Whitepaper. Waar het écht om gaat bij BYOD Walter Robijns, Principal Consultant

Transcriptie

1 Whitepaper Waar het écht om gaat bij BYOD Walter Robijns, Principal Consultant

2 Bring Your Own Device (BYOD) is het fenomeen waar bedrijfsmedewerkers niet-bedrijfs-it inbrengen en gebruiken binnen de organisatie. Gebruikers verwachten vervolgens dat deze IT verbonden kan worden met alle systemen zonder duidelijke eindverantwoordelijkheid en overzicht.

3 Inleiding In 2018 zal 70% van de mobiele professionals zijn werk verrichten op een eigen, persoonlijk, smart device., - Gartner.com Het lijkt zo mooi. Laat de medewerker eigen devices meenemen, geef ze toegang tot de bedrijfsomgeving, en niet alleen de IT investering gaat omlaag maar de medewerker is ook nog geneigd om ook in privé tijd werk te verzetten. Werk verzetten: door de medewerker, met het device van de medewerker, op het favoriete besturingssysteem van de medewerker, met (vaak) door de medewerker zelf aangeschaft e applicati s, en onder beheer van de medewerker. De ideale wereld voor elk bedrijf. Tegelijkertijd is het de nachtmerrie van elke IT beheerder. Waarom? Gatenkaas! Dat is wat BYOD maakt van de IT infrastructuur en het IT beleid van bedrijven die eigen devices op hun bedrijfsomgeving toelaten. Doelstelling Het doel van deze whitepaper is om beslissers en beïnvloeders die te maken hebben met de Bring Your Own problematiek te helpen in de volledige beeldvorming omtrent de data beveiliging bij Bring Your Own Devices. Het gaat om de bewustwording dat het gaat om de data beveiliging, niet om de controle toe te eigenen van apparaten die niet van het bedrijf zelf zijn. Het is een transitie van de klassieke beveiligingsmethodieken naar de methodieken die nodig zijn in de wereld van Cloud en Bring Your Own Devices.

4 1. Wie managed wat en hoe bij BYOD in een bedrijfsomgeving? Alhoewel de focus intuïtief gelegd wordt op het `Device, zijn voor de IT beheerder de onderliggende vragen bij BYOD belangrijker: Wie heeft de controle? Wie is de eigenaar en is dus verantwoordelijk? Wat staan we toe en wat niet? Hoe beveiligen we het intellectueel bedrijfseigendom? Wat zijn onze procedures? 1.1. Controle: is dat waar het om gaat? Het concept van een Bring Your Own Device gaat tegen iedere vezel van een IT-beheerder in. Al sinds het begin van het IT tijdperk willen we de gebruiker zo min mogelijk vrijheid geven. De stelling was namelijk: Een gebruiker kan niet omgaan met IT apparaten en maakt fouten die een beheerder niet zou maken. Dus beheert de IT afdeling het apparaat, inclusief alle software die er op staat. Hiermee zorgen we er voor dat de gebruiker alleen maar applicaties mag gebruiken en niets meer. Het logisch gevolg van deze resultaten uit het verleden is dat alle IT-aandacht gericht is op het beheren van de werkstations (Devices). De gedachtegang over IT beveiliging was altijd: Als je alle werkstations op een netwerk onder controle hebt, dan heb je de omgeving onder controle. Het nieuwe fenomeen van Bring Your Own Device gooit alleen roet in deze gedachtegang. Heb je een Own device wel volledig onder controle? Is het volledig onder controle krijgen van het apparaat wel de weg tot de beveiliging van de gehele IT omgeving? Wat is nu eigenlijk het elementaire requirement waar het allemaal om draait? Het elementaire IT requirement was altijd en is nog steeds: Het afschermen van data voor onbevoegden.

5 2. Klassieke beveiliging toepassen op BYOD is een mijnenveld Als je toch de klassieke manier van IT security wilt toepassen op Own Devices dan wil je controle hebben over alle beveiligingselementen van een apparaat: De Virusscanner Drive encryptie Policies die users beperken Complexe Password regels De gecontroleerde installatie van Bedrijfssoftware Een Own Device is echter in vele aspecten verschillend van een volledig beheerd werkstation waardoor een aantal beheervalkuilen ontstaan: Valkuil 1: Software beheer Van ipad tot Windows 8 Tablet, het BYOD kan theoretisch van alles zijn. Wil je software beheren en controleren op BYOD dan heb je distributiemechanismes nodig voor alle mogelijke platformen. Hoewel BYOD in de praktijk vaak neerkomt op Bring Your Own Apple (BYOA) mag je Android en Windows 8 tablets ook niet uitvlakken, tenzij je het beleid hierop aanpast door deze verschillende versies te beperken. Maar dit is weer in strijd is met de Bring Your Own gedachte. Valkuil 2: Local Administrator De IT-beheerder is niet de lokale administrator van het apparaat maar dat is de gebruiker zelf. Hierdoor kan de gebruiker alles weer verwijderen of verminken, bewust of per ongeluk. Je zou theoretisch deze rechten kunnen ontnemen maar dan komt de vraag: Wil je dat wel? Wil de gebruiker dat wel? In hoeverre is het dan nog een Own Device? Valkuil 3: Het eigenaarschap De gebruiker is de eigenaar van het apparaat en het is dan ook zijn goed recht om hierop privé zaken te installeren en privé data op te slaan. Maar wie is er verantwoordelijk als tijdens de installatie van de bedrijfsvirusscanner het apparaat crasht of volledig gewist wordt? Alle persoonlijke data inclusief unieke vakantiefoto s kunnen verloren gaan omdat het bedrijf hier bijvoorbeeld een virusscanner op wil installeren. Wie is verantwoordelijk voor het verlies van data? Van wie was de software? Wie heeft de back-up gemaakt? Wie had de verantwoordelijkheid om data veilig te stellen? Bovengenoemde valkuilen hebben te maken met wie de controle heeft en bij wie de verantwoordelijkheid ligt. De gebruiker wil zijn eigen software en data kunnen gebruiken. De IT beheerder daarentegen wil het own device dermate veilig maken dat bedrijfsdata veilig is. Klassieke IT security opleggen en toepassen op BYOD zorgt voor problematische gedeelde controle en problematische gedeelde verantwoordelijkheid.

6 3. Controle en verantwoordelijkheid BYOD vereist een enkele entiteit die controleert en die verantwoordelijk is, elk schip heeft maar één kapitein. Om het makkelijk te maken wordt de eigenaar al aangegeven in de benaming: YOUR OWN! De gebruiker is zelf de baas van zijn eigen device. Om gescheiden verantwoordelijkheden te vermijden is de gebruiker bovendien ook verantwoordelijk voor alle andere zaken: Bring Your Own Device Bring Your Own Network Bring Your Own Security Bring Your Own Soft ware Bring Your Own Procedures Bring Your Own Support 3.1. Maak het de gebruiker makkelijk Own Device gebruikers doen graag dingen zelf. Echter moet het de gebruiker wel makkelijk worden gemaakt. Net als de handleidingen van IKEA die steeds makkelijker worden, wordt het OD gebruikers steeds makkelijker gemaakt om complexe soft ware functionaliteiten te installeren en te gebruiken. Zogenaamde Applicatie (App) stores van de verschillende platformen stellen de gebruiker in staat op een makkelijke manier soft ware te vinden en te installeren. Deze app stores zijn dermate makkelijk dat ze de gebruiker het gevoel geven dat ze hun eigen device volledig controleren. Wanneer alle benodigde soft ware voor de beveiliging beschikbaar is als een (of meerdere) app(s) hoeft een bedrijf haar medewerkers enkel nog maar te vertellen welke app(s) lokaal geïnstalleerd moeten worden om aan alle veiligheidsvoorschrift en te voldoen voor toegang tot het bedrijfsnetwerk. Een specialisatie van apps zijn de zogenaamde cloud-gebaseerde apps. Deze worden ook lokaal geïnstalleerd maar zijn in geen enkele vorm afhankelijk van hardware componenten of functionaliteiten uit andere apps. Enkel een internet verbinding is noodzakelijk. Beheer van de apps ligt ook bij de gebruiker. Hiermee ligt de volledige verantwoordelijkheid op één, en de juiste, plaats, namelijk bij de gebruiker. Het onderbrengen van het beheer van IT bij de gebruiker wordt Consumerization of IT genoemd. Het sleutelwoord van `Bring Your Own is dus ZELF. Elke andere tussenvorm is gedoemd om vroeg of laat te falen Apps & Clouds reduceren de digitale footprint De beïnvloeding van de werking van een device of impact op een OD wordt ook wel digitale footprint genoemd. Als een bedrijf veel eigen apps distribueert en controle/limitatie middelen oplegt is de digitale footprint van het bedrijf op het OD groot en daarmee het eigenaarschap twijfelachtig. Door het probleem van soft waredistributie en versiemanagement af te handelen in een externe app-store elimineert het bedrijf complexe interne bedrijfsoplossingen voor soft waredistributie en reduceert zo dus haar footprint, en twijfel over eigenaarschap, op het OD. Door in grote mate gebruik te maken van cloud-gebaseerde apps kan de footprint zelfs bijna tot nul gereduceerd worden terwijl toch alle soft ware functionaliteiten worden geboden.

7 3.3. Niet limiteren, maar indirect controleren Wanneer het device een beheerd werkstation betreft weet het bedrijf welke maatregelen zijn getroffen om de bedrijfsdata veilig te houden en waar het werkstation zich bevind. In het geval van BYOD is dit echter niet meer het geval. De gebruiker staat zelf aan het roer. Door het gebruik van apps en clouds blijft het eigenaarschap bij de gebruiker en wordt er tegelijkertijd een veiligheidsbasis gelegd. Desondanks is de bedrijfsdata niet veilig genoeg. Een bedrijf heeft geen controle over de software configuratie en kan er bovendien niet vanuit gaan dat de gebruiker te allen tijde alle maatregelen treft. Het device verplaatst zich ook buiten de beschermende fysieke omgeving van de organisatie. Dit brengt, normaal niet voorkomende, risico s met zich mee, zoals: Diefstal/Verlies; Onbewaakt achterlaten; Infectie door virussen. o Lokale data o Netwerk data via het apparaat Hoe kan er in deze situaties voor gezorgd worden dat de bedrijfsdata toch veilig is? De elementaire basis eis: het afschermen van bedrijfsdata voor onbevoegden. Het beveiligingsbeleid van het bedrijf heeft hierin een grote rol. Het bedrijf is weliswaar niet de eigenaar en heeft ook niet de directe controle, maar het bedrijf mag wel condities stellen. I.e., welke maatregelen moeten van kracht zijn en voor welke datatypes gelden deze maatregelen. Voorbeeld beveiligingscondities van bedrijf X Bedrijfsbestanden mogen niet onbeveiligd lokaal worden opgeslagen op het device Mail wordt beschouwd als bedrijfsdata o Online benadering mag altijd o Lokaal opslaan (incl. cache) mag niet zonder databeveiliging Actuele virusscanner is verplicht Complexe device authenticatie Applicaties en applicatiedata mogen alleen opgeslagen worden in een beveiligde applicatie sandbox* Indien sandboxing van een enkele applicatie niet mogelijk is moet ALLE data op het device onleesbaar zijn voor onbevoegden o Schijfencryptie o Wissen op afstand mogelijk Alleen benadering via een beveiligd netwerk. * Sandbox: een geïsoleerde omgeving binnen het apparaat waarin applicaties uitgevoerd worden en applicatiedata wordt opgeslagen. Applicatie acties en data blijven binnen de sandbox en hebben geen rechtstreekse toegang tot andere, buiten de sandbox levende applicaties. Dit heeft een aantal voordelen: De applicatie kan het besturingssysteem niet beschadigen; De applicatie kan andere applicaties niet beschadigen; Als de Sandbox verwijderd wordt is ALLES verwijderd van de applicatie(s) zonder restant achter te laten op het besturingssysteem.

8 Toegang tot het netwerk valt wel onder de bedrijfscontrole Nadat de IT beleidsregels van data toegang bekend zijn kan een controle beleid worden opgezet. Het beleid bepaalt wat mag in welke situatie en dit kan vertaald worden in een Rule Based Access Control systeem die de toegang tot het netwerk controleert. Een Rule Based Access Control systeem doet precies wat de naam al laat vermoeden. Afhankelijk van een regel wordt selectief toegang verleend naar het interne netwerk per VLAN, Server, IP-adres of applicatiepoort. Een dergelijk systeem kan bijvoorbeeld controleren of de juiste virusscanner is geïnstalleerd en of de schijf is versleuteld. Als aan (alle) regels is voldaan kan selectief toegang worden verleend. Op dit moment zijn meerdere firewall devices en software devices die de gewenste controle kunnen uitvoeren via Rule Based Access Control.Buiten de rules die toegang verlenen of blokkeren, kan de security score ook worden gebruikt door IT systemen die achter de Rule Based Access Control unit staan en deze kunnen hierop specifieke functies aan- of uitschakelen. Een Citrix XenApp omgeving kan bijvoorbeeld het lokaal opslaan van data uitzetten als de lokale schijf van het apparaat niet als veilig wordt beschouwd. RAC controleert toegang, geeft een security score en bepaalt functie Rule-based Access Control (RAC) functionaliteiten zitten vaak al geïntegreerd in verscheidene firewall devices en software devices. Netwerktoegang verlenen hoeft niet het enige doel te zijn van de regels. Ze kunnen ook gebruikt worden als een `security score op basis waarvan specifieke functionaliteiten aan- of uitgeschakeld kunnen worden. Een Citrix XenApp omgeving kan bijvoorbeeld het lokaal opslaan van data uitzetten als de lokale schijf van het apparaat niet als veilig wordt beschouwd. Een Praktijkvoorbeeld We gebruiken de eerder gestelde beleidsregels van bedrijf X als voorbeeld. De situatie is als volgt: Een manager met een ipad wil zijn mail benaderen en ook zijn documenten op de SharePoint site bewerken. De manager heeft de volgende resources: Een geldig user account Een ipad (met geaccepteerde mail-client app, complexe toegangscode en schijf encryptie) WPA2-encrypted wireless thuisnetwerk. Hiermee voldoet de manager aan alle gestelde beleidseisen en mag hij zijn mail en SharePoint documenten benaderen en bewerken. Verandert er iets in een van de condities dan veranderen ook de toegangsmogelijkheden. Bijvoorbeeld: als de manager met de ipad op een terras via een onbeveiligd wifi toegang wil krijgen, dan zullen zijn mogelijkheden worden beperkt tot alleen web-mail. Device controle moet zowel binnen als buiten het bedrijf toegepast worden. Voorkomen moet worden dat de buitendeur goed op slot is terwijl via het interne guest netwerk alles openstaat. Alle toegang van mogelijk onveilige apparaten moet worden gecontroleerd door het RAC systeem.

9 4. Beveiligingsbewustzijn: de gebruikersuitdaging Alle technische middelen om bedrijfsdata te beveiligen, zowel klassiek als voor BYOD, hebben geen enkel nut als de gebruiker zelf data verhuist naar een onbeveiligde opslag. Een gebruiker die werkt op een beveiligd werkstation/od kan data en mail eenvoudig verplaatsen naar, bijvoorbeeld, Gmail, Dropbox of SkyDrive. Vaak gebeurd dit vanuit de beste bedoelingen. De User in the Middle -aanval omzeilt alle beveiligingsmaatregelen. Omdat de gebruiker zichzelf als veilig ziet zal dit lek ook niet eenvoudig op te sporen zijn. Ook voorkomen is moeilijk aangezien er regelmatig een nieuwe mogelijkheid bij komt om data te delen. Bewustzijn creëren is hier het devies en de wijze waarop is tweeledig. Allereerst de formele, extrinsieke kant: een zogenaamde Non- Disclosure Agreement (NDA). Hierin wordt procedureel vastgelegd wat een gebruiker wel of niet mag doen, zonder dat daaraan een technische oplossing ten grondslag ligt. Ook staan hierin de eventuele (straf)consequenties voor de gebruiker wanneer de NDA overtreden wordt. Ten tweede is er de informele, intrinsieke kant. Met training en voorlichting moet het bedrijf de gebruikers ervan bewust maken hoe ze om moeten gaan met data en wat de vergaande, oncontroleerbare consequenties voor bedrijf én persoon kunnen zijn als deze data in verkeerde handen komt.

10 Samenvatting: Vertrouwen in plaats van afdwingen De tijd van IT beheer vanuit een centraal punt opleggen is voorbij. De controle die een centrale IT organisatie op zijn gebruikers heeft wordt steeds kleiner door de beschikbare technologieën die vanuit de `Consumerization of IT door gebruikers thuis gebruikt worden. Het fenomeen Bring Your Own Device (BYOD) heeft als uitgangspunt dat faciliteiten en data overal, via elk beschikbaar device beschikbaar zijn. Het centraal afschermen en controleren van deze bedrijfsfaciliteiten en data is onhaalbaar en iedere poging daartoe worden ervaren als betuttelend. De gebruiker is eigenaar en verantwoordelijk voor het eigen device bij BYOD. Om het eigenaarschap en verantwoordelijkheid niet te splitsen (met de daaraan gerelateerde problematiek) en haar eigen footprint zo klein mogelijk te houden zal het bedrijf softwaredistributie en beheer moeten externaliseren. I.e., de gebruiker download zelf, door het bedrijf goedgekeurde, apps waarmee toegang tot bedrijfsresources verkregen kan worden. Bovendien pleegt de gebruiker ook zelf beheer op zijn OD omgeving. Echter, enkel `vertrouwen op de blauwe ogen is ook geen solide bedrijfstactiek. Het bedrijf heeft wel eigenaarschap en controle over haar eigen netwerk. Door gebruik te maken van Rule-based Access Control kan het bedrijf indirect controle uitoefenen op wie en wat er toegang krijgt en in welke vorm. Het moge duidelijk zijn dat succesvolle BYOD zwaar leunt op de gebruiker zelf. Gebruikersbewustzijn van verantwoordelijkheden, veiligheid en gevolgen bij nalatigheid is dan wellicht ook de grootste uitdaging bij BYOD. Bring Your Own Responsibility Pas als de medewerkers zich ook verantwoordelijk voelen voor de beveiliging van data kunnen alle technologische beveiligingsmaatregelen goed werken. Samenvattend is de meest veilige benadering van faciliteiten en data toegang in BYOD dan ook een waarin de volgende punten goed geregeld zijn: Gebruikers (beveiligings)bewustzijn Een duidelijk beleid Procedurele gebruikers beveiliging Device/werkplek beveiliging Netwerk beveiliging

11 KEMBIT B.V. Kasteel Wijnandsrade Opfergeltstraat BW Wijnandsrade High Tech Campus Eindhoven High Tech Campus AE Eindhoven +31 (0) contactus@kembit.nl kembit.nl