Het vinden van de juiste balans tussen het open zetten van het bedrijfsnetwerk voor mobiele werkers kan voor de ict-afdeling een hoofdpijndossier worden. Maar dit is te voorkomen. De Computable-experts geven tips wat van belang is bij het beheren van en toegang geven tot de bedrijfskritische applicaties en de infrastructuren waarin deze zich bevinden.
Er zijn heel wat zaken waar organisaties aan moeten denken wanneer zij bedrijfskritische applicaties toegankelijk maken om mobiel werken mogelijk te maken. Tenminste als zij willen voorkomen dat hun netwerk helemaal open staat. Bijvoorbeeld door van tevoren te bepalen hoe streng de authenticatie moet zijn ten opzichte van de data die beschermd moet worden of het monitoren van beheeracties aan de hand van logging.
Maarten Ossevoort, senior business consultant bij Telindus:
‘Om ervoor te zorgen dat je de juiste balans bewaart tussen het mogelijk maken van mobiel werken en de veiligheid van het netwerk, zijn er een aantal stappen die je moet volgen. Ten eerste moet je eraan denken dat je het netwerk alleen open zet voor de doelgroep die de applicatie gaat gebruiken en dat deze doelgroep alleen die applicatie kan bereiken die openstaat. Met dit uitgangspunt is het beveiligingsscenario gedefinieerd en dient een architectuur gemaakt te worden die dit realiseert. Naast de infrastructuur is het mappen van de toegangsrechten voor de eindgebruikers een belangrijk aandachtspunt. Wie heeft recht op toegang tot welke applicatie?’
Marcel Bosgra, Lead Architect bij ion-ip:
‘Om de juiste balans te creëren tussen beveiliging en optimaal mobiel werken, is het cruciaal om de context van de gebruiker te bepalen. Deze context omvat zaken als het type device dat wordt gebruikt – een laptop van de zaak of een privé tablet, de locatie van de gebruiker -, werkt hij thuis, in een internetcafé, onderweg of op de zaak, en de rechten van deze persoon. Op basis van een aantal beveiligingsuitgangspunten kan met behulp van deze context vervolgens eenvoudig geautomatiseerd een beveiligingspolicy worden geforceerd. Randvoorwaarde is wel is dat er één centraal toegangspunt is, een zogenaamd point of control is, waar je deze beveiligingspolicies kunt afdwingen.’
Arjan Veenboer, WLAN sales manager Benelux bij Juniper Networks:
‘Belangrijk voor het beantwoorden van dit vraagstuk is om je als organisatie te realiseren dat het steeds moeilijker wordt te definiëren waar het netwerk begint en waar dit stopt. Met de explosieve groei van mobiele en draadloze apparatuur is dit namelijk meestal niet meer het fysieke bedrijfspand. De vraag om overal vandaan te kunnen werken is er dus een waar steeds meer organisaties mee te maken krijgen. Mobiele devices zullen alleen nog maar een grotere vlucht nemen, en daarbij hoort dan ook de uitbreiding van een draadloos netwerk om dit met de juiste gebruikerservaring te kunnen faciliteren.’
‘Belangrijke aspecten hierin zijn hoe je zorg draagt voor de integriteit van de communicatie, voor apps, maar ook email, terwijl gebruik wordt gemaakt van bedrade dan wel draadloze netwerken die soms zelfs openlijk beschikbare netwerken zijn waar het risico bestaat dat anderen kunnen meeluisteren. Het antwoord op deze vraag is beschikbaar in de vorm van een verbinding waartussen het mobiele device en de centrale bedrijfsomgeving veilige communicatie kan plaatsvinden. Dit over een bedraad, draadloos, een eigen, of een niet eigen vertrouwd medium. Deze oplossingen stellen de klant in staat toegang te limiteren tot waar de gebruiker recht toe heeft.’
Paul Snoep, senior sonsultant bij Yaworks.nl:
‘De moderne tijd maakt het mogelijk dat je altijd en overal verbinding kunt maken, ook met het bedrijfsnetwerk. Echter, hoe waarborg je de veiligheid van de eigen gegevens? Dit is naar mijn mening het beste te doen door een vdi-achtige oplossing in te zetten: alleen de scherm- en of toetsenbordinformatie gaat over de beveiligde verbinding; de gegevens zelf blijven binnen het bedrijfsnetwerk. Om het nog veiliger te maken, kun je zorgen voor een 2-factor authenticatie voordat je toegang hebt. Zorg er dan wel voor dat je de toegang – en eventuele inlogcertificaten – vanaf een verdwenen apparaat makkelijk kunt blokkeren of verwijderen.’
Edwin Beekman, mission critical engineer bij Schuberg Philis:
‘Bij het beheren van bedrijfskritische applicaties en de infrastructuren waarin deze zich bevinden zijn verschillende punten belangrijk. Bij het beheer van de mobiele apparaten dat zij bekend zijn en gecontroleerd worden bij toegang, bijvoorbeeld door middel van door de organisatie uitgegeven machinecertificaten. Ook moeten zij voorzien zijn van de juiste operating systeem updates en antivirussoftware en dubbele authenticatie voor login, bijvoorbeeld via een token, en harddisk encryptie. Daarnaast moet de beheeringang een single entrance zijn als stepping stone naar de betreffende bedrijfskritische applicatie en infrastructuur, beschikken over bijvoorbeeld een vpn-login op basis van dubbele authenticatie voor login met bijvoorbeeld een token of certificaat en moet er een centraal systeem zijn waardoor duidelijk is wie waar en wanneer inlogt.’
‘Voor de bedrijfskritische applicaties en infrastructuur geldt eigenlijk hetzelfde: zorg voor login op basis van dubbele authenticatie, single entrance op een bastion host en centrale systeem-logging voor audit trail. Geef vanaf de bastion host toegang tot de rest van de bedrijfskritische applicaties en infrastructuur en zorg ook hier weer voor een centraal logging-systeem. Want in alle gevallen geldt dat het monitoren van beheeracties aan de hand van logging en events een must is.’
Rob Wilts algemeen directeur Nederland bij Ciena:b
‘Het is een gegeven dat steeds meer Nederlandse bedrijven hun bedrijfskritische applicaties in de cloud hebben staan. Uit een onderzoek van Vanson Bourne in opdracht van Ciena blijkt dat 64 procent van de bedrijven in Nederland IT-diensten hebben uitbesteed aan cloud service providers. Organisaties die mobiel werken toestaan moeten nu dus ook gaan kijken naar de netwerkconnectiviteit die mobiele werknemers nodig hebben om deze bedrijfskritische cloud-applicaties effectief te kunnen gebruiken.’
‘Bedrijven dienen daarvoor in beeld te hebben hoeveel bandbreedte er nodig is tussen de vestigingen, dus het personeel dat vanuit een vaste locatie werkt, en cloud-applicaties, en tussen de cloud-applicaties en de mobiele werknemers. Bij toegang tot bedrijfskritische cloud-applicaties is behalve bandbreedte ook van belang dat de snelheid en prioriteitstelling van netwerkverkeer is afgestemd op de specifieke behoefte van het mobiele personeel. Voor de mobiele werknemers die gebruik maken van bedrijfskritische applicaties in de cloud bepaalt het netwerk vaak hoe effectief en snel ze kunnen werken. In tegenstelling tot netwerkdiensten, zijn in de cloud de computerkracht, datacapaciteit en functionaliteit immers geen beperkende factoren meer. Mijn advies is dus: kijk goed welke netwerkbehoefte – bandbreedte, snelheid en prioriteitstelling – je mobiele werknemers hebben om productief te blijven werken en stem de inkoop en het inrichten van de netwerkconnectiviteit daarop af.’