Het is een illusie te veronderstellen dat de it-afdeling greep krijgt op de apparaten en de apps die medewerkers meenemen de onderneming binnen. Daarom is een ander concept nodig van beveiliging en directies zullen in de buidel moeten tasten om dergelijke concepten in de praktijk toe te passen. Anders blijft het dweilen met de kraan open. Zo is de conclusie van de Computable-expertsessie over intrusion prevention en detection op de eerste beursdag van Infosecurity in de Jaaarbeurs.
Gespreksleider Jasper van Westen (RES Software) voerde als eerste stelling aan dat met bring your own device (byod) ook de virussen het bedrijfsnetwerk binnen komen. De experts Simon Leech (HP), Martijn Bellaard (Brain Force), John Knieriem (Intermax) en Michael van der Vaart (Nod32) onderstreepten dat intrusion prevention en detection op zichzelf hier geen soelaas bieden. Deze technologieëen werken aan de grenzen van het netwerk, en zouden meer naar binnen toe moeten worden toegepast. ‘Bovendien moet je gaan sturen op context en content. Nagaan wat het gedrag is van een gebruiker, afgaande op het dataverkeer dat hij of zij genereert. Als daar iets misgaat, kun je hem of haar isoleren’, aldus Van der Vaart.
Allen zijn het erover eens dat de mens de zwakke schakel is in het beveiligingspakket. ‘Je zult de gebruikers moeten trainen, moeten vertellen welke risico’s zij veroorzaken. Maar dan moet je wel duidelijk hebben welke risico’s een organisatie loopt, en welke je per se wilt vermijden en welke je gecalculeerd wilt toestaan’, aldus Bellaard.
Geen geld over voor security
Knieriem betoogde dat via de logfiles heel veel bekend is over het (afwijkende) gedrag. ‘Maar dat zijn zulke grote hoeveelheden dat het bijna ondoenlijk is om ze te analyseren. En dan weet je dus eigenlijk nog niks. Eigenlijk heb je dan siem (security information en events management) nodig. Daarmee kun je die analyses wel snel maken. Maar die oplossingen zijn erg duur en dan loop je er toch steeds weer tegen aan dat directies en Raden van Bestuur geen geld over hebben voor een degelijke beveiliging.’
Leech vertelde dat elke code fouten bevat, omdat zij door mensen wordt geschreven. ‘Dus moet je daar rekening mee houden. Dat is wel te doen, maar het vereist een uitgekiende beveiligingsstrategie bij bedrijven. Daar ontbreekt het te vaak aan.’
Knieriem haakte hierop in door te melden dat een organisatie een plan moet hebben klaar liggen wat zij gaat doen als het misgaat. ‘En je kunt ervan uitgaan dat het een keer misgaat. Hoe ga je er dan voor zorgen dat je zo snel mogelijk weer alles onder controle hebt? Dat draaiboek moet klaar liggen; en jouw klanten moeten weten hoe dat in elkaar steekt.’ Intermax is een internetprovider.
Een app voor drie kwartjes
De vier experts hielden het publiek voor dat een houding van ‘nee, nee, nee’ door de it-afdeling niet is vast te houden en moet veranderen naar ‘ja, ja, ja’.
Vroeger bood de it-afdeling de applicaties aan, maar tegenwoordig kan iedereen voor drie kwartjes een app kopen en meenemen naar het werk. ‘Dat is niet tegen te houden. Dus moet je daar jouw politiek op afstemmen’, luidt de conclusie.
quote/
Het is een illusie te veronderstellen dat de it-afdeling greep krijgt op de apparaten en de apps die medewerkers meenemen de onderneming binnen. Daarom is een ander concept nodig van beveiliging en directies zullen in de buidel moeten tasten om dergelijke concepten in de praktijk toe te passen.
end
Zucht… Typisch weer lieden die uit/in eigen belang praten…
Google eens op ‘mdm-server’. Er zijn erg mooie tools voor niet te veel geld. Denk aan MDM Server van Apple. Kost ‘bijna’ niets en het is redelijk goed dicht te zetten/gezet.
Tja, de commercie en groei zijn belangrijk (voor de zakkenvullers).
Het artikel geeft correct aan waar de pijnpunten zitten: app’s. Je zou als organisatie dan ook moeten gaan kijken hoe je deze app’s secured kan aanbieden. Een opvolgende technologie op Mobile Device Management is dan ook “Mobile Secured Container Management”. Hiermee los je gelijk het aanbieden en beheren van zakelijke app’s mee op. Mijn tip voor 2013!
Je vraagt je af waarom ICT afdelingen alles willen beheren en beveiligen?
Van de industrie die op deze behoefte inspeelt kan ik het begrijpen, dat is ook de context van dit artikel. Maar,
1. Een app is vaak een veredelde webapplicatie, heeft contact met een wegsterven en er wordt minimale dat uitgewisseld, wat is de toegevoegde waarde van beheer? en wat zijn de bedreigingen vanuit beveiliging?
2. Bedrijven zouden zich moeten richten op profielen op de BYOD devices en op basis van deze profielen data moeten ontsluiten, dan hoef je geen apparaat te gaan beheren, gebruikers restricties op te keggen en niet fors te investeren in allerlei tools, die toch allemaal aan achteraf detectie doen. Een virus wordt pas geconstateerd als het er is; preventief is een illusie.
3. Zorg dat virusdetctie niet op applicatie niveau draait, maar op het netwerk, dat is ook gebruikelijker in een virtuele datacenter wereld. Het idee dat je op elke device een viruskicentie moet hebben is achterhaald, de verkopende industrie gaat je dat natuurlijk niet vertellen.
4. Het idee van Adriaan Weber is goed en is al beschikbaar, VMware heeft virtualisatie tools waarmee containers kunnen worden gebouwd en onderhouden.
5. Alle bedrijven die beginnen met BYOD, stap daar vanaf en kies voor CYOD uit een catalogus en zorg dat alle apparatuur standaard wordt ingeregeld, de gebruiker kan dit dan zelf instellen en ook begrijpen waarom deze eisen/wensen er zijn.
Probeer vooral niet 2-3-4 apparaten per gebruiker te gaan beheren, dat is hopeloos en achterhaald. Ik zou overigens ook nog wel eens aangetoond willen zien hoe virussen van BYOD binnenkomen als de infrastructuur van een bedrijf op een juiste maniërist ingericht, als het kan met BYOD dan kan het ook op andere manieren.
Vreemd dat deze experts de risico’s zo goed weten te benoemen en tegelijkertijd toch roepen dat ICT-Beheer “ja, ja, ja!” moet roepen tegen BYOD en alles wat daar bij hoort. Of eigenlijk niet vreemd, want ze hebben natuurlijk meer belang bij “ja, ja, ja” dan bij “nee, nee, nee”.
Dit sluit mooi aan op het artikel van Marco van Lieverloo (https://www.computable.nl/artikel/opinie/cloud_computing/4584364/2333364/zorgt-byod-voor-business-it-alignment.html) waarin hij er op hamert dat er meer begrip gekweekt moet worden bij de business opdat deze gaat snappen wat er bij komt kijken om e.e.a. te leveren, wat de risico’s en wat de kosten zijn.
Bedrijven die de risico’s onderkennen maar niet willen investeren in het voorkomen ervan betalen uiteindelijk een veel hogere rekening. Bedrijven die alleen maar “ja” zeggen omdat de experts zeggen dat het niet tegen te houden is, houden zichzelf voor de gek. Want wie is er ook al weer de baas?
Bedrijven moeten dus goed nadenken, inzicht verwerven en daar goed gecommuniceerd beleid op loslaten. Dan kan er veilig en overwogen en zonder discussie “ja, nee, nee, ja” gezegd worden.
Natuurlijk zijn er ook andere mogelijkheden voor Business Apps op een BYOD-device. Echter is het de truc om ervoor te zorgen dat de applicaties en informatie niet fysiek op een device terecht komt en dat er een 2-way security system wordt ingezet…
Keerzijde van de medaille is dat offline scenario’s en volledige benutting van device functionaliteiten ter discussie komen te staan.
Er is een oplossing die end-points monitoring doet op een real time basis. We hebben het hier over alle activiteiten van alle applicaties. Dat levert een enorme database op met zeer veel informatie.
De toegevoegde waarde van deze oplossing is om met die informatie een uniek perspectief te bieden voor IT Operations over hoe de IT Services worden aangeboden naar de eindgebruiker, en wat de ervaring van de eindgebruiker is betreffende de levering van de IT Services.
Doordat alle activiteiten van alle end-points wordt opgeslagen, wordt dit in de praktijk ook gebruikt om activiteiten te analyseren die niet toegestaan zijn (P2P, Trojans, malware etc.).
Een compleet nieuwe aanpak met een hoge toegevoegde waarde voor IT Ops, Security en Compliance officers.
En ik maar denken dat er een applicatie architectuur bestond . . . maar ja, als de IT afdeling ook niet veel verder komt dan “hobby gereedschap” is het niet vreemd dat medewerker vreemd gaat . . . Betere (integrale) bedrijfsapplicaties maken; dat lost de zaak op.