Er lijkt geen dag voorbij te gaan of de media hebben wel weer een volgend geval van beveiligingscrisis te melden. In 2007 kwam het thema gegevensverlies in Nederland onder de aandacht van het grote publiek toen een ambtenaar van het ministerie van Buitenlandse Zaken een usb-stick kwijt raakte met daarop de geheime toegangscodes tot de woning van een Nederlands diplomaat en de namen van alle lijfwachten die de premier hadden vergezeld tijdens een bezoek aan Polen. Het resultaat was, naast een enorm schandaal, dat ook de veiligheid van andere overheidsmedewerkers op de tocht kwam te staan.
Ook in het bedrijfsleven is bescherming van vertrouwelijke gegevens een belangrijk thema. Onvoldoende aandacht voor beveiliging van bedrijfsinformatie betekent dat gevoelige gegevens op tientallen manieren, door kwade opzet of louter onzorgvuldigheid, in de openbaarheid kunnen komen. Een succesvolle aanpak van dat probleem vereist een benadering op diverse fronten, plus de nodige dosis gezond verstand. Maar met de groeiende populariteit van mobiel werken en de toenemende mate waarin gegevens worden uitgewisseld tussen verschillende kantoorlocaties, in binnen- en buitenland, is één ding vast komen te staan: de noodzaak van een alles omvattende beveiligingsstrategie is nog nooit zo groot geweest.
In een ideale wereld hebben gebruikers, zodra ze zich hebben aangemeld bij het netwerk, toegang tot hun eigen applicaties en tot de bestanden, mappen en verbindingen die nodig zijn voor de rol die ze binnen de organisatie vervullen. Tegelijkertijd moet het it-personeel de mogelijkheid hebben vast te leggen vanaf welke locaties gegevens benaderd kunnen worden en moet het gebruik van bepaalde toepassingen beperkt kunnen worden op basis van het tijdstip waarop dat gebeurd. Op die manier kan het juiste niveau van beveiliging in stand worden gehouden. De locatie van de gebruiker moet gecontroleerd kunnen worden, om er zeker van te kunnen zijn dat vertrouwelijke gegevens niet worden benaderd als de betreffende persoon bijvoorbeeld niet op kantoor is. Alleen zo kan het risico van beveiligingsproblemen tot een minimum worden teruggebracht.
In die context is het van belang interfaces te implementeren die het gebruik van bestanden, mappen en programma’s beperken op grond van de beveiligingsstatus van de persoon en de applicatie in kwestie. Door die koppeling te maken, kan het gevaar van gegevensverlies worden geminimaliseerd door middel van selectieve toegangsrechten – sommige gebruikers hebben geen andere rechten voor bepaalde bestanden dan alleen-lezen. Een dergelijke vorm van beveiligingsbeheer zorgt ervoor dat informatie toegankelijk is en programma’s kunnen worden uitgevoerd, maar dat niet elke gebruiker in staat is gegevens terug te schrijven naar het bestandssysteem. In plaats daarvan worden wijzigingen of aanvullingen weggeschreven naar een gedeelte van de server dat gedekt wordt door backup-procedures.
Naarmate thuiswerken en werken vanaf een externe locatie steeds normaler worden, komen er ook alsmaar meer verhalen in het nieuws over gestolen of zoek geraakte laptops en geheugensticks. Er is echter technologie beschikbaar die ook de beveiliging van externe opslagapparatuur, zoals usb-sticks, kan verbeteren. De documenten die op die sticks zijn opgeslagen, kunnen worden vergrendeld voor toegang door onbevoegden en er zijn ook tal van andere maatregelen mogelijk om de beveiliging te verbeteren. Per bedrijf kunnen vaste regels worden vastgelegd en er kunnen verschillende niveaus van machtigingen worden ingesteld, in combinatie met beperking van het aantal gebruikers dat per sessie toegang heeft tot bepaalde ip-adressen of poorten. Documenten en applicaties kunnen worden gekoppeld aan één vaste printer, wat ook bijdraagt tot reductie van het risico dat vertrouwelijke informatie door onbevoegden wordt gelezen.
Die maatregelen kunnen verder worden ondersteund door aanvullende beveiligingsopties in de vorm van meervoudige identiteitscontrole, via usb en op basis van gebruikersnaam en wachtwoord. Dat maakt het mogelijk toegang tot applicaties te beperken afhankelijk van de usb-apparatuur die op de desbetreffende machine is aangesloten. Een usb-stick als sleutel, met andere woorden.
Tenslotte is er nog de mogelijkheid toegangsrechten tot gegevens en applicaties te koppelen aan de server in kwestie. In het beste geval is dat dan gebaseerd op applicatie en gebruiker, niet op individuele computers, omdat gebruikers nu eenmaal wel eens wisselen van desktop of laptop. Het nadeel van deze vorm van beveiliging is dat geen rekening wordt gehouden met machineafhankelijke firewalls, omdat die voor de betreffende computer gelden en niet zijn gekoppeld aan de identiteit van de gebruiker.
Het goede nieuws is dat het meerderdeel van alle bedreigingen op het gebied van beveiliging met succes kunnen worden bestreden door implementatie van een modern systeem voor beheer van de eindgebruikeromgeving, een zogenaamd workspace management systeem. Daardoor ontstaat niet alleen consistentie in de werkomgeving op basis van bedrijfsbeleid en vast omschreven regels, het is ook de oplossing voor alle genoemde beveiligingsproblemen.
Ron Grevink
Product Marketing Manager
RES Software