De remote wipe: enkel als laatste redmiddel

© CIDimport

De remote wipe: enkel als laatste redmiddel

Geplaatst: 9 mei 2012 - 06:50

Aangepast: 16 november 2022 - 09:23

Redactie ID.nl

Wanneer ik het met IT-professionals over de toenemende populariteit van consumententechnologie binnen zakelijke omgevingen heb, een fenomeen dat ook bekend is komen te staan als de [urlx=http://computerworld.nl/article/12263/wat-is-verconsumentering.html]verconsumentering[/urlx], dan duurt het niet lang voordat het onderwerp remote wipe (wissen op afstand) ter sprake komt.

Het is bijna een afvinkitem op de BYOD-checklist geworden als er gesproken wordt over mobiele apparatuur. Uiteindelijk maakt het niet uit van wie het toestel is, als de bedrijfsgeheimen maar beschermd worden tegen de ogen van derden. OS X Lion en Windows 8 introduceren remote wipe-functionaliteit voor laptop- en desktopcomputer, dus ik verwacht dat dit net zo relevant wordt voor pc's.

Het probleem is dat veel IT-afdelingen veel te graag op de remote wipe-knop drukken. Het is een serieus wapen, vergelijkbaar met een atoomboom die je af laat gaan op een iPad, iPhone, Android-apparaat, Mac of - in de nabije toekomst - Windows pc. Net als voor iedere andere krachtige tool geldt, zou je dit wapen met enige terughoudendheid moeten inzetten.

Deze vakantiefoto's hadden niet gewist hoeven worden

Een waarschuwend voorbeeld: Ken je nog het verhaal van de CEO van Mimecast, die zijn kleine dochter op zijn iPhone liet spelen? Zij toetste het wachtwoord een aantal keer opnieuw in, maar na vijf mislukte pogingen wiste de smartphone zichzelf via de geïnstalleerde MDM-software, precies zoals het BYOD-beleid van de CEO voorschreef. Poef! Weg waren de vakantiefoto's van de gehele reis die niet tussentijds naar een computer waren weggeschreven. De iCloud-dienst van Apple had het wissen van de foto's kunnen voorkomen, maar dan had het aangezet moeten worden en moest er sprake zijn van WiFi-toegang of een betaalbare 3G-verbinding. Ook kan MDM-software het gebruik van iCloud blokkeren.

Het had niet op deze manier hoeven gaan.

Exchange Server biedt niet veel flexibiliteit in de instellingen die je voor wissen op afstand kunt instellen: het staat aan of uit, ondanks dat je het aantal toegestane mislukte inlogpogingen kunt aangeven. Andere MDM-tools van derden geven je wel de mogelijkheid om bijvoorbeeld enkel de zakelijke data te wissen bij een foutieve login.

De eerste linie van beveiliging zou een sterk wachtwoord moeten behelsen, on-device versleuteling en een korte automatische afsluittijd (bijvoorbeeld twee minuten). Dat zou moeten gelden voor zowel mobiele apparaten als pc's. Het wachtwoord moet dermate ingewikkeld zijn dat het niet makkelijk te raden valt, maar het mag ook niet zo ingewikkeld zijn dat het aan de achterkant van het apparaat op een briefje moet staan of op het toetsenbord op de pc zit vastgetaped.

Remote wipe levert soms averechts effect op

Een vergrendeld en versleuteld apparaat is beschermd tegen nieuwsgierige ogen van anderen. Een vergrendeling geeft de eigenaar van het apparaat daarnaast tijd om het apparaat te gaan zoeken: vaak ligt het mobiele toestel toch onder een kussen, op een stoel of op een andere locatie. Als je direct overgaat tot het wissen op afstand zodra een gebruiker de noodklok luidt, kun je vanuit gaan dat gebruikers gerust dagen wachten met hun telefoontje naar de helpdesk. Het is beter om een goede bescherming op het toestel zelf te creëren, bijvoorbeeld met behulp van MDM-tools, Apple’s iCloud en OS X Server. Microsoft System Center biedt gelijksoortige functionaliteit voor Windows en verscheidende beveiligingsleveranciers, waaronder F-Secure en Symantec, bieden die opties voor zowel desktops als mobiele platforms, waaronder Android.

Mijn punt is dat veel organisaties niet nadenken over de andere beveiligingsmogelijkheden buiten de allesvernietigende remote wipe. Begin met het kleinere wapentuig voordat je opteert voor de atoombom.

Deel dit artikel
Voeg toe aan favorieten