Organisaties moeten bij het beveiligen van mobiele devices in het bedrijf vooral de rol van de gebruiker in het achterhoofd houden. Een overdaad aan beperkingen is dan ook niet de oplossing, want de gebruiker weet toch wel een creatieve omweg te vinden. Daarnaast moeten organisaties ook gaan beseffen dat smartphones volwaardige computers zijn. Welke invloed dit op mobile security heeft, lichten de exposanten van Infosecurity.be toe in dit artikel.
Vaak focussen organisaties bij enterprise mobility op mobile device management (mdm) of mobile application management (mam), meent Glenn De Haes, cto bij Multicap. ‘Dit zijn zeer dure oplossingen en meestal is er niet één oplossing die alle noden tegelijk invult. In dat geval moet je dus verschillende oplossingen naast elkaar installeren, wat de manageability uiteraard niet ten goed komt. En als het moeilijk beheerbaar wordt, sluipen er toch weer security-issues naar binnen’, waarschuwt hij.
Ook de experten van TrueGen raden organisaties niet aan om enkel gebruik te maken van dergelijke oplossingen. ‘Deze toepassingen zijn vooral voor het vereenvoudigen van het beheer en bieden naar het bedrijf toe beveiligingen in de vorm van mail of document encryptie op het toestel. Er is echter een tweede luik dat even belangrijk is. Dit heeft te maken met de opkomst van malware op deze platformen. Hier spreekt men dan over toepassingen rond mobile threats. Deze beoordelen de apps die geïnstalleerd worden en geven op basis hiervan een risico factor met de nodige melding aan de gebruiker. Indien er een app nog niet bekend is, wordt deze voor verdere analyse in een sandbox-omgeving geanalyseerd. Op basis van het resultaat wordt dit via een alarm doorgestuurd naar de administrator van het platform en kan er een actie worden ondernomen. Een combinatie van beide zorgt voor de veiligste resultaten.’
De gebruiker als risico
Jochen Bonne, director Azlan Belgium bij TechData, is van mening dat het gebruik van een enterprise mobility management-oplossing veel kopzorgen wegneemt wat betreft de beveiling van mobiele devices. Hij denkt echter ook dat het belangrijk is om samen met een goede enterprise mobility Management-oplossing ook de gebruikers te wijzen op de gevaren van bepaald gedrag en gebruik van hun mobiele devices. Meerdere experts delen zijn mening.
Steven Heyde van Trend Micro vindt bijvoorbeeld dat organisaties zich ten volle bewust moeten zijn van het feit dat de gebruiker nog steeds een centrale rol speelt bij het beveiligen van zakelijke mobiele devices. ‘Alle acties van gebruikers kunnen invloed hebben op de veiligheid: denk maar aan het jailbreaken van devices, het downloaden van malicious apps of apps die data lekken.’ Ook het kwijtraken van de gsm of laptop kan tot beveiligingsrisico’s leiden volgens Heyde.
Dirk Cools, countrymanager G Data Benelux, zegt dat diefstal en verlies van apparaten statistisch gezien zelfs het grootste risico is bij mobile security. ‘Dat is vervelend vanwege de materiële schade die dat oplevert, maar nog veel erger is de mogelijkheid dat bedrijfskritieke data kunnen worden gelekt.’
Martijn van Lom, general manager bij Kaspersky Lab Benelux, beaamt dat de mens de zwakste schakel is en blijft. Dit heeft volgens De Haes, ook te maken met het feit dat de gebruiker altijd weer een omweg vindt om te kunnen doen wat hij/zij wil via een eigen device, wanneer zakelijke toestellen volledig worden afgesloten. Een overdaad aan beperkingen voor de gebruiker is volgens Bonne daarom ook niet verstandig. ‘De eindgebruiker zal daardoor namelijk geen bondgenoot meer zijn voor de beoogde security-doelstellingen, maar zal andere creatieve oplossingen zoeken voor de door hem beoogde productiviteit.’
Hij adviseert dan ook om die creativiteit niet te onderschatten. ‘Zij zullen zeer snel persoonlijke devices en cloudnative applicaties gaan gebruiken voor zakelijke activiteiten. De beveiliging moet goed zitten, maar wees niet te autoritair. De gebruiker moet uw bondgenoot zijn in de beveiliging van de devices.’ Hyde vindt op zijn beurt dat bedrijven moeten blijven werken aan het bewustzijn van de gebruikers. ‘Geef mensen training en houd security op hun radar.’
Smartphone is volwaardige computer
Heyde denkt dat naast de gebruiker, de zogenaamde silo-view het grootste beveiligingsrisico bij enterprise mobility is. ‘Mobility is niet gewoon een trend: het is onze dagelijkse realiteit. Mobile devices mogen dus ook niet beschouwd worden als een aparte tak die afzonderlijk moet beveiligd worden. Binnen de huidige manier van werken is het essentieel dat er inclusieve beveiliging is: mobile device protection, web protection, pc protection: alles moet geïntegreerd beveiligd worden.’
Ook Cools vindt het spijtig dat mobile devices nog niet altijd worden gezien als volwaardige computers, die die vol staan met bedrijfsgevoelige data en die toegang verschaffen tot nog veel meer gegevens op servers en in clouds. ‘Een smartphone wordt nog vaak gezien als een mobiele telefoon en het wordt aan de werknemer zelf overgelaten om hem te beveiligen en niet te laten stelen. Dat is een grote fout.’
Juist omdat smartphones niet ‘slechts’ mobiele telefoons zijn, maar eigenlijk kleine computers waar werknemers heel veel van hun dagelijkse werkzaamheden op (kunnen) verrichten en waar dagelijks duizenden nieuwe bedreigingen bijkomen, is het volgens Cools belangrijk om de beveiliging daarvan centraal te regelen. ‘Geen it-security manager zou eraan denken om de beveiliging van de desktops op kantoor aan de medewerkers zelf over te laten. De security wordt door het bedrijf zelf verzorgd middels een netwerkbeveiliging. In die netwerkbeveiliging moeten mobiele devices ook worden opgenomen, aangezien die steeds minder onder doen voor die desktops’, aldus Cools.
Ook Heyde raadt aan dat de data en applicaties centraal en onafhankelijk van het toestel moeten worden beveiligd. ‘Als je bij beveiliging vertrekt vanuit de devices, zal je altijd achterop hinken. Er komen steeds nieuwe devices bij, verschillende types, van verschillende merken, etc. Voor bedrijven is het heel moeilijk hier vat op te krijgen en continu mee te zijn met de nieuwste hypes. Met centrale beveiliging bescherm je de organisatie aan de bron en ben je niet meer afhankelijk van de trends en nieuwe productlanceringen binnen de mobiele devices’, besluit hij.
Enterprise mobility tijdens Infosecurity.be
Enterprise mobility is een belangrijk thema tijdens Infosecurity.be 2016. Registreer nu gratis voor de beurs en bezoek deze op woensdag 23 en/of donderdag 24 maart in Brussels Expo.