Zoals veel Security Consultants krijg ik regelmatig de vraag; 'Hebben jullie ook een oplossing voor byod?' of 'Het management wil iPad’s gaan gebruiken, kunnen jullie ons helpen met een voorstel voor een WiFi netwerk?'. Hier ga ik als Consultant graag op in.
Soms is er nog niet nagedacht over de beheerlast die bij byod of de introductie van een draadloos netwerk komt kijken. Meestal is er al wel een beleid geschreven wie er gebruik van mag maken, welke resources wel en niet benaderbaar mogen zijn, waar er wireless dekking moet komen en voor hoeveel gebruikers. Als je dan vraagt hoe byod of wireless uitgerold en beheerd gaat worden, is het antwoord vaak 'hier zorgt onze helpdesk voor'. Doorvragen leert dan meestal, dat de helpdesk er geen fte’s bij krijgt voor het byod of wireless vraagstuk, dit terwijl het meestal een behoorlijke hoeveelheid configuratiewerk en/of beheer last met zich meebrengt. Voor de leesbaarheid van dit stuk laat ik zaken als virus en botnet risico’s voor nu achterwege.
Ik leg dan uit, dat de ervaring leert dat de helpdesk tijdens de introductie van byod of een corporate draadloos netwerk een behoorlijke hoeveelheid extra werk op zich af ziet komen. De meeste gebruikers hebben nu eenmaal niet de kennis om zelf de relatie te leggen tussen een ssid (naam van een draadloos netwerk), de juiste encryptiesleutel, de juiste instellingen op de tablet of laptop, et cetera, en dit zonder problemen goed te laten functioneren. Natuurlijk kan één van de helpdeskmedewerkers een zogenaamd wireless Introductie document schrijven, maar bij byod zal dit echter een lijvig document worden aangezien ieder merk/type device andere configuratieschermen en instellingen heeft. Daarnaast speelt nog het beveiligingsrisico, dat zo’n document 'op straat' komt te liggen met alle informatie hoe verbinding gemaakt kan worden met het draadloze netwerk.
Hoe los je dit dan op en hoe kan er dan wel succesvol een byod beleid en/of wireless netwerk uitgerold worden voor eigen medewerkers, externe en gasten? De oplossing hiervoor is een ‘Self Provisioning Tool’ (spt), en dan het liefst een die meer dan alleen Windows- en Apple-apparatuur ondersteunt. Een spt zorgt ervoor dat de eigen medewerker, externe of gast door middel van een web portal (webpagina) via zelf registratie zijn of haar device veilig aan het juiste draadloze netwerk kan koppelen en automatisch niet alleen de juiste instellingen gepusht krijgt maar ook alleen bij die resources kan waar zijn of haar positie c.q. profiel recht op geeft. Denk hierbij voor de eigen medewerkers aan een koppeling met de bestaande Active Directory of ldap database, waarin staat tot welke afdeling iemand behoort en wat zijn/haar positie is. De spt zal vervolgens een encrypted certificaat naar het device sturen met daarin alle instellingen om veilig en automatisch verbinding te maken met het juiste draadloze netwerk.
Voor externen en gasten kan een mogelijke invulling van deze tool zijn dat zij behalve hun voornaam en achternaam ook hun mobiele telefoonnummer moeten ingeven. De spt zal dan vervolgens automatisch een sms naar het betreffende telefoonnummer sturen en in deze sms staat dan een WiFi-code die aan de betreffende externe c.q. gast gekoppeld is. Hiermee sla je als bedrijf meerdere vliegen in één klap; je ontlast de afdeling it c.q. de helpdesk, je maakt het gebruik van byod en het WiFi-netwerk laagdrempelig en er kan, indien gewenst per gebruiker, per wireless device achterhaald worden welke netwerkverkeer er gegenereerd is. Dit laatste is voor veel bedrijven een belangrijk punt in verband met Compliancy en Regelgeving.
Merci Patrick, top artikel. Het onderschrijft precies wat ik vanuit operationeel oogpunt al een tijd zeg. Zorg eerst voor een duidelijke compliancy en regel dan eerst eens een testomgeving op een apart (v)lan.
Men wil het liefs weinig tot niets uitgeven voor de ondersteuning waardoor je niet opnieuw een bottleneck moet willen creëren.
De gedachte is goed, alleen jammer dat er zoveel commercieel gehijg omheen zit alsof byod het komende doel is i.p.v. een nuttige aanvulling op …
Patrick,
Ik deel de mening van NumoQuest dat BYOD een te grote hype is maar ja wat is dat niet in de IT. Het supporteren en toestaan van alle soorten devices moet je organisatie is gewoon lastig en tijdrovend. Het slim hiermee om gaan door middel van een SPT portal zal een hoop tijd, kosten en irritatie besparen.
Bij veel organisaties is hier nog niet goed over nagedacht. Bied je deze service niet dan beperk je je gasten. En onder deze gasten kunnen natuurlijk ook klanten of andersoortige relaties zitten. En dit kan wel eens een oudbollige of slechte indruk achter laten.
BYOD: Bring your own device, buy your own device, of toch CYOD: Choose your own device. Natuurlijk de consumerisation van ICT-middelen is een duidelijke weg in geslagen, maar in de bedrijfsomgeving telt er meer dan dat. Privé en zakelijk dezelfde gebruiksinterface scheelt tijd geld en fouten. Het eigendom van het apparaat is dan minder interessant. De convergentie naar minder diversiteit komt pas over een paar jaar. Tot die tijd zullen er dus veel keuzes gemaakt moet worden, met aanzienlijke gevolgen voor invoering, uitrol, beheer en vooral beveiliging, want anders gaat smartphone synoniem worden voor de “rondslingerende USB-stick”.
BYOD lijkt een hype, maar er zijn organisaties die dit principe al heel lang hanteren om hun IT kosten laag te houden. Daarbij is toegang tot wireless netwerken slechts één van de onderdelen van je infrastructuur. Als organisatie is het van belang een generieke infrastructuur te ontwikkelen welke met willekeurig device en willekeurig netwerk (GPRS, Internet, LAN, wireless) op een veilige wijze mensen en machines toegang kan geven tot informatie. Door als organisatie steeds puntoplossingen te kiezen wordt de IT infrastructuur complex en moeilijk te beheren. Kiezen voor een generieke ontsluiting van je informatie en VDI omgeving scheelt tijd en geld.