Veel bedrijven realiseren zich nog niet hoe eenvoudig gevoelige bedrijfsdata op straat kan komen te liggen. Vaak is er wel geïnvesteerd in het beveiligen van het bedrijfsnetwerk en hangen de computers allemaal netjes in een domein met een beveiligingspolicy en kan de systeembeheerder op afstand deze systemen beheren en in een ideaal geval vergrendelen of wissen. Wat veel bedrijven echter vergeten is dat een smartphone ook een groot risico met zich meebrengt en daarom is het ook goed om hiervoor een beveiligingsoplossing te hebben.
Uit onderzoek blijkt dat veel bedrijven in Nederland nog helemaal niks doen als het aankomt op het beveiligen van smartphones en de data die daarop staat. Daarnaast zijn er ook bedrijven die een oplossing hebben uitgerold, maar deze niet goed geconfigureerd of bijgewerkt hebben. Uiteindelijk is het voor een traditionele systeembeheerder ook niet meer zo makkelijk om alles bij te houden. Het bedrijfsnetwerk moet goed worden beheerd en beveiligd, tegelijk hebben ze nu te maken met diensten en data die verplaatsen naar de cloud en ondertussen loopt ook nog iedereen met een smartphone vol bedrijfsgegevens rond.
Smartphone security
Een van de eenvoudigste manieren waarop bedrijfsdata naar buitenkomt is via smartphones. Werknemers hebben vaak een smartphone van het werk en daarop komen e-mails binnen, staan allerlei gevoelige Word- en Excel-bestanden van het bedrijf en worden ook belangrijke documenten mee gefotografeerd. Tussendoor worden de smartphones vaak ook privé gebruikt, staan er allerlei spelletjes op, maakt men veelvuldig gebruik van de camera en worden via Dropbox nog even de familiefoto’s gedeeld.
Uiteindelijk zie je dat er veel datastromen door elkaar heen lopen en dat kan grote gevolgen hebben. Wanneer er bijvoorbeeld een malafide-app wordt geïnstalleerd kan het zijn dat deze ook toegang heeft tot zakelijke data. Of dat werknemers zelf data gaan delen via persoonlijke Dropbox-accounts. Daarnaast zie je nog steeds dat mensen hun toestel niet vergrendelen. Met de komst van vingerafdrukscanners is dat wel beter geworden, maar als werknemers hun toestel verliezen of het toestel wordt gestolen, dan is dat een groot potentieel datalek. Dit is onwenselijk en vraagt natuurlijk om een oplossing en die is er ook, met een mooi woord heet dat Mobile Device Management of in het kort MDM. Mobile Device Management biedt de mogelijkheid om alle toestellen binnen het bedrijf te beheren en afhankelijk van de gekozen oplossing en type smartphone kunnen die mogelijkheden nog veel breder zijn.
Tot hier en niet verder
Een MDM is er in vele soorten en maten. Zo zijn er oplossingen voor kleinere bedrijven tot laten we zeggen 30 werknemers, maar ook oplossingen voor honderden of duizenden werknemers. In de basis is een MDM echter exact hetzelfde, het biedt de mogelijkheid om smartphones op afstand te beheren en een beveiligingspolicy in te stellen. Zo kan bijvoorbeeld worden ingesteld dat een smartphone altijd moet worden voorzien van een pincode, niet geheel onbelangrijk. Daarnaast kan worden ingesteld dat er op Android geen apps mogen worden geïnstalleerd uit alternatieve applicatiewinkels, wat zorgt voor een extra stukje beveiliging. Verder kunnen bepaalde apps worden geblokkeerd, waardoor het onmogelijk is om daar gebruik van te maken. Zo zie je in het buitenland dat veel bedrijven ervoor kiezen om Facebook te blokkeren op zakelijke smartphones. In Nederland behoort Dropbox tot de meest geblokkeerde applicaties onder werkgevers.
Hoe je Mobile Device Management inricht is mede afhankelijk van het beleid. Is er gekozen voor een Bring Your Own Device (BYOD) of een Company Owned Device (COD) beleid? Bij een BYOD-beleid heb je te maken met een tiental verschillende smartphonemerken en die kunnen onafhankelijk van elkaar een andere implementatie hebben waardoor de mogelijkheden van beveiligen verschillen. Zo heeft Apple binnen iOS een eigen lijst van policies die kunnen worden ingesteld ter beveiliging van het toestel. Hetzelfde geldt voor Android for Work en Samsung Knox, twee oplossingen die ook op een flink aantal toestellen zijn te vinden en allebei verschillende features met zich meebrengen.
Beleid en oplossing
Bij een BYOD-beleid kun je minder beperkingen opleggen dan bij een COD-policy, want bijvoorbeeld apps gaan verbieden op privé-toestellen is vragen om discussie op de werkvloer. Daarom zie je bij bedrijven met een BYOD-beleid dat ze vaak een aantal zakelijke apps uitrollen die in een beveiligde container zijn geplaatst. Bijvoorbeeld de e-mail-app, waarbij het niet mogelijk is om screenshots te maken en bijlages niet kunnen worden opslagen op het toestel en de data dus ook niet toegankelijk is voor andere apps op het toestel. Daarnaast kan een pincode worden vereist voordat er toegang wordt verstrekt tot de applicatie. Verder kan een bedrijf deze zakelijke apps op afstand wissen en toegang tot bedrijfsdata intrekken. Eventueel kan ook het toestel op afstand worden vergrendeld of gewist, maar ook dat is niet verstandig bij een BYOD-beleid.
Als er is gekozen voor een COD-beleid zijn de mogelijkheden wat breder. Dan is het namelijk wel mogelijk om allerlei apps en websites te blokkeren en kunnen er hogere eisen worden gesteld aan de beveiliging van het toestel, bijvoorbeeld minimaal zes cijfers voor een pincode of een vingerafdruk. Daarom zie je dat veel bedrijven vaak toch kiezen voor een COD-beleid omdat er net wat meer mogelijkheden zijn.
MDM-oplossingen
Nu is er een grote keuze aan MDM-oplossingen en voor grote bedrijven zijn de eisen vaak zeer uiteenlopend. Daarom gaan ze in gesprek met diverse MDM-leveranciers om vervolgens de beste oplossing voor hun situatie te kiezen. Wanneer er beperkte tijd en kennis is, zoals in het MKB, is er de wens om zoiets snel en eenvoudig te kunnen regelen, dat is vaak ook wel mogelijk. De makkelijkste weg is via de telecomprovider, ook die vinden Mobile Security belangrijk, zo heeft Vodafone een grote campagne opgezet rondom dit onderwerp en bieden ze sinds kort ook een eigen MDM-oplossing aan tegen een kleine meerprijs op de abonnementen die via het web eenvoudig zijn te configureren.
Vodafone heeft een aantal partners gevonden waarmee het samenwerkt om zijn klanten te voorzien van MDM-oplossingen. Het werkt onder meer samen met AirWatch, Lookout, Microsoft en MobileIron. Afhankelijk van het aantal werknemers en de behoefte van de klant kan Vodafone het beste pakket adviseren. Dit kan je zelf al snel en eenvoudig doen op mobilesecuritycheck.nl. Kleinere bedrijven zullen vaak uitkomen bij VDSM, een dienst die geleverd wordt door AirWatch. Dit is een zeer betaalbare oplossing waarmee bedrijven alle smartphones in het bedrijf eenvoudig via een webportal kunnen beheren. Toestellen kunnen op afstand worden geconfigureerd, eventuele gestolen of zoekgeraakte toestellen kunnen worden getraceerd of eventueel gewist. Verder kunnen werknemers worden verplicht een beveiligde e-mailapplicatie te gebruiken en kan de installatie van apps worden beperkt. Voor het midden- en grootbedrijf heeft Vodafone een ruimer aanbod en op basis van de eisen van het bedrijf kan de beste oplossing worden geadviseerd. Mocht je bedrijf nog geen MDM-oplossing gebruiken, dan is het echt hoog tijd om dit onder de aandacht te brengen.