Medewerkers worden mobieler, maar daarmee mogen de bedrijfsgegevens niet op straat belanden. Aan welke securityzaken moet gedacht worden bij het inzetten van een mobiliteitsstrategie? De Computable-experts geven tips hoe zakelijke data het beste te beveiligen is en welke investering dit van het bedrijf dit vraagt.
In 2012 was er een spectaculaire toename in de hoeveelheid malware voor het mobiele platform. Malware voor het Android-platform groeide met maar liefst 650 procent. ‘Op het beveiligen van de mobiele telefoon en onze gegenereerde informatie ligt niet de nadruk’, zegt Computable-expert Nienke Ryan, managing director bij Eset Nod32. ‘Veel gebruikers van smartphones hebben geen antivirus geïnstalleerd, hebben Bluetooth en Wi-Fi altijd aan staan en bewaren privacygevoelige informatie en documenten op de telefoon. En iedere ingang met een netwerk creëert weer een nieuwe mogelijkheid voor de cybercrimineel.’
Volgens Ryan zouden bedrijven die mobiel werken altijd over vpn moeten werken en zouden alle apparaten, laptops en mobiele telefoons daarom op afstand te wipen moeten zijn, verplicht een pincode hebben en zichzelf wissen na een x aantal foute logins. Ryan: ‘Voor gebruikers die mobiel werken is het maken van back-ups van de data op mobiele apparaten een must. Ook het installeren van opsporingssoftware, die helpt in geval van diefstal, is verstandig.’ Bewustwording van de medewerkers is hierbij essentieel.
Maak medewerkers bewust
Zorg daarom dat security bij de medewerkers tussen de oren zit. ‘De medewerker is cruciaal bij beveiliging’, zegt ook expert Joost Lucassen, consultant bij Expanding Visions. ‘Alleen als deze zich bewust is van de risico’s kan de beveiliging goed worden geregeld. De organisatie zal de medewerker hier echter bij moeten helpen. Met een duidelijke gebruikersovereenkomst, met duidelijke informatie wat te doen bij verlies of als apparatuur niet wordt gebruikt. Ook moet er iemand binnen de organisatie als aanspreekpunt dienen zodat medewerkers weten bij wie ze moeten zijn.’
Zorg voor beveiligingsbeleid
Gert-Jo van der Heijden, ict-servicemanager bij Yacht, denkt dat het opstellen van een duidelijk securitybeleid hierbij helpt. ‘Het is belangrijk om duidelijk te maken hoe de organisatie met digitale informatie om moet gaan’, zegt hij. Dit beleid moet volgens hem alles behalve technisch georiënteerd zijn. ‘Veel zal gericht zijn op hoe de organisatie wil zorgen dat bijvoorbeeld getekende contracten of orders digitaal op de juiste plek worden bewaard. De belangrijkste rol voor de ict-organisatie zal daarom in mijn beleving liggen in het uitdragen van dit beleid en het toezien op dat hierop gecontroleerd wordt’, legt hij uit.
Regel een mdm-tool
Een mobile device management (mdm)-tool is volgens de experts cruciaal om smartphones en tablets veilig te kunnen gebruiken. ‘Regel dus zelf een mdm-tool of neem deze af als dienst’, zegt Lucassen. ‘Dit kost een paar euro per device per maand maar dan is het wel goed geregeld.’
De kosten van dataverlies, imagoschade of openbaar worden van gegevens zijn vaak veel hoger. Lucassen: ‘Een mdm-tool dwingt medewerkers om veiliger om te springen met apparaten, omdat zaken zoals bijvoorbeeld wachtwoordbeleid worden afgedwongen en kunnen worden gemonitord, waardoor het mogelijk is medewerkers aan te spreken op eventuele misstappen.’
Beveilig apps
Maar alleen een mdm-oplossing is niet genoeg, vindt expert Alex Bausch, ceo van Veliq. ‘Steeds meer zakelijke softwaretoepassingen worden via intuïtief te gebruiken apps toegankelijk. Zowel door grote erp-leveranciers als SAP, die een aantal processtappen in handige apps verpakt, als bedrijven die eigen apps laten ontwikkelen en natuurlijk ook het veelgebruikte internetbankieren. Gezien het snelgroeiend smartphone- en tabletgebruik gaat deze trend een grote invloed uitoefenen op de beveiliging van bedrijfssystemen en -informatie. Daardoor schieten mdm-oplossingen, die veel organisaties momenteel gebruiken, in toenemende mate tekort. De komende jaren worden apps de belangrijkste toegangsdeur tot allerlei bedrijfssystemen en -informatie, waarvoor een andere of extra vorm van beveiliging nodig is.’
In plaats van apparatuur dicht te timmeren en daarmee mobiel werken te beperken, zal het accent volgens Bausch gaan verschuiven naar het stimuleren van mobiel werken met behulp van app-beveiliging en gebruikersidentificatie. ‘Onafhankelijk van de gebruikte smartphone en tablet, die mensen in dat geval gerust zelf mogen meebrengen’, zegt hij.
Beveiligde access points
Mark Slooff, business development manager bij OutSystems, denkt dat het helpt om extra security in te bouwen door devices alleen via bepaalde access points benaderbaar te laten maken. ‘Zo is het bijvoorbeeld mogelijk om een ziekenhuismedewerker via een tablet direct mobiel toegang te geven tot alle patiëntgegevens wanneer dit nodig is, maar zodra deze tablet een bepaalde Wi-Fi-zone verlaat of fysiek het ziekenhuisgebouw verlaat, de tablet geen mogelijkheid meer heeft om verbinding te maken en gegevens op te halen. Deze techniek wordt verzorgd door telecomproviders die op basis van geolocation bepalen waar de telefoon zich fysiek bevindt, vanaf een vooraf bepaald basispunt. Ben je eenmaal buiten, stopt toegang tot het centrale systeem. Op deze manier ben je wel mobiel en heb je alle relevante gegevens direct voor handen en kun je toch security op verschillende manieren aanbrengen’, legt Slooff uit. Hij verwacht dan ook een sterke toename van deze vorm van beveiliging in de komende jaren.
