Contact

Blog Communicatie & samenwerking Identiteit & veiligheid


In het eerste deel van deze blogserie, die ingaat op het beheren van bedrijfsdata op mobiele apparaten, heb ik aandacht besteed aan nut en noodzaak van mobility management. In dit tweede deel beschrijf ik een aantal oplossingen die organisaties eenvoudig kunnen implementeren.

Om maar weer eens bij het begin te beginnen: de maatregelen die later in dit blog beschreven worden komen niet zomaar uit de lucht vallen. Om deze te implementeren en te borgen zijn softwareoplossingen noodzakelijk die hierbij ondersteuning bieden. Alle opties (en nog veel meer) zijn beschikbaar wanneer gebruik wordt gemaakt van Windows 10 in combinatie met Microsoft Enterprise Mobility + Security (EMS). EMS is ook geschikt voor iOS en Android.

Waarom ik de voorkeur geef aan Microsoft EMS? Dit product is geen pointsolution. EMS biedt organisaties een brede set aan functionaliteiten die stapsgewijs uitgebreid kunnen worden tot een complexer geheel van beveiligingsmaatregelen. Juist aan dit laatste hecht ik grote waarde. Implementaties van oplossingen als EMS worden te vaak onnodig moeilijk gemaakt. Complete HRM-afdelingen worden opgetrommeld om een beleid tot in de puntjes uit te schrijven, om vervolgens te concluderen dat het in de praktijk toch nét even anders werkt.

Begrijp mij goed, ik ben absoluut een voorstander van het betrekken van de rest van de organisatie bij beveiligingskwesties. Sterker nog, beveiliging van bedrijfsgegevens kan en mag niet alleen een IT feestje zijn. Waar voor gewaakt moet worden is dat dergelijke projecten niet vooraf dusdanig complex worden gemaakt dat de implementatie geen kans van slagen heeft.

Volgens mij verkrijgen organisaties het beste controle over mobiele bedrijfsgegevens door klein te beginnen. Niet alleen kunnen een paar laagdrempelige maatregelen al voldoende veiligheid bieden. Het zorgvuldig selecteren van de juiste oplossingen vereenvoudigt de implementatie, waardoor de kans tot slagen toeneemt. In een later stadium kan dan in eigen tempo worden uitgebreid naar een complexer geheel van beveiliging.

Eenmalig aanmelden

Mede door de enorme populariteit van Office 365 beschikken veel organisaties al over een gesynchroniseerde Azure Active Directory. Windows 10 apparaten kunnen zich via het internet rechtstreeks aanmelden bij deze directory. Hierdoor hoeven gebruikers zich slechts eenmalig aan te melden bij Windows. Na aanmelding zorgen Windows 10 en Azure Active Directory voor een Single Sign On ervaring.

Eenmalig aanmelden werkt niet alleen veel prettiger voor gebruikers, het is ook nog eens veel veiliger. Gebruikersgegevens die centraal zijn opgeslagen zijn nu eenmaal eenvoudiger te beveiligen dan gebruikersgegevens op verschillende locaties. De kans dat een gebruiker veel verschillende gebruikersnamen en wachtwoorden onthoudt is bijzonder klein. Bovendien ontstaat zo het risico dat wachtwoorden worden opgeslagen in tekstbestanden of als Post-it aan de monitor worden geplakt.

Multi-Factor Authenticatie (MFA)

Op het moment dat eenmalig aanmelden is geïmplementeerd kan dit vaak relatief eenvoudig worden uitgebreid met Multi-Factor Authenticatie. Multi-Factor Authenticatie kan een extra verificatiestap afdwingen voor applicaties. Om de gebruikersvriendelijkheid te bewaren wordt dit veelal door middel van een app op de mobiele telefoon afgehandeld. Er kan gekozen worden welke applicaties wel of niet onderhevig zijn aan deze vorm van authenticatie. Ook de fysieke locatie kan gebruikt worden om wel of juist geen extra verificatie af dwingen. Bijvoorbeeld op kantoor geen extra stap maar buiten het kantoorpand wel.

Afdwingen van veilig aanmelden

Dat een bedrijfslaptop vergrendeld is (door middel van een wachtwoord, vingerafdruk, pincode e.d.), is voor veel mensen niet meer dan logisch. Toch is het met de beveiliging van mobiele telefoons een stuk minder goed gesteld. Veel telefoons zijn te ontgrendelen zonder verificatie, terwijl Dropbox (of een vergelijkbaar alternatief) en e-mail wel bedrijfsinformatie naar het lokale apparaat synchroniseren.

Om bovenstaande reden is het verstandig op alle apparaten waar bedrijfsinformatie naar gesynchroniseerd wordt een veilige manier van aanmelden af te dwingen. Op dat moment is de bedrijfsinformatie niet langer vrij toegankelijk wanneer het apparaat onbeheer wordt achtergelaten of in het geval van diefstal of verlies.

Toezien op encryptie

Vergrendeling voorkomt dat informatie op een snelle manier aan een apparaat onttrokken kan worden. Veel vergrendelmethodes zijn echter relatief eenvoudig te omzeilen. Vaak wordt het opslagmedium uit het apparaat verwijderd en via een ander systeem aangesproken om vervolgens gegevens te onttrekken. Encryptie voegt extra beveiliging toe door gegevens te versleutelen. De informatie op apparaten waar encryptie op is toegepast is onbruikbaar zonder de bijhorende sleutel.

Monitoren op beveiliging updates

De recente WannaCry ransomware attack heeft het belang van het tijdig updaten van software nog maar eens aangetoond. Systemen met verouderde of niet bijgewerkte software zijn bijzonder gevoelig voor cyberaanvallen. Toezien op het bijwerken van (beveiligings)updates kan een hoop ellende voorkomen.

Apparaat wissen

Device whiping is het op afstand wissen van gegevens van apparaten. Indien een apparaat verloren of ontvreemd is, kunnen de gegevens van het apparaat (selectief) verwijderd worden.

Zoek je meer informatie over EMS en wat het voor jouw organisatie kan betekenen? Download dan nu onze EMS whitepaper