Byod is bijna niet meer weg te denken in onze bedrijven. Het vereist ook extra maatregelen zoals het opzetten van een vernieuwd computerbeleid, betere afspraken en een beheer van de toegevoegde apparaten zoals notebooks en zelfs tablets of smartphones.
Vaak is het echter zo dat het beheer van die apparaten zeer minimalistisch opgevat wordt – en in een aantal gevallen is het twijfelachtig of je wel van ‘beheer’ kan spreken. Vooral bij het mkb, precies waar byod zeer veelvuldig voorkomt, lijkt het beheer vaak heel ver weg.
Laten we ons even focussen op de mobiele laptop-gebruikers die hun toestellen meebrengen en gebruiken in het bedrijf. Een minimale vereiste is de verplichte installatie van een security- of antiviruspakket om zich te beveiligen alvorens zich te verbinden aan het bedrijfsnetwerk. Veel bedrijven gaan er vervolgens van uit dat er daardoor nooit malware op die toestellen te vinden zal zijn. Na jarenlang hameren op het belang van updaten en patchen, weten de meeste bedrijven ondertussen wel dat het verstandig is om updates uit te voeren, omdat je daardoor de beveiliging helemaal optimaliseert. Helaas denken we dan uitsluitend aan de updates van het besturingssysteem. Dat de zogenaamde derde partij pakketjes zoals Adobe PDF, Flash en vooral Java minstens zo belangrijk zijn, is nog veel minder tot het grote publiek doorgedrongen. Gelukkig voorziet een aanzienlijk deel van de bedrijven hun netwerk van deze updates of verhinderen ze zelfs het gebruik van deze programma’s. In een byod omgeving lijkt dit echter niet altijd zo vanzelfsprekend.
Probleem
Veel minder bekend – ook bij de bedrijven die een goede update- en patchstrategie hebben – is het feit dat veel van de software-updates en patches pas (echt goed) gevonden en geïnstalleerd worden bij het afsluiten en opstarten van een systeem. Combineer de onbekendheid van dit gegeven met het feit dat mensen van nature lui, gemakzuchtig en ongeduldig zijn, en je krijgt een groot probleem. De veiligheid van de pc en uiteindelijk het bedrijfsnetwerk valt en staat met de combinatie van je security-pakket, de updates van het OS en andere pakketten, het security-beleid en de andere interne security maatregelen maar vooral van je eigen gedrag. De achilleshiel van de pc-veiligheid is in dit geval menselijk ‘uitstelgedrag’
Laptopgebruikers hebben vaak geen zin om die helemaal af te sluiten, omdat het opstarten te lang duurt. Het eindeloos simpelweg dichtklappen van de laptop of het kiezen van hybernation-toestand van de pc is een fenomeen dat de meeste laptopgebruikers niet vreemd zal zijn. De iPad en andere tablets hebben deze gewoonte meer en meer in de hand gewerkt: het snelle gebruiksklaar zijn van die apparaten hebben ons nog ongeduldiger gemaakt. En zo komt het dat er meer en meer problemen ontstaan via een heleboel lekken in die third party pakketten.
Deze lekken kunnen ervoor zorgen dat besmettingen via drive-by-downloads mogelijk worden op die toestellen. De uiteindelijke oplossing ligt in het tijdig patchen van alle programma’s. Maar de cruciale vraag is: wanneer worden die patches daadwerkelijk uitgevoerd op het netwerk? En even belangrijk is dan de vraag: wanneer worden die dan ook uitgevoerd op de laptops in een byod-omgeving?
Reboot
Veel van de updates die dit soort gevaarlijke lekken kunnen dichten, hebben weldegelijk een volledige reboot nodig om goed geïnstalleerd te worden. Sommige updates sturen hier gelukkig op aan ( Microsoft is hier een mooi voorbeeld van), maar dat doen lang niet alle leveranciers. Maar zelfs al deden ze het allemaal wel, denk dan even aan je persoonlijk gedrag: hoeveel keer heb jij al een mogelijke update van Java of Flash weggeklikt wegens te weinig tijd of dergelijke? Als systeembeheerder word je dus geconfronteerd met vragen zoals: kan jij het verplicht stellen dat de gebruiker dit niet zomaar mag blijven negeren? Een voor de hand liggende oplossing is het forceren van deze reboots, maar hoe ga je dat in de praktijk brengen bij byod?
Helaas zijn cybercriminelen zich al heel goed bewust van deze problematiek. Ze weten dat updates of reboots in veel gevallen met een week uitgesteld worden en anno 2012 is dat werkelijk te lang. Het is net die week waar de cybercriminelen het meest aan hebben, en in de praktijk wordt die week al gauw een maand of langer. We zitten jammer genoeg in een systeem waar we te vaak moeten updaten met als bijkomende moeilijkheid dat veel mensen bitter weinig technische kennis van hun eigen computer hebben. De meeste eindgebruikers weten niet wat er in werkelijkheid allemaal op hun computers gebeurt.
Hibernation, slaapmodus of het gewoon dichtklappen van het toestel zonder dat men daar over nadenkt en ons menselijk uitstelgedrag zijn zaken die we dringend moeten wijzigen, anders blijft deze situatie voortduren. Of een systeembeheerder een reboot kan afdwingen van een byod-laptop is een lastige vraag: aan te raden valt om dit minstens als advies te laten opnemen in je security beleid.
De vraag gaat mijns inziens veel verder dan al dan niet rebooten.
De O in BYOD staat voor Own, dus even heel kort door de bocht ben ik de eigenaar, dus bepaal ik wel of er gereboot wordt of niet … toch?!?
Ook bepaal ik zelf wel of ik firewall, antivirus software enz enz installeer. Al die “troep”, daar wordt m’n laptop alleen maar trager van. En waarom zou ik al die updates installeren, m’n laptop doet het toch goed?
Als jullie als bedrijf mijn op willen gaan leggen wat ik allemaal moet doen en laten op mijn eigen laptop, kan ik net zo goed gewoon de zakelijke laptop gebruiken; gebruik van mijn eigen favoriete laptop heeft dan geen toegevoegde waarde meer.
Vanuit de beheerskant begrijp ik bovenstaand artikel heel goed, maar als je zoveel spelregels nodig hebt om BYOD toe te staan, wat is dan nog de toegevoegde waarde?
Ach het bewijst maar weer dat die BYOD hype voor gewone gebruikers gewoon ‘spielerei’ is.
Zelf werk ik ook al jaren met mijn eigen klapdoos. Ik kan aantonen (doe dat ook vrijwel dagelijks) dat ik met reguliere spullen mijn werk niet naar behoren kan doen.
BOYD heeft voor mijn werk dus een duidelijke toegevoegde waarde. beheer valt gewoon onder mijn eigen verantwoordelijkheid.
Ik heb daarintegen geen ‘slimme’ telefoon een ipad of soortgelijk apparaat dat ik voor mijn werk gebruik, simpel omdat ik er geen nuttige toepassing voor heb.
Tijdens mijn werk heb ik nauwelijks de tijd om me met onzin bezig te houden.
Misschien dat het voor een ZZP-er of consultant anders geldt, maar als ik mijn werk niet kan doen met de door mijn werkgever beschikbaar gestelde apparatuur, dan heeft hij te zorgen voor beter materiaal.
Ik ga dan toch echt niet mijn eigen spullen daarvoor inzetten.
Allereerst vind ik het artikel een beetje een non-discussie, alsof dit een van de grote problemen is bij BYOD…
Verder vind ik het niet horen bij BYOD dat het bedrijf je laptop gaat managen danwel software gaat pushen of verantwoordelijk is voor de updates, laat staan een reboot. Een mooiere oplossing lijkt me dat je het netwerk gewoon beschermd tegen eigen apparatuur van gebruikers, waarbij je ze toch alle faciliteiten geeft.
Bij BYOD vind ik dat de uiteindelijke verantwoordelijkheid voor het systeem bij de gebruiker hoort te liggen.
Los hiervan, een redelijke laptop met een SSD erin reboot in 10 seconden… dus waar hebben we het nog over.
Stel medewerkers die er voor kiezen om hun eigen apparaat op het werk te gebruiken de keuze. Of je gebruikt jouw apparaat tegen onze voorwaarden of je gebruikt hem niet. Maak de voorwaarden goed duidelijk. De werkgever is leidend.
@Rob Tillie
De veiligheid van een BYOD is juist het grote probleem. De BYOD gaat uiteindelijk wel via WIFI het bedrijfsnetwerk op en wil graag communiceren met bedrijfsservers (email, fileserver, printserver, etcetera).
Daar liggen dus wel degelijk behoorlijke uitdagingen voor beheer. Je kan moeilijk eisen stellen aan een BYOD, laat staan iemand uitgeklede rechten op zijn BYOD geven.
Ik snap niet waarom de auteur dit verhaal zo opblaast! Het is heel simpel:
1) zorg voor consolidatie van je desktop (applicaties, settings etc)in een VDI/SBC omgeving,
2) Zorg voor toegang tot deze omgeving via een portal,
3) Stel een Access-rules in gebaseerd op AV, patch etc
Als de gebruiker zijn/haar laptop niet bijgehouden heeft dan mag ie niet inloggen en als alles bijgehouden is dan krijgt ie toegang!
Zo simple kan het zijn!
Ik wil even een andere kijk op de zaak geven. We kennen allemaal de gebruikers: als iets niet automatische gebeurd wordt uitgevoerd, dan wordt het ook overgeslagen.
Net als de Windows Update die wel opties heeft om de de reboot uit te stellen, maar niet om er vanaf te komen zonder reboot (natuurlijk zijn er altijd mensen die dit weten te omzijlen, maar waar ben je dan mee bezig?).
Als het nu zo is dat een beveiligingsupdate pas helemaal doorgevoerd is na de reboot moet de gebruiker hier net als Windows Update automatisch naartoe geleid worden. Wel uit te stellen, maar niet aan te ontkomen. Geloof mij, naar drie popup’s dat er nog gereboot moet worden, is men het zat: men reboot.
Het probleem zit hem dus in de beveiligingssoftware die hun aanpassing niet volledig doorvoeren.
Op zich is onder de noemer BYOD elke functie die “gemeenschappelijke” effecten heeft wel te bespreken. Zo zijn er smartphone’s, die hebben een kill switch. Op die manier kan de producent een reset doen wanner hij tot de conclusie kom dat hij ten onrechte licenties heeft gebruikt voorn zijn smartphone. Dat is pas een serieuze reboot.
In 2012 heb ik bij verschillende organisaties workshops georganiseerd om op basis van consensus invulling te geven aan het gedeelte ‘OWN’ van BYOD.
Die consensus maakt directies bang en drijft management en medewerkers in veel gevallen verder uit elkaar. Dat houdt volgens mij in dat een advies in het beleidsdocument om regelmatig te booten z’n effect niet zal hebben.
Het is geen holy grail, maar ik ben er van overtuigd dat organisaties meer directief mogen zijn in het afdwingen van een aantal maatregelen als het gaan om werken met eigen apparatuur. Plaats desnoods een container en beperk de toegang tot gevoelige informatie op basis van een Virtual Desktop Infrastructure.
Wat goed helpt is het wijzen op verantwoordelijkheid. Ook het personeelsdossier van de directeur of de individuele medewerker moet volgens de Wet Bescherming Persoonsgegevens naar de stand der techniek beveiligd worden. Dat wordt niet anders omdat de directeur met een iPad wilde werken.
Ik ben het eens met het feit dat het een lastig vraagstuk is. Maar er mag in mijn ogen meer directief opgetreden worden.
Laat de consensus even varen!
Kijk anders even op http://securityandersbekeken.blogspot.nl/2012_02_01_archive.html!