hoe beveilig je mobiele devices en data?

advertisement
HOE BEVEILIG JE MOBIELE
DEVICES EN DATA?
7 securitytips voor het nieuwe werken
DIT IS EEN UITGAVE VAN
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
Het zakelijk gebruik van smartphones, tablets en laptops neemt
enorm toe. Die inzet van mobiele apparaten moet medewerkers
productiever, flexibeler en beter bereikbaar maken. Maar ze vormen
ook een beveiligingsrisico. 7 tips voor de beveiliging van mobiel werken.
G
een enkel bedrijf wil dat klantgegevens of bedrijfsgevoelige informatie op straat komt te
liggen of in de handen van criminelen belandt.
De hoge boetes, reputatieschade en claims van gedupeerde klanten die dat met zich meebrengt, zijn dan niet
te overzien. Maar als werknemers dergelijke gegevens
buiten de kantoormuren inkijken en bewerken, vormt
dat wel een groot risico. Daarom is het belangrijk om al
bij de invoering van mobiel werken goed na te denken
over de beveiliging. Maar welke securityrisico’s spelen
er allemaal bij het nieuwe werken en wat moet en kun
je allemaal beveiligen? 7 securitytips waar je aan moet
denken wanneer je overstapt op mobiel werken.
van het netwerk. Mobiele apparaten van medewerkers
worden vaak gekoppeld aan het bedrijfsnetwerk. Dus
moet de beveiliging van dat netwerk in orde zijn. Zowel
op kantoor als onderweg.
WIFI
Als je het sec over beveiliging van het netwerk hebt,
moet je zorgen dat je wifi goed beveiligd is. Versleutel
altijd het dataverkeer, bijvoorbeeld via WPA2-encryptie
en stel inlogbeveiliging met een sterk wachtwoord in. Dat
zijn de minimale vereisten.
GASTENNETWERK
Laat bezoekers op kantoor altijd inloggen op een
speciaal gastennetwerk. Wanneer je gasten toelaat
op het eigen netwerk, loop je een verhoogd risico
op besmetting met virussen en andere malware.
Anders dan bij de apparatuur die is aangesloten
op het eigen netwerk, weet je van sommige gasten
niet precies in hoeverre je ze kunt vertrouwen. Dat
betekent dat ze directe toegang tot jouw netwerk
mogelijk kunnen misbruiken om gevoelige informatie
te bekijken of zelfs te downloaden. Dat wil je uiteraard tegen elke prijs voorkomen.
Tip 1
Tref de juiste voorbereiding
Een goed begin is het halve werk. Begin daarom met een
plan van aanpak. Leg de mobiele strategie vast in een
beleidsplan. Daarin staat hoe je als organisatie omgaat
met mobiel werken, wie welke bedrijfsdata mag delen en
hoe de beveiliging van die apparatuur en de gegevens
die daarop staan is geregeld. Minstens zo belangrijk is
het vastleggen van eenieder zijn verantwoordelijkheden.
Zet het niet alleen op papier, maar zorg dat iedereen ook
daadwerkelijk zijn verantwoordelijkheden kent.
BRENG RISICO’S IN KAART
MOBIELE NETWERKEN
Breng tevens de risico’s van mogelijk dataverlies in kaart.
Welke risico’s spelen er als informatie het pand verlaat?
Wat zijn de gevolgen van dataverlies via een mobiel
apparaat? En welke bedrijfsgegevens moeten het beste
worden beschermd? Deze en andere risico’s bepalen
grotendeels hoe je de mobiele apparatuur beheert en beveiligt en het beleid dat je voor mobiel werken hanteert.
3G/ 4G-verbindingen zijn meestal veiliger dan een
onbekend wifi-netwerk. Criminelen proberen via geïnfecteerde wifi-spots bij bedrijfsgevoelige gegevens te
komen. Professionals die bijvoorbeeld onderweg naar
een afspraak nog even klantgegevens of een presentatie doornemen op een onbekend wifi-netwerk lopen
een groter risico dat die gegevens in handen komen van
criminelen. Om dat risico te voorkomen bied je mobiele
devices (ook voor tablet en laptop) met simkaart aan,
vervangen door: zodat een medewerker naast wifi ook
via 3G of 4G kan werken. Zo is bijvoorbeeld 3G/4G pay as
you go een optie om buiten een eigen wifi-netwerk velig
>
online te zijn.
Tip 2
Beveilig het netwerk
Hoe voor de hand het ook ligt om de beveiliging op
apparaatniveau te regelen, kijk eerst naar de beveiliging
-2-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
B. CYOD
Tip 3
Bepaal wie de mobiele apparatuur
aanschaft
Om de kans op juridische- en beveiligingscomplicaties
te verminderen besluiten bedrijven vaak om de ondersteuning van devices te beperken tot een selectie van
devices. Meestal wordt hierbij een lijst van mogelijk te
gebruiken devices opgesteld waaruit de medewerkers
kunnen kiezen of die ze zelf kunnen aanschaffen, afhankelijk van het mobiliteitsbeleid van de organisatie. Deze
variant heet Choose Your Own Device (CYOD).
Er zijn ruwweg drie opties voor het aanschaffen van
mobiele devices. Iedere optie kent zijn eigen voor- en
nadelen. We zetten ze voor je op een rij.
A. BYOD
KOSTENPOST
Het gebruik van eigen apparatuur, oftewel Bring Your
Own Device (BYOD), heeft als groot voordeel dat de medewerkers al vertrouwd zijn met hun eigen apparatuur.
Ze kennen de ins en outs van het apparaat en het besturingssysteem. Bovendien hoeft
geen dure nieuwe apparatuur door
het bedrijf te worden aangeschaft.
Er kleven echter ook nadelen aan.
Het afrekenmodel binnen CYOD kan verschillen. Zo kan
de organisatie ervoor kiezen om een medewerker zelf
het toestel te laten aanschaffen, eventueel met een
budget. Let erop dat wanneer
de medewerker het apparaat
aanschaft, hij dus ook de eigenaar
van het device is. Een andere
mogelijkheid is dat de organisatie
het toestel koopt. En waar dat
voorheen enorm op de ict-kosten
drukte, worden de devicekosten
tegenwoordig in veel gevallen
doorbelast aan de business. Zo
kunnen bedrijfsonderdelen beter
worden aangestuurd op kosten.
BEVEILIGINGSRISICO’S
Zo wordt het voor de ict-afdeling
een grotere uitdaging om alle verschillende devices te beheren. Dat
kan met name leiden tot grotere
beveiligingsrisico’s. Zo gebruiken
verschillende smartphone-fabrikanten het Android-besturingssysteem. Dat lijkt handig, maar iedere
fabrikant heeft het systeem op
zijn eigen manier aangepast. Elke
variant kent daardoor zijn eigen
specifieke uitdagingen op beveiligingsgebied.
SCHAALVOORDELEN
Groot voordeel van CYOD zijn de
schaalvoordelen waar je als bedrijf van profiteert. Omdat je een
kleinere selectie aanbiedt, heb je
meer dezelfde soort apparaten in huis. Daardoor kunnen
de devices worden getest voor optimale gebruikerservaring. Ook kun je modellen op grote schaal inkopen en
dus eisen stellen richting de leverancier ten behoeve
van device levenscycli (hoe lang is hetzelfde device nog
leverbaar) en ondersteuning. Dat verlaagt de druk op de
ict-afdeling.
JURIDISCHE COMPLICATIES
In het geval van verlies, virus of een datalek leidt het
gebruik van een eigen device ook tot juridische complicaties. Wie is er in een voorkomend geval bijvoorbeeld
verantwoordelijk? En mag de onderneming zijn ict-beleid
onverkort handhaven op privéapparatuur? Zo wissen
sommige bedrijven op afstand de data bij diefstal of vermissing van apparatuur. Daarbij wordt met Mobile Device
Management (MDM) geen onderscheid gemaakt tussen
privédata en zakelijke gegevens. Dat kan problemen
opleveren als het gaat om het privébezit van de betrokken medewerkers. Ze kunnen bijvoorbeeld een claim
indienen bij de werkgever als die privégegevens van het
toestel heeft gewist.
C. Corporate owned devices
Corporate Owned Devices houdt in dat de organisatie
zelf eigenaar blijft van de mobiele apparaten en deze
ter beschikking stelt aan de werknemer. In sommige gevallen kan één device ook door meerdere medewerkers
worden gebruikt. Bijvoorbeeld door in te loggen met een
smartcard of badge op een mobiele thin client. De hard- >
-3-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
Om zulke dilemma’s aan te pakken, biedt Enterprise
Mobility Management (EMM) een uitkomst. Dat is een
verzamelterm voor de verschillende mogelijkheden
om mobiele apparatuur, apps en data in een zakelijke omgeving te beheren en te beveiligen. Begin met
minimaal mobile device management en ga wanneer het
kan voor een enterprise appstore en mobile application
management. Parallel daaraan kun je mobile content
management inrichten. Een overzicht van de verschillende onderdelen:
ware dient in dat geval als ‘voorkant’ en in veel gevallen
draait een daadwerkelijke sessie in het datacenter of in
de cloud. Dit heet desktop- of applicatievirtualisatie.
MAXIMALE STANDAARDISATIE MAAR
BEPERKTE VRIJHEDEN
Bij COD draait de werkgever dus op voor de aanschafkosten, maar daar staan een aantal belangrijke voordelen
tegenover. Zo kiest de werkgever de standaard voor de
te gebruiken mobiele devices waardoor de standaardisatie maximaal kan worden doorgevoerd om managementen supportkosten laag te houden. Nadeel is dat medewerkers het device beperkt voor privé kunnen gebruiken
en deze manier van werken dus minder aansluit bij de
nieuwe generatie medewerkers.
MOBILE DEVICE MANAGEMENT
Bij mobile device management (MDM) worden beleidsinstellingen afgedwongen op het niveau van het apparaat.
Denk daarbij aan een wachtwoord
of pincode. Tevens kan het apparaat op afstand worden gewist,
gelockt of kun je het apparaat
vinden en lokaliseren (tracen).
BEVEILIGING OPTIMAAL
Bovendien bieden zakelijke devices
vaak meer mogelijkheden om
de beveiliging te optimaliseren.
Zo is er specifieke hardware op
de markt waarin beveiliging zit
ingebouwd. Denk bijvoorbeeld aan
een zakelijke tablet met een veilige
versie van Android inclusief ondersteunende hardware waardoor
het device niet in de software-ontwikkelmodus kan worden gezet
(een manier waarop criminelen
proberen om een device te rooten). Daarnaast kan het apparaat
alleen worden opgestart met het besturingssysteem dat
er vanaf de fabriek op is geïnstalleerd.
MOBILE APPLICATION MANAGEMENT
Bij mobile application management (MAM) worden met het
oog op beveiliging en beheer
restricties gesteld aan de gebruikte apps. Applicatie X mag om
veiligheidsredenen bijvoorbeeld
niet communiceren met applicatie Y. Of als een bepaalde app
gebruikt wordt, mag de camera
niet aanstaan. Dat soort beleidsinstellingen leg je vast in
mobile application management.
SECURED CONTAINER
Tip 4
Richt beveiliging op applicatieniveau in
Bij mobiele apparatuur die zowel privé als zakelijk wordt
gebruikt, kun je ervoor kiezen om
apps die zakelijke gegevens bevatten in een aparte
beheeromgeving onder te brengen. In een zogenoemde
veilige container, ook wel sandbox genoemd. Applicaties
binnen die omgeving zijn volledig gescheiden van de
applicaties en data die privé worden gebruikt.
Als duidelijk is welke apparaten beveiligd moeten worden, kun je aan de slag met beveiliging op applicatieniveau. Een aantal vragen zijn hierbij essentieel. Denk aan:
Hoe veilig moet de data zijn? Kun je die data wel op de
devices van je gebruikers zetten? Is een app nog wel het
juiste medium? Ga je de app aanbieden in een publieke
app store of een beschermde enterprise app store? En
hoe zorg je dat je medewerkers toegang tot de data
hebben?
ENTERPRISE APPSTORE
Nog een stap verder dan de secured container is de
enterprise appstore. Daarmee ben je er als bedrijf zeker
van dat alle gebruikte applicaties getest zijn, voldoen aan
>
de veiligheidseisen van het bedrijf en gemakkelijk zijn
-4-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
wordt dus niet de standaardbrowser van het besturingssysteem ingeschakeld, maar een webbrowser die draait
in de secured container-omgeving.
uit te rollen en te beheren. De apps die in de enterprise
appstore staan kunnen worden geïnstalleerd in de secure
container op het device. Je kunt vervolgens kiezen doormiddel van MDM en MAM in hoeverre publieke apps nog
uit de ‘gewone’ appstore mogen worden geïnstalleerd. Je
kunt publieke apps namelijk ook opnemen in de enterprise
appstore. Daarmee voorkom je dat gebruikers bewust of
onbewust malafide apps uitrollen binnen het netwerk.
Tip 5
Versleutel gegevens, gebruik
encryptie
MOBILE CONTENT MANAGEMENT
Ander belangrijk onderdeel van het beveiligen van
mobiel werken is de data op de devices. Er zijn diverse
mogelijkheden om met behulp van software data te
versleutelen. Zo zijn er verschillende encryptie-oplossingen op
de markt, waaronder de optie om
op hardware- én softwareniveau
encryptie toe te passen. Duurdere zakelijke devices hebben een
chip waarmee je een apparaat
op hardwareniveau kunt encrypten. Doormiddel van een Trusted
Platform Module (TPM) kun je het
device versleutelen. Voordeel van
deze module is dat je deze ook
kunt inzetten voor een virtueel
certificaat voor authenticatie
van een gebruiker. Nadeel van
encryptie kan zijn dat een device
trager wordt.
Bij mobile content management (MCM) staat de vraag
waar de informatie wordt opgeslagen centraal. Met
mobile content management
beheer je data centraal en kun je
die op een veilige manier raadplegen vanaf meerdere devices. Je
stuurt bijvoorbeeld een link door
in plaats van het bestand. Zo heb
je altijd de laatste versie en beheer
je wie toegang heeft en houdt tot
je bestanden. Er bestaan verschillende varianten afhankelijk van het
benodigde niveau van beveiliging.
Zo kun je MCM vanuit een publieke
cloud, een private cloud of vanuit
een eigen datacenter opzetten.
MOBILE INFORMATION MANAGEMENT (3.0)
Nog een stapje verder is mobile
information management. Hierbij beveilig je de data op
bestandsniveau. Gebruikers krijgen doormiddel van bestandsencryptie en certificaten rechten om een bestand
wel of niet in te zien.
Tip 6
Richt meerdere beveiligingslagen in
Hoe meer lagen de beveiliging heeft, hoe sterker de
weerstand is voor criminelen die toegang willen krijgen
tot data of devices. Om de beveiliging te versterken kun
je het beste beveiligingslagen stapelen. Je beveiligt
bijvoorbeeld de toegang tot een bestand of apparaat
met een wachtwoord en zet daarnaast nog een tweede
beveiligingslaag in. Dat wordt door security-experts ook
wel 2-factor authenticatie genoemd.
MOBILE E-MAIL MANAGEMENT
Ook mail moet beveiligd worden. Normaal haal je e-mail
op via een client gekoppeld aan het besturingssysteem
van het mobiele apparaat. Bij zwaardere beveiliging is
die mailclient niet gekoppeld aan het besturingssysteem,
maar aan de native app in de secure container. Daardoor
is de informatie extra beveiligd.
MOBILE WEBMANAGEMENT
Daarbij zijn biometrische middelen als de gezichts- en
vingerafdruk-scan in opkomst. Maar je kan ook werken
met een token (een reeks cijfers die door een algoritme
wordt bepaald), een NFC-badge (pas met chip) of een
virtueel certificaat. Kenmerk van deze onderdelen is dat >
Bij mobile webmanagement gebruik je de browser in de
secure container-omgeving. De verbinding is extra beveiligd waardoor criminelen minder makkelijk internetgegevens kunnen afvangen. Voor een verbinding met internet
-5-
7 SECURITYTIPS VOOR HET NIEUWE WERKEN
Conclusie
deze specifiek aan één persoon of entiteit wordt uitgegeven en dient ter authenticatie. Het token kan ook dienen
ter autorisatie voor het uitvoeren van een handeling.
Voordat je met mobiel werken aan de slag gaat, is het
zaak na te denken over de beveiliging van apparatuur,
apps en data. Leg afspraken vast en wees je ervan bewust dat beveiliging niet iets is dat je eenmalig invoert.
Het is een proces dat continue doorloopt en voortdurend
moet worden aangescherpt.
Tip 7
Maak eindgebruikers bewust van
de risico’s
Binnen sommige bedrijven wordt security nog altijd
gezien als een kostenpost. Maar als je nagaat wat goede
beveiliging je organisatie oplevert, dan staan die uitgaven niet in verhouding tot de schade die diefstal van
bedrijfsgegevens of klantdata kunnen veroorzaken.
Hoe ver je de beveiliging ook technisch dichttimmert, het
handelen van mensen vormt meestal het grootste risico.
Iedereen moet zich dus bewust zijn van de risico’s die
kleven aan het zakelijk gebruik van mobiele apparaten.
Door trainingen aan eindgebruikers kun je hen duidelijk
maken welke acties bepaalde risico’s opleveren. Zo kunnen het gebruik van zwakke wachtwoorden, rondslingerende apparaten of het niet goed afsluiten van systemen
grote problemen veroorzaken. Het is goed om personeel
bewust te maken van de gevolgen die dat opleveren.
Colofon
Dit is een uitgave van MT MediaGroep in samenwerking met HP. Redactie: Pim van der Beek. Met
medewerking van Pieter Schouten van HP.
Contact
Hewlett-Packard Nederland B.V.
Hoofd- en verkoopkantoor
Startbaan 16, 1187 XR Amstelveen
Tel: 0800-266 7272 (voor alle MKB-producten)
http://www.hp.nl/
Copyright ©
Niets uit deze uitgave mag worden overgenomen
en/of op enigerlei wijze worden gereproduceerd
zonder toestemming van MT MediaGroep en HP.
September 2015
MANAGEMENT TEAM
-6-
Download