleinbedrijf.
 +31 20 655 3000
 intercitytechnology.nl
Versie09/02/16
Download