Zoek op trefwoord, naam of systeem:

Blog

  • 20
    januari
    2017
    Technology Professional, Technology Professional

    Mobility – DataPrivacy – Beveiliging!

    Balans tussen beveiliging en gebruiksgemak

    2017 is het jaar van Mobility … alweer! Eigenlijk roepen onderzoeksbureau’s, IT consultancy bureaus en de leveranciers van EMM producten het al een paar jaar, maar veroorzaakt het nog niet de aardverschuiving die steeds wordt voorspeld. Maar waar mobility om de hoek komt kijken, daar liggen de datalekken ook op de loer. En de voorbeelden daarvan zijn ook in de media eenvoudig te vinden. Zelfs Interpol heeft er last van!
    Beveiliging is de balans tussen gebruiksgemak en veiligheid. Het vormen van beleid hierop, de borging hiervan in processen en de implementatie middels techniek kan u hierbij helpen.
    In deze blog zet ik uiteen wat de dreiging in houdt, hoe Enterprise Mobility Management u hierbij kunt helpen en welke stappen u moet zetten om mobility veilig en optimaal in te zetten.

    De dreiging

    Sinds de invoering van de Wet Bescherming Persoonsgegevens en de Meldplicht datalekken op 1 januari 2016 worden er per week gemiddeld meer dan 100 datalekken per week bij de Autoriteit Persoonsgegevens gemeld. En dat aantal loopt nog steeds op!
    De financiële gevolgen daarvan zijn nog niet helemaal goed zichtbaar aangezien er nog geen boetes zijn opgelegd door de Autoriteit Persoonsgegevens. Maar de imago schade is als gevolg van de berichtgeving in de media al wel zichtbaar. En de voorbeelden liggen voor het oprapen:
    • Een onversleutelde USB stick in een enveloppe versturen die niet op de bestemming aankomt
    • Een onversleutelde USB stick met gegevens van huurders kwijt geraakt
    • Zorggegevens die via de mail naar een verkeerde ontvanger worden gestuurd
    En zo zijn er nog veel meer voorbeelden (meer dan 4000 sinds 1 januari volgens AP). De boetes die uitgedeeld kunnen worden zijn niet gering en kunnen oplopen tot €820.000,- euro (of een % van de jaaromzet). Met de Europa brede invoering van de Algemene Verordening Gegevensbescherming per 25 mei 2018, wordt dit boete bedrag nog verder opgehoogd naar 10-20 miljoen euro (of 4% van de jaar omzet)!

    De wens van de gebruiker

    Het is niets nieuws inmiddels: uw gebruikers willen flexibeler werken, beter kunnen samenwerken en dat altijd en overal wanneer het hun uitkomt en op elk device! Zakelijk en privé is voor de gebruiker eigenlijk hetzelfde en gebruikt deze dan ook door elkaar. Waarschijnlijk ook voor uw bedrijfsdata!
    En die werkwijze leidt tot risico’s. Risico’s op datalekken (WBP), verlies van intellectueel eigendom via bijvoorbeeld via Online Fileshare services, malware, ransomware en als gevolg daarvan imago schade als dat in de media komt. Als IT moeten we de business en de gebruikers hierin ondersteunen en enablen!

    De behoefte van de business

    Onderzoeksbureau Forrester voorspelde in 2015 de ‘mobile app-ocalypse’: Gebruikers verwachten dat ze met hun mobiele apparaten dezelfde mogelijkheden hebben om hun werkzaamheden uit te voeren als op hun PC’s. En daarvoor moeten ze worden voorzien van een groeiende set van mobiele applicaties. Als we ze daar niet tijdig in kunnen voorzien loopt IT het risico niet in staat te zijn om het potentieel van Mobility in te kunnen zetten voor de digitale business. Het is moeilijk voor ICT om de juiste prioriteiten met betrekking tot gebruikers en applicaties te stellen. Welke functionaliteit wordt ingevuld met welke (cloud) applicatie en sluit dit aan bij de processen en werkwijze van de gebruiker? En wellicht moet de gebruiker worden beperkt in zijn vrije keuze (procedureel en/of technisch) om de veiligheid van informatie te waarborgen.

    Enterprise Mobility Management

    Met een EMM oplossing bent u als ICT organisatie in staat om controle te krijgen en te houden over uw bedrijfsdata en applicaties en kunt u voorkomen dat deze door de (on)eerlijke vinder van het apparaat van uw medewerker op straat komt te liggen.

    De grenzen tussen PC’s en mobiele apparaten vervagen. Dit is terug te zien in de tooling waarbij het beheer vanuit één management tool kan worden gedaan doordat de architecturen van PC’s en mobiele apparaten naar elkaar toe groeien en worden samengevoegd. Een voorbeeld daarvan is Windows 10 van Microsoft. En dit stimuleert en sluit ook aan bij de trend waarbij organisaties de beheer afdelingen van deze apparaten samenvoegen tot één beheerafdeling: ‘End-points’. In de toekomst zullen IoT apparaten hieraan kunnen worden toegevoegd.

    People – Process – Technology

    Maar het voorkomen van datalekken en verlies van bedrijfsdata is niet beperkt tot de implementatie van een technische oplossing. Het begint met het in gesprek gaan met de business om samen te bepalen hoe mobility toegevoegde waarde voor de business kan leveren. Wat is het doel en de richting van de organisatie en hoe kunnen mobiele applicaties en mobiele apparaten hierin bijdragen.
    Met de groeiende hoeveelheid aan het Internet en aan het bedrijfsnetwerk gebonden apparaten (denk aan smartphones, laptops, tablets, maar ook smartwachtes en IoT) zijn de mogelijkheden legio. Voorbeelden zijn bijvoorbeeld te vinden bij de NS met een smartphone en een app voor de machinisten en conducteurs, maar ook bij provincie Noord-Holland waar een app voor de weg- en waterinspecteurs is geïntroduceerd waarmee zij effectiever kunnen werken.
    Daarbij hoort ook de keuze welk mobility model het beste bij het bedrijf past: BYOD, CYOD of COPE. Hierbij is het zaak om ervoor te zorgen dat de juiste functionaliteit en ondersteuning wordt geboden vanuit ICT. Terwijl juist vanuit het bedrijf en ICT-maatregelen worden genomen om oneigenlijke toegang tot het bedrijfsnetwerk te voorkomen, brengt het gebruik van een veelheid aan mobiele apparaten extra veiligheidsrisico’s met zich mee doordat medewerkers zowel thuis als op kantoor over essentiële bedrijfsgegevens moeten beschikken. Hierdoor komt het voor dat data ook gesynchroniseerd wordt met apparaten die ook privé worden gebruikt en de data kan op deze wijze ook bij opslagdiensten in de cloud terecht komen.
    Beveiligingsrichtlijnen en maatregelen zijn noodzakelijk om dit te voorkomen. Het beveiligingsbeleid is daarbij altijd een balans tussen beveiliging en gebruiksgemak. Het is belangrijk om apparaten en applicaties goed te beveiligen zonder dat het gebruik ervan (te erg) wordt ontmoedigd. Het volledig ‘dichttimmeren’ van apparaten en applicaties gaat ten koste van het gebruiksgemak en belemmert daarmee medewerkers in hun productiviteit. En als gevolg daarvan gaan ze op zoek naar mogelijke alternatieven die buiten ICT omgaan (met Shadow-IT als gevolg).
    Hoe om te gaan met de beveiliging en het beleid omtrent het gebruik van apparaten, applicaties en data moet worden geborgd in de processen. Hierbij valt onder andere te denken aan de in en uit dienst procedures voor het uitdelen en intrekken van rechten op applicaties en data, maar ook hoe om te gaan in het geval een apparaat wordt gestolen of verloren. Het moet duidelijk zijn wat de gevolgen en verantwoordelijkheden zijn voor de gebruiker, maar ook welke stappen moeten worden gezet om te voorkomen dat data in de verkeerde handen komt. Encryptie van gegevens op het device is bijvoorbeeld een technische maatregel die genomen kan worden, maar dit kan ook in het proces bij de voorbereiding en configuratie van een apparaat als onderdeel van het uitgifte proces worden geborgd.
    De technische maatregelen moeten het beleid dat is opgesteld en de doelstellingen van de business ondersteunen, uitvoeren en bewaken. Bij de implementatie van een EMM-suite wordt dit uitgewerkt en geïmplementeerd.  EMM kan op verschillende niveaus beveiligingsmaatregelen invullen.
    Een paar voorbeelden:
    • Op netwerkniveau kan encryptie van netwerkverkeer tussen het apparaat en de IT infrastructuur worden toegepast.
    • Met device management kan worden gecontroleerd of apparaten voldoen aan de beveiligingsrichtlijnen en zorgt voor de basis beveiliging op het apparaat zoals encryptie, containers en het op afstand wissen van het apparaat bij verlies of diefstal.
    • Met App management kunnen applicaties op afstand worden ge(de)ïnstalleerd en kan toegang tot applicaties worden bepaald.
    • Op data managementniveau kan controle worden uitgeoefend op de dataflow en rechten op data (waar, wanneer en door wie). Ook kan data op afstand worden gewist.
    • Uiteindelijk kan met EMM door het beschikbaar stellen van de juiste applicaties en data de productiviteit en samenwerking worden verbeterd.

    Bewustwording

    ‘The problem exists between keyboard and chair!’ Dit is een bekend statement en over het algemeen nog steeds waar! De beste en meest uitgebreide beveiliging is niets waard als de gebruiker niet begrijpt waarom! Als de beveiliging ervoor zorgt dat de gebruiker niet effectief en productief kan werken, dan worden er alternatieven gezocht die buiten de controle van ICT ligt. Dus om controle te houden moet de gebruiker worden voorzien van de juiste middelen en kennis, en daarbij hoort ook bewustwording. Bewustwording waarom bepaalde beveiligingsmaatregelen en beperkingen aanwezig zijn en wat de gevolgen voor de persoon en voor het bedrijf zijn als deze worden omzeild. En dat de medewerker weet met wat voor informatie hij/zij werkt en wat daar wel of niet mee mag, en hoe daar zorgvuldig mee om moet worden gegaan. In de eerdergenoemde voorbeelden is ook te zien dat onzorgvuldigheid een belangrijke oorzaak van datalekken is. Het trainen van de medewerkers is dan ook essentieel!

    To BYOD or not to BYOD

    Als laatste toch nog even een kort stukje over BYOD. In een vorige blog heb ik het al over BYOD gehad en ik sluit mij aan bij het statement van HP en Microsoft: BYOD is dood! Security technisch is BYOD moeilijk goed te beveiligen en ligt de verantwoordelijkheid grotendeels bij de gebruiker! En daar gaat het mis. Het hiaat zit in het door de gebruiker laten zorgen voor de juiste beveiligingsmaatregelen en zodanig dat dit aansluit bij de eisen van ICT. De benodigde controle is lastig. En hoe sluit je een SLA met de gebruiker af zodat hij ‘next business day’ weer aan het werk kan in het geval van een probleem of defect op het BYOD apparaat?
    Het CYOD (mits de juiste afweging wordt gemaakt) of COPE model sluit hier beter op aan. Door vooraf de juiste beveiligingsmiddelen en ondersteuning te regelen, met daarbij ook de mogelijkheid voor de gebruiker om privé met het apparaat te kunnen werken, sluiten deze modellen perfect aan bij het gebruik van mobility. ICT kan zorgen voor de juiste beveiliging en controle daarop, de business kan de mogelijkheden van mobility inzetten voor het creëren van toegevoegde waarde en de gebruiker heeft de mogelijkheden om efficiënter en productiever te zijn. Ik zeg: WIN-WIN-WIN!
    Zie ook onze Mobility Solution voor meer informatie!

Trefwoorden: Internet Security

Email Technology Professional

Lees alle blogberichten van Technology Professional

Deel dit bericht

Geen reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *