It-managers hebben moeite met het oplossen van beveiligingsproblemen. Dit wordt veroorzaakt door het grote aantal persoonlijke apparaten en applicaties op het bedrijfsnetwerk en tegelijkertijd het lage aantal beveiligingsaudits dat wordt uitgevoerd op die applicaties, die door de mobiele apparaten worden benaderd. Dat blijkt uit onderzoek onder 1622 it- en beveiligingsprofessionals in organisaties met meer dan 250 medewerkers in 22 landen in Azië, Europa, het Midden-Oosten en Afrika, en Noord- en Zuid-Amerika van ict-dienstverlener Dimension Data.
Het Dimension Data Secure Enterprise Mobility Report laat zien dat 82 procent van de respondenten zegt dat er in hun organisatie gebruik wordt gemaakt van persoonlijke apparatuur (bring your own device, byod) en applicaties (bring your own software, byos) voor werkgerelateerde activiteiten. Tegelijkertijd heeft slechts 32 procent een beveiligingsaudit uitgevoerd voor de applicaties die met mobiele apparatuur worden gebruikt. Daarnaast geeft 90 procent aan dat hun organisatie niet de middelen heeft om medewerkers te ontmoedigen om met deze persoonlijke mobiele apparatuur bedrijfssystemen te benaderen, zelf als men dat zouden willen. Deze uitkomsten wijzen erop dat it-managers moeite hebben om in te spelen op beveiligingsproblemen die ontstaan door byod en de explosieve groei van het aantal persoonlijke apparaten en applicaties die verbinding zoeken met het bedrijfsnetwerk.
Gebruikersacceptatie monitoren
Volgens Matthew Gyde, global general manager security solutions bij Dimension Data, zorgt het gebrek aan inzicht in wat er zich afspeelt op het bedrijfsnetwerk voor belangrijke beveiligingsrisico’s. ‘Gebrek aan inzicht vergroot de kans op inbraken in het netwerk. Inzicht in de mobiele apparatuur op het netwerk en in de applicaties op deze devices biedt de mogelijkheid om ongeautoriseerde apparaten en nieuwe applicaties te detecteren.’ Gyde wijst er verder op dat een organisatie door inzicht in de actieve mobiele apparatuur op het netwerk ook in staat is om de gebruikersacceptatie van bedrijfsapplicaties te monitoren, die op mobiele apparaten kunnen draaien.
Uit het Dimension Data Secure Enterprise Mobility Report blijkt verder dat een beperkt aantal it-beslissers (27 procent) aangeeft dat hun organisatie goed netwerkbeleid voor mobiliteit heeft vastgesteld. Ongeveer 23 procent van de respondenten zegt dat hun organisatie medewerkers toestaat om privéapplicaties te downloaden om de productiviteit te verhogen. 29 procent van de onderzochte organisaties zegt dat niet-medewerkers en gasten in beperkte mate toegang kunnen krijgen tot hun netwerk via een persoonlijk mobiel apparaat.
Beveiligingsaudits
Hoewel het voor it-afdelingen mogelijk is om controle te houden over bedrijfsdata, bijvoorbeeld door middel van beveiligingsaudits, laat het onderzoek zien dat maar weinig bedrijven hierin actief zijn. 71 procent van de respondenten zegt dat het management van hun organisatie het gebruik van mobiele apparaten beschouwt als in potentie gevaarlijk, kostbaar en niet-bedrijfskritisch.
‘Deze negatieve benadering is vanuit beveiligingsperspectief begrijpelijk, omdat het risiconiveau onvoldoende is beoordeeld vanuit het bedrijfsbeleid’, vervolgt Gyde. ‘Dat komt vooral doordat organisaties bij het beoordelen van de impact van mobiliteit niet verder kijken dan naar de apparaten.’
Geen concessies
Tim Boyd, security solutions specialist bij Dimension Data, denkt dat het verschijnen van ongeautoriseerde, onbekende of onvoldoende beschermde apparaten op het netwerk slechts een van de risico’s vormt. ‘Naast risico’s op het gebied van informatiebeveiliging staan server- en applicatie-infrastructuren onder steeds grotere druk. Doordat organisaties niet het complete mobiliteitslandschap hebben meegenomen in hun beschouwing, schatten ze risico’s verkeerd in en zijn ze kwetsbaar voor financiële en reputatieschade. Beveiligingsexperts moeten betrokken zijn bij het ontwikkelen van een mobiele strategie. Daarbij is een audit van applicaties die mobiel worden ontsloten, cruciaal. Met het juiste beleid en de juiste maatregelen is het mogelijk een byod- en byos-aanpak en bedrijfsbrede mobiliteit te ondersteunen zonder concessies te doen aan de beveiliging.’
Professioneel en zakelijk gezien blijf ik gewoon stellen dat byod of byos, of wat men ook wil bedenken in dit opzicht, standaard gewoon een hele dikke ‘NO!’ is.
Niet de werknemer bepaald….
op welke wijze een infrastructuur moet worden opgezet en op welke wijze deze beschikbaar moet worden gemaakt. Als het goed is is dit een zakelijke overweging waarbij al lang vast staat dat absoluut niet elk ‘device’ een toegevoegde waarde heeft.
Gepush en gemier
Ik vind de artikelen die hijgerig en hyperig roeptoeteren dat dat nu eenmaal de ‘wens’ is van de werkgever en dat je er daarom niet meer aan ontkomt telkens weer een nondiscussie. Wanneer ik als CI(T)O toe zou geven aan de ‘wensen’ van de werknemer, dan zou ik nu enorme budgetten nodig hebben troep op te ruimen en achter de feiten aan te lopen hierdoor veroorzaakt.
Gestelde eisen aan byod peripherals
Ik lees weinig over de processen en procedures, do’s en don’ts van dit verhaal. Als IT professional sta ik daar gewoon op dat wanneer je iets wil gaan dien in en met IT, dat je daar van te vren gedegen over hebt nagedacht en ook al een proces en procedures hebt geformeerd.
Voorbeeld
Wil je dat je werknemer haar/zijn android mee neemt omdat dat een zakelijke toegevoede waarde heeft, laat dan zien binnen welke procedures die valt en waar die android minimaal aan moet voldoen.
Ik lees te weinig waaraan de betreffende werkgever moet voldoen en wat de regels zijn waaraan die zich moet houden en wat de sancties zijn indien die regels worden overtreden.
Vanuit de praktijk hoor ik steeds meer geluiden dat er ‘IT’ professionals met van alles en nog wat bezig zijn op het gebied van de ontwikkeling van….. maar geen enkele inzicht of finesse hebben met de noodzakelijke processen en procedures, laat staan beveiliging en het oog daarvoor.
Niet dat dit laatste mij zorgen baart natuurlijk, ik hoef namelijk de rekeningen niet te betalen als het (voorspelbaar) mis gaat. Zo eenvoudig is dat ook weer eens een keer.
Met audit zou de IT manager ByoX ook, zeker, moeten vrezen. Daarna zal er veel moeten gebeuren.. Daarnaast en dat grotendeels eens met NQ, de huidige devices zijn niet geschikt voor BYoD, omdat er geen goede scheiding mogelijk is op de noodzakelijke elementen in de gebruikers apparaten. Dat “opvangen” met beleid is direct ook de weg naar divergentie ten opzichte van het beleid. Los hiervan inkoop van “BYOD devices door de werkgever is vele malen goedkoper dan door de werknemer, omdat ze door de werkgever “pallet” gaan. Maar ja door de levenscyclus zal dat niet elkaar jaar zo zijn, wet van de remmende voorsprong dus.
Het lijkt zo langzamerhand een verhaal van Harry Potter waar beveiliging als Voldemort is, de problemen mogen niet bij naam genoemd worden. Laatste opinie noemde ik fenomeen ‘Shadow IT’ welke niet nieuw is maar rap groter wordt door BYO(x). Dat los je ook niet (structureel) op met technische maatregelen als bewustzijn van de risico’s laag blijft:
“A computing system is only as trustworthy as its weakest link and the weakest link is all too frequently human.”
Zolang we laag 8 van het OSI model niet kunnen patchen blijft het een wapenwedloop. Want even een paar jaar terug naar de discussie over Internet op de desktop, hoeveel is er geïnvesteerd in beveiligingsmaatregelen en hoe lang waren ze effectief?
Wie nog geloofd in een gepantserde voordeur met open ramen zou eens moeten kijken naar de informatiestromen die er door het bedrijfsnetwerk gaan, een netwerk wat vaak alleen hiërarchisch gescheiden is. Wat dat betreft kan ik voorgaande reacties beamen nadat problemen met de reversed proxy voort bleken te komen uit een P2P share die mee kwam met een ‘open source’ oplossing, geïnstalleerd door een iemand met domain admin rechten;-)