De mobiele idioterie
Mijn iPad is een fantastisch apparaat, maar ik houd eigenlijk helemaal niet van het idee van tablets in het bedrijfsnetwerk.
Aangezien mijn iPad vederlicht is, kan ik hem met gemak overal mee naartoe nemen. Het apparaat start zichzelf op binnen een minuut, terwijl het bij software opstarten een kwestie van seconden is. Als ik me verveel, speel ik er spellen op, kijk ik films of luister ik ermee naar muziek. Het nadeel: als ik niet mobiel werk, blijf ik liever een desktop gebruiken. Bepaalde applicaties werken niet goed op een iPad, ik houd van een groot scherm en een los fysiek toetsenbord.
Maar die nadelen zijn niet de reden dat ik een hekel aan de iPad heb. Het zal niet al te lang duren voordat Apple die tekortkomingen op enige manier weet op te lossen. En als Apple het niet doet, is er wel een ander bedrijf dat met een betere tablet zal komen.
Wat ik wel haat is dat ik met de iPad het internet op kan, mijn e-mail met de mailservers van het bedrijf kan synchroniseren en zelfs toegang kan krijgen tot het interne netwerk.
Beveiliging steeds ingewikkelder klus
Dat laatste is nog steeds niet gemakkelijk, maar Apple en andere leveranciers werken er hard aan om het te vereenvoudigen. Helaas wil ook mijn CIO het vergemakkelijken. Hij wil dat medewerkers overal en altijd vanaf ieder denkbaar mobiel apparaat toegang kunnen krijgen, zodat ze nog efficiënter kunnen gaan werken. Dat is niet iets waar ik als security manager met smart op zit te wachten.
Werknemers kunnen momenteel via drie manieren mobiele apparaten aan ons netwerk te koppelen. Een is via een proxy om de synchronisatie van mail te bewerkstelligen. De tweede manier verloopt via onze draadloze access points, waarmee de apparaten onderdeel worden van het interne netwerk. Tot slot kunnen medewerkers via VPN van buiten het netwerk naar het netwerk verbinden. Binnenkort zal er een vierde optie voor mobiele apparaten met een Ethernet-poort bijkomen en kunnen de apparaten via iedere LAN-poort in ons bedrijf ingeplugd worden en op het netwerk komen.
Netwerk wordt complexer
Beschermende maatregelen, die uiteraard nodig zijn, zijn onder andere Network Access Control (NAC), virtuele LAN segmentatie en firewalls. Ze kunnen worden gebruikt om op enige manier netwerktoegang te beperken, maar ze zijn niet plug-and-play en vereisen behoorlijk wat tijd en geld qua deployment en change management. Ons netwerk zit nog niet op het gewenste niveau, wat we als wereldwijd opererend bedrijf wel zouden wensen.
We zijn nog bezig met Mobile Device Management. Met MDM kun je ieder apparaat op het netwerk detecteren en policies stellen (en handhaven) waaraan de mobiele apparaten dienen te voldoen. Om dit effectief te doen, moet je alle eerder genoemde verbindingsmogelijkheden monitoren. Voorbeeld: Als je meer controle wilt uitoefenen op de synchronisatie via de ActiveSync proxy, moet je de MDM-infrastructuur voor de ActiveSync plaatsen zodat alle verbindingen onderschept kunnen worden. Daarna wordt medewerkers die willen synchroniseren met ActiveSync verplicht de MDM-client te installeren.
MDM in praktijk niet 100% uitvoerbaar
Ik heb al beleid voor mobiele beveiliging geschreven, waaronder applicatierestricties, time-outs van apparaten, wachtwoordbeveiliging, de mogelijkheid om apparaten op afstand te wissen en een automatische schoonveegactie na zes mislukte inlogpogingen. De meeste MDM-platforms staan een selectieve wipe toe, waarmee het mogelijk wordt om alleen de zakelijke data te wissen, terwijl de persoonlijke data mag blijven staan. De tools bieden ook de mogelijkheid om de locatie van apparaten te volgen en op te slaan.
Helaas ondersteunen sommige apparaten niet alle beveiligingsmogelijkheden, dus bevat het beleid ook een “eigen verantwoordelijkheidsclausule" voor werknemers, wat bijvoorbeeld vertrekkende medewerkers verplicht om zelf hun bedrijfsdata van hun mobiele apparaten te wissen.
Omdat ik zelf heb al heb toegegeven aan de drang om mijn iPad op het bedrijfsnetwerk aan te sluiten, weet ik dat collega's snel willen volgen. Om aan hun wensen te kunnen voldoen, weet ik dat ik snel aan de slag moet met de onderhandelingen met MDM-leveranciers (zowel SaaS als on-premises) en we snel een proof-of-concept moeten kunnen implementeren. Er is nog veel werk aan de winkel.
Deze blog is geschreven door een security manager, wiens echte naam en werkgever bij de redactie bekend zijn. Wil je met hem in contact komen, stuur dan een mailtje naar zijn alias mathias_thurman@yahoo.com.