Het is één van de kwesties die security-specialisten de meeste zorgen baart: wat doe ik met de wildgroei aan privé-laptops, PDA’s en smartphones binnen het bedrijf? Steeds meer werknemers beschikken over een apparaat waarmee ze het bedrijfsnetwerk op kunnen. En dat ook doen, als er geen restricties zijn.
Het is dan ook niet verwonderlijk dat het simpelweg verbieden van het gebruik van privé-apparatuur op het werk vaak een eerste reactie is. Dat kan echter wel eens niet zo simpel zijn als dat het lijkt. Nieuwe communicatiemiddelen vinden tot nu toe uiteindelijk altijd hun geaccepteerde plek binnen de bedrijfscommunicatie – dat ging immers net zo met fax, email en instant messaging. Een beleid waarin ‘niets’ mag is niet altijd haalbaar of controleerbaar. Ook staan ict-afdelingen onder een zekere druk om toe te geven aan de wensen van management en werknemers om privé-apparaten toe te staan.
Risico
Maar wat dan? Een alternatief is het oogluikend toestaan van privé-apparaten op het bedrijfsnetwerk. Daar is iets voor te zeggen: het kan de efficiëntie van werknemers vergroten. Daarnaast heeft het gebruik van moderne communicatiemiddelen een positieve uitstraling op het imago van een eigentijds bedrijf, of de apparaten nu eigendom zijn van het bedrijf of van de werknemer zelf. Ik herinner me nog de eerste trotse bezitters van de iPhone die hierop ook hun zakelijke e-mail binnen haalden.
Op het netwerk aangesloten apparatuur vormt echter een beveiligingsrisico: aangezien de apparatuur geen eigendom is van de werkgever, is de zeggenschap over de informatie dat ook niet. En het probleem wordt alleen maar groter, omdat simpelweg de groep werknemers met bijvoorbeeld privé-smartphones groeit.
Bewaken van het bedrijfsnetwerk
Tussen streng verbieden en zomaar toestaan zit echter nog een heel groot gebied. Het is best mogelijk om privé-apparaten toe te staan op het bedrijfsnetwerk zonder reële beveiligingsrisico's te lopen. Er zijn verschillende technieken beschikbaar om de integriteit van het netwerk te bewaken of te verbeteren. Denk aan Netwerk Access Control, waarbij de apparatuur eerst gecontroleerd wordt op de aanwezigheid van juist geconfigureerde beveiligingssoftware voordat wel of geen toegang wordt verleend tot bepaalde onderdelen van het netwerk. Ook kan encryptie worden toegepast, waarbij data op de PDA, smartphones en laptops versleuteld wordt. Data Leak Prevention tenslotte, bepaalt aan de hand van een centrale policy en classificatie of specifieke informatie een netwerk mag verlaten, of opgeslagen mag worden op de randapparatuur.
Gecombineerde beveiliging
Deze technologieën zijn intussen verbazingwekkend goed ontwikkeld, of ze ontwikkelen zich in hoog tempo. Gecombineerd kunnen ze het hele proces beveiligen; of werknemers met een privé-apparaat nu informatie van het bedrijfsnetwerk willen opvragen, bewerken, of opslaan. Je controleert immers de toegang tot het netwerk, de integriteit van de apparatuur (met onder meer anti-malware en een firewall), waar deze informatie heen gaat of opgeslagen is, en tenslotte wordt ook de data versleuteld. Kortom, er is geen reden meer om privé-apparaten te weren op het bedrijfsnetwerk. Het is alleen aan de netwerkbeheerder om de juiste technologie te kiezen en gecontroleerd te implementeren – het liefst vóórdat er van alle kanten gevaarlijke wildgroei ontstaat.
Zo zorg je tegelijkertijd voor meer tevredenheid, efficiency en mobiliteit van je werknemers, zonder dat de beveiliging gevaar loopt. Sterker nog: de beveiliging binnen organisaties zal er hoogstwaarschijnlijk zelfs veel beter op worden, doordat de genoemde technologieën ook buiten de genoemde netwerk apparatuur beveiliging bieden.
Jean-Paul zijn artikel is accuraat en speelt in op een brede marktvraag. Elke organisatie worstelt met dit probleem. De verschillende vendors hebben de juiste tools op de markt gebracht op dit probleem van een technisch oogpunt op te lossen.
Voor bedrijven is inpassen van NAC oplossingen echter zeer zeker geen gemakkelijke opgave. Integratie met active directory, 3rd party virus vendors, switch en router omgevingen etc. Elke oplossingen heeft zijn eigen specifieke requirements of zal zich op een punt oplossing richten, bijv. alleen remote-access.
Waar ik nog een sterke verbetering nodig zie is het stuk management, rapportage and “easy of deployment”. Het moet beheersbaar blijven en je moet geen CCIE of JNCIE nodig hebben voor implementatie of management van dit soort oplossingen.
Jako Boonekamp
Solution Consultant
Orange Business Services
De marktvraag komt voort uit een onhandig uitgangspunt in de netwerkbeveiliging van veel netwerken vandaag de dag. Als je alle beveiliging van je netwerk aan de rand doet, met de firewall en de DMZ, dan kun je inderdaad niet dulden dat er vreemde apparatuur in je netwerk ge?ntroduceerd wordt. Tegelijkertijd is dit precies wat we doen als we bijvoorbeeld thuis werken over een VPN. En voor al die gedetacheerde krachten en consultants, die een eigen laptop hebben, moet je dan ook maar een bedrijfseigen werkstation geven, met alle kosten van dien (plaats en apparatuur).
Wanneer je uitgaat van een bedrijfsnetwerk waar medewerkers hun eigen apparatuur mogen aansluiten, zijn een aantal beveiligingszaken ineens heel eenvoudig geworden. Thuis werken is hetzelfde als op kantoor werken. Externe krachten mogen op hun eigen laptop werken. Medewerkers trouwens ook. Dit is een principi�le keuze, die bewust gemaakt moet worden.
Om dit veilig te kunnen doen, moet je de beveiliging heel anders inrichten. Datacenters moeten beter gehard zijn, kritieke informatie moet je meer concentreren in het datacenter. Automatische classificatie is nodig om kritieke informatie te kunnen lokaliseren. NAC helpt daarbij om de toegang “schoon” te houden. Daar waar kritieke informatie buiten het datacenter een leven moet hebben, zijn nieuwe technieken als DLP en VDI (virtual desktop infrastructure) inderdaad handig.
Eigenlijk gaan we hiermee terug naar de begintijd van de automatisering, toen de belangrijke activiteiten op het mainframe gedaan werden, en de minder belangrijke zaken op de PC op de werkplek (als je die al had).
Mooi verhaal met een can do mentaliteit.
Maar het blijft problematisch zolang je medewerkers niet op remote desktoppen via een vpn. Een Iphone is vrij gewild en ze daardoor aantrekkelijk om te stelen. Als de mailbox of documenten er lokaal opstaan ben je alsnog de pineut..
@Jako…je bent meer reclame aan het maken dan dat je wat zinnigs zegt…
Ok, allemaal geredeneerd vanuit het bedrijfsleven? Vraagje: Wat is de toegevoegde waarde dat iemand zijn prive-laptop mag gebruiken op het werk? Geen! Een werkgever zorgt voor goede apparatuur enz werkplek heet dat.
We hebben nog een andere sector…onderwijs. Op een school met 2000 leerlingen toestaan dat alle pda’s laptops e.d. gebruikt mogen worden op het schoolnetwerk…not!
Dan is het namelijk niet meer beheer(s)baar. We richten niet voor niks een domein in, toch?
En allerlei pakketten moeten kopen omdat men het nodig vind zijn/haar laptop in te mogen pluggen….dat is echt de omgekeerde wereld.
@Henkie
er zijn zat scholen die inderdaad 2000 leerlingen toestaan hun prive pc mee te nemen. Met bv NAC zoals beschreven door Jan Paul is dat prima te doen. Wat denk je van universiteiten met avond studenten??
Het komt er op neer dat je als school/bedrijf zegt, ‘jij wilt je prive pc meenemen, da’s dan prima, maar dan wil ik wel dat je voldoet aan mijn eisen’ Dus bv iets van sw installeren en valide AV hebt etc.
Wil je als school anders 2000 pc’s kopen en verantwoordelijk voor zijn?
Dit wordt gedaan door ict-afdelingen die daadwerkelijk iets toevoegen en niet simpelweg ‘nee’ zeggen tegen alles. Deze worden dus ook niet gezien als een kostenpost, maar als een afdeling die ervoor zorgt dan een bedrijf doelstelling kan halen etc…
Wat ik wel mis in het stukje is een stukje info voorziening van de ICT/Security afdeling naar de medewerkers. Meeste medewerkers snappen niet dat het gevaarlijk is om je prive pc aan te sluiten op het bedrijfsnetwerk. Als je die mensen bewust maakt van de gevaren, heb je al een hoop bereikt.
Onzinnig. Prive is prive, het is natuurlijk vreemd dat een medewerker voor de zaak geen gebruik wenst te maken van zijn eigen prive auto maar schijnbaar wel al zijn gadets op het netwerk wil aansluiten.
Het is aangetoond dat het aansluiten van prive PDA’s etc geen enkele bijdrage leveren aan de bedrijfs activiteiten. Particulieren zijn nou eenmaal niet briljant in het beveiligen van hun ICT apparatuur. Waar in vele gevallen bedrijven kijken naar ROI op ict gaan we hier investeren in alle mogelijke oplossingen op prive apparatuur aan te sluiten.