Tien must-haves voor veilige enterprise mobility Tien musthaves voor veilige enterprise mobility Beveiligingskader en evaluatiechecklist
2 Uw organisatie mobiel maken betekent nieuwe kansen. Medewerkers die op hun tablet of smartphone bij hun e-mail, applicaties en data kunnen, zijn een stuk tevredener en productiever. Bedrijven die mobiel werken mogelijk maken, creëren concurrentievoordeel en groei. De conclusie van een recent onderzoek van Aberdeen was dat best-in-class organisaties driemaal eerder dan alle andere organisaties geneigd zijn om hun workflow beschikbaar te stellen op de mobiele devices van hun gebruikers. 1 Wat volgens vrijwel alle onderzoeken het belangrijkste obstakel blijft voor zowel enterprise mobility als Bring Your Own Device (BYOD), is de beveiliging. Zo bracht CSO Magazine onlangs naar buiten dat 17 procent van de organisaties al te maken heeft gehad met een mobiel lek. 2 Aandachtspunten voor mobiele beveiliging Organisaties die mobiel werken mogelijk willen maken en goed willen beveiligen, krijgen met heel wat verschillende zaken te maken. Datalekken staan bovenaan de lijst met aandachtspunten, naast zaken als het afdwingen van pincodes en het versleutelen van devices. Volgens securityexpert Jack Gold raken organisaties jaarlijks drie- tot viermaal zoveel smartphones als notebooks kwijt. Gold stelt ons de volgende (retorische) vraag: Hoeveel datarecords bevat een kwijtgeraakte smartphone of tablet met 32 of 64 GB geheugen? 3 Een dure aangelegenheid is het sowieso. De kosten van elke datarecord die op straat komt te liggen, worden namelijk geschat op meer dan 250 dollar. 4 Sommige onderzoeken schatten de kosten van een mobiel datalek zelfs op meer dan 400.000 dollar voor een grote organisatie en meer dan 100.000 dollar voor een klein bedrijf. 5 In sommige gevallen lopen de kosten zelfs in de miljoenen. 6 Dit kostenaspect is belangrijk. Er zijn immers steeds meer smartphones en tablets die verbinding maken met het bedrijfsnetwerk, en niet alleen dat, ze hebben ook toegang tot steeds meer applicaties en content van de organisatie. IT- en beveiligingsafdelingen maken zich over meer zorgen dan hun data alleen en stellen zich vragen bij de risico s van het openstellen van het interne netwerk voor allerlei mobiele devices. Smartphones en tablets vallen vaak onder geen enkele vorm van controle en kunnen dus een gevaar betekenen voor het netwerk en de compliance van de organisatie. Aan de beveiligingsproblematiek van grote organisaties liggen drie primaire factoren ten grondslag. 1. Explosieve toename van het aantal mobiele devices en apps De Center for Telecom Environment Management Standards geeft aan dat 78 procent van de organisaties eigen mobiele devices van medewerkers toestaat 7 en dat grote organisaties in 2013 voor 16 miljard dollar spenderen aan Apple ipads 8. Niet alleen neemt het aantal mobiele devices binnen de organisatie sterk toe, ook het type gebruiker verandert. Behalve managers brengen nu ook gewone medewerkers hun mobiele device mee. Bovendien neemt het aantal apps op de devices steeds toe, ongeacht of die devices van de organisatie of van de medewerker zelf zijn. Onderzoeksbureau Asymco heeft het over gemiddeld 60 apps per ios -device. 9 Aangezien meer dan de helft van de organisaties meer dan één type device ondersteunt 10, is de blootstelling van het bedrijfsnetwerk aan potentieel niet-conforme of kwaadwillende apps enorm. Deze feiten wijzen op een zeker malwarerisico, maar ook wat Wall Street Journal schrijft in het artikel Your Apps are Watching You is belangrijk: van de 101 mobiele apps die werden bestudeerd, waren er 56 die de device-id doorgaven, 47 die locatiegegevens doorgaven en 5 die persoonlijke gegevens doorgaven van het device naar een server van derden. 11 Hoewel het onderzoek vooral was gericht op apps voor consumenten, maakt een en ander wel duidelijk hoe enorm kwetsbaar devices en bedrijfsnetwerken zijn voor de op de devices geïnstalleerde apps. Zelfs apps die absoluut niet als kwaadwillend worden beschouwd, kunnen tegen de policy s van de organisatie in gevoelige gegevens benaderen, verzamelen en doorsturen, en dit kan gebeuren op manieren die volledig om de traditionele beveiliging van de organisatie heengaan.
3 2. Meer mobiele toegang Van hoog tot laag binnen de organisatie wil men gewone medewerkers laten werken met een mobiel device en ze mobiele toegang geven tot de apps en data die ze voor hun werk nodig hebben. Ook horizontaal, bij afdelingen, doet dit verschijnsel zich voor. Uit onderzoek van Citrix is gebleken dat in 2013 meer dan drie kwart van de organisaties mobiele apps zal implementeren voor gebruik binnen afdelingen en meer dan de helft van die apps is van bedrijfskritieke aard. Bovendien ontwikkelt meer dan 80 procent van de organisaties eigen, gespecialiseerde apps. 12 Dit kan gaan van restaurantketens die de bediening en keuken een ipad geven tot luchtvaartmaatschappijen die alle handboeken, documentatie en vluchtplannen op een Samsung Galaxy Tab ter beschikking stellen van de bemanning. Dit soort mobiel gebruik houdt enorme beloften in, maar betekent tegelijk dat steeds meer gebruikers via steeds meer devices toegang krijgen tot bedrijfsgegevens en het bedrijfsnetwerk. Het risico neemt daarmee exponentieel toe. 3. Wildgroei aan filesharingtools voor consumenten De beveiligingsoplossing voor enterprise mobility waar we het meeste over horen, is vooral bedoeld om kwijtgeraakte of gestolen devices te blokkeren of te wissen. Wat echter een veel groter gevaar is, is het ongecontroleerd delen van data. Het risico van een kwijtgeraakt of gestolen device valt in het niet bij de gevaren van miljoenen gebruikers die gegevens delen via een eindeloos net van eindpunten in de cloud. Door het vermenigvuldigingseffect zijn vooral filesharingtools voor consumenten verdacht: gegevens die buiten het eigen netwerk van de organisatie worden opgeslagen, worden dan niet met maar één device gedeeld, maar op een virale manier met alle devices die via die tool verbonden zijn. Volgens het Citrix Mobile Device Management Cloud Report behoren enkele van de meest gebruikte apps, zoals Dropbox en Evernote, ook tot de apps die organisaties het vaakst op de zwarte lijst zetten, wat wijst op het nut én op het risico van die applicaties. 13 Een compleet mobile security framework De IT doet voor de beveiliging vooral een beroep op oplossingen voor Mobile Device Management (MDM) of Enterprise Mobility Management (EMM). Voor de eerder beschreven mobiele uitdagingen is echter een nieuw, uitgebreider beveiligingskader nodig, waarbij verder wordt gegaan dan het blokkeren en wissen zoals MDM-oplossingen dat mogelijk maken. Moderne organisaties hebben behoefte aan een oplossing met alle tools om de organisatie proactief te kunnen monitoren, controleren en beschermen, end-to-end, over alle devices, apps, data en het netwerk heen.
4 De tien must-haves voor enterprise mobility Hierna volgen de tien vragen die organisaties moeten stellen aan elke leverancier van enterprise mobility. Vraag 1 Kan ik elk willekeurig eigen device of device van de organisatie beheren? 2 Kan ik om het even welke mobiele app of webapp beveiligen en beheren? 3 Kan ik mijn gebruikers veilige alternatieven bieden voor de apps waar zij productief mee zijn zonder concessies te doen aan gebruikerservaring? 4 Kan ik veilige mobiliteit aanbieden en de privacy van de gebruikers beschermen? 5 Kan ik Single Sign-On (SSO) mogelijk maken voor mijn gebruikers en alle apps beschikbaar stellen op alle mogelijke devices? 6 Kan ik netwerktoegang mogelijk maken volgens scenario? 7 Kan ik mijn gebruikers toegang geven tot hun content en alle data toch goed beveiligen? 8 Heb ik genoeg flexibiliteit, met de juiste beveiliging voor elke situatie? Achtergrond Voor veel organisaties begint alles met een goed beheer van de devices. De beveiligingsonderdelen van de devices, zoals pincodes en versleuteling, moeten centraal kunnen worden geconfigureerd, en afwijkende devices, zoals gejailbreakte apparatuur of devices met een app uit de zwarte lijst, moeten kunnen worden gedetecteerd en geblokkeerd. Devices die kwijt of gestolen zijn of devices van gebruikers die de organisatie verlaten, moeten buiten gebruik kunnen worden gesteld. Omdat steeds meer organisaties te maken hebben met zowel eigen devices van medewerkers als devices die door de organisatie ter beschikking worden gesteld, moet de IT gemakkelijk kunnen aangeven van wie het device is en dienovereenkomstig de juiste policy s en procedures kunnen definiëren. Apps zijn divers en hebben geen gemeenschappelijk beveiligingskader. De IT moet mobiele apps, webapps of het intranet centraal kunnen beveiligen (tijdens of zelfs na het ontwikkelproces) met toegangspolicy s, veilige verbindingen en datacontrole. Mobiele gebruikers hebben een aantal apps die ze handig vinden en waarmee ze hun werk doen, zoals apps voor e-mail, internet en datatoegang. Standaard gebruiken ze de native app of de app die ze gewend zijn. Maar stel nu dat een organisatie de gebruikers een in een sandbox afgeschermd, maar wel heel goed alternatief zou kunnen bieden voor hun favoriete native e-mailclient, browser of filesharingtools? Veel organisaties proberen hun mobiele uitdagingen op te lossen met een full-stack Enterprise Mobility Management-oplossing. maar organisaties met strenge privacyregels kunnen kiezen voor een lichtere aanpak, bijvoorbeeld door op het device alleen een e-mailclient of beveiligde app te implementeren. De oplossing moet flexibel genoeg zijn voor beide scenario s (of een combinatie daarvan), zodat bijvoorbeeld een grote multinational de devices van zijn Amerikaanse medewerkers volledig kan beheren, terwijl de Duitse medewerkers van die multinational gewoon een e-mailclient in een sandbox krijgen. SSO is een van de weinige beveiligingsfeatures waar iedereen iets aan heeft. Voor de IT wordt het gemakkelijker om apps aan te bieden en in te trekken. Zo kan de mobiele toegang voor ontslagen medewerkers à la minute worden ingetrokken. Gebruikers krijgen op een eenvoudige manier toegang zonder steeds dat lastige inloggen op een klein schermpje. Voor de mobiele organisatie is dit een must-have. Als de organisatie echt mobiel gaat, is de kans groot dat de IT niet alleen mobiele apps moet aanbieden, maar ook web-, SaaS-, Windows- en datacenterapps. Al die apps moeten keurig bij elkaar staan in een uniforme app store. Met alle mobiele devices die het netwerk gebruiken moet de IT uitgebreide toegangs- en controlepolicy s kunnen definiëren op basis van analyse van het gebruikte eindpunt en de rol van de gebruiker. Zo wordt dan bepaald welke apps en data mogen worden aangeboden met wat voor toegang tot content. Mobiele gebruikers moeten bij de content van de organisatie kunnen, maar de tools waarmee de IT de toegang en data goed kan beheren en controleren, zijn niet erg dicht gezaaid. Of die content nu in Microsoft SharePoint of in een app voor het delen en synchroniseren van data zit, de IT moet datapolicy s kunnen definiëren en afdwingen die bepalen wat gebruikers wel en niet mogen doen (content opslaan, e-mailen, kopiëren/plakken enzovoort). Even belangrijk als het vinden van de juiste balans tussen security en privacy is het vinden van de juiste beveiliging voor elke specifieke situatie. De IT heeft flexibele oplossingen nodig die een goede beveiliging bieden zonder ten koste te gaan van het gebruiksgemak.
5 9 Kan ik het hele mobiele gebeuren integreren in mijn bestaande ITresources? 10 Is jullie architectuur veilig, schaalbaar en maximaal beschikbaar? De IT weet hoe moeilijk het is om allerlei verschillende eilanden te beveiligen. Oplossingen voor enterprise mobility moeten daarom probleemloos aansluiten op de bestaande IT-omgeving. Dit betekent directe integratie in systemen voor gebruikersgegevens, Public Key Infrastructure, e-mail, toegangstechnologie als Wi-Fi en VPN, en virtuele desktops en apps. Ook moet er integratie zijn met oplossingen voor Security Information and Event Management (SIEM), zodat de IT verslag kan uitbrengen over het mobiele aspect naast de rest van de infrastructuur. Enterprise Mobility Management-oplossingen moeten geschikt zijn voor grote organisaties. Dit betekent dat ze zo zijn ontworpen dat gevoelige data van gebruikers achter de firewall blijven, dus niet blootgesteld aan internet, dat organisaties hun implementatie kunnen uitbreiden zonder de complexiteit te verhogen, en dat systemen storingsbestendig worden gemaakt met de gangbare High Availability-configuraties, dus met failover van systemen en een eenvoudige failback. Totale mobiele beveiliging Mobiliteit voor grote organisaties moet verder gaan dan MDM. De mobiele beveiliging moet totaal zijn, end-to-end, over alle devices en apps, het netwerk en data heen. Uitdagingen en vereisten voor de beveiliging van mobiele devices Centraal beheer van de beveiliging van devices Ik moet devices configureren en een policy afdwingen. Veel grote organisaties moeten de beveiligingscomponenten van de devices, zoals pincodes en versleuteling, maar ook het afdwingen van policy s, centraal kunnen beheren. Mobiel werken wordt mainstream. Het aantal devices op het netwerk neemt toe, net als het aantal gebruikers met meer dan één device. Dit maakt het noodzakelijk om die devices centraal te beheren en rolgebaseerde beveiligingspolicy s af te dwingen. Op devices die kwijtraken of worden gestolen, of op devices van gebruikers die de organisatie verlaten, moet het in het kader van security en compliance mogelijk zijn om de gegevens van de organisatie centraal te blokkeren of te wissen. Fragmentatie van platforms voor mobiele devices Help! Elk device is anders! Medewerkers willen zelf hun devices kunnen kiezen. Voor veel organisaties is dat een aantrekkelijke strategie. Het is namelijk een manier om talent aan te trekken en vast te houden, of om te besparen op de hardwarekosten. Maar in tegenstelling tot standaard-pc s of strikt gecontroleerde BlackBerry s zijn mobiele devices enorm divers, met risico s op verschillende niveaus en zonder uniforme manier voor de IT om zelfs maar de meest basale beveiligingspolicy s goed te beheren. Volgens een onderzoek van Aberdeen ondersteunt het gemiddelde best-in-class bedrijf 3,3 mobiele platforms 14, waaronder ios, Android, Windows en BlackBerry. Vanuit IT-standpunt brengt die fragmentatie unieke beveiligingsuitdagingen met zich mee, bijvoorbeeld hoe de verschillende apps over de verschillende platforms heen kunnen worden gemonitord, aangeboden, ondersteund en beveiligd, of hoe ervoor kan worden gezorgd dat medewerkers de juiste beveiligingspatches en -updates installeren voor hun specifieke besturingssysteem. Eigen devices of devices van de organisatie Ik heb een BYOD-programma en nu moet ik ipads uitrollen. Organisaties werken steeds vaker met eigen devices van medewerkers naast devices die door de organisatie ter beschikking zijn gesteld. Hoe de eigendomsverhoudingen precies liggen, moet accuraat en conform de voorschriften worden vastgelegd. Elk type device moet worden beheerd volgens de desbetreffende policy s en processen, met continue rapportage.
6 Vereisten voor de beveiliging van mobiele devices In overeenstemming met het beveiligingskader zoals hierboven beschreven, volgen hieronder enkele vereisten waaraan oplossingen voor enterprise mobility moeten voldoen wat de devices betreft. Monitoring Controle Bescherming Auditen en rapporteren van devices volgens eigendom van medewerker of van organisatie. Implementeren van policy s steeds op dezelfde manier voor verschillende platforms en besturingssystemen. Mogelijk maken van selfservice voor kwijtgeraakte of gestolen devices. Rapporteren van devicegegevens (type, OS, versie, integriteit enzovoort). Inventariseren van geïnstalleerde apps. Bepalen van gebruik van device (roaming van device bijvoorbeeld). Weergeven van locatie van device (en maatregelen treffen als een gebruiker een device meeneemt buiten een voorgedefinieerde omgeving). Bepalen van compliance van device (gekraakt, app op zwarte lijst). Pushen van policy s voor beveiliging en compliance naar elk device (wachtwoorden bijvoorbeeld). Auditen van devices met een voorgeconfigureerd interval om na te gaan of verplichte policy s niet worden omzeild. Blokkeren van netwerktoegang voor elk device dat afwijkt. Vastleggen van beveiligingspolicy s om te voorkomen dat medewerkers resources of apps op het device gebruiken. Lokaliseren, blokkeren en wissen van kwijtgeraakte of gestolen devices. Wissen (selectief of geheel) van devices zodra een gebruiker de organisatie verlaat. Uitdagingen en vereisten voor de beveiliging van mobiele apps Alle apps op alle devices Ik moet alle apps die de gebruikers mobiel willen kunnen gebruiken, kunnen bijhouden en beheren. Gebruikers zijn verknocht aan hun apps en willen die ook gebruiken voor het werk. Afdelingen ontwikkelen specifieke apps voor hun medewerkers. Maar de IT moet alles maar zien te beheren. Mobiele, web-, SaaS-, Windows- en datacenterapps moeten centraal worden aangeboden en de gebruikers moeten die apps op één plaats kunnen vinden. Centrale, consistente appbeveiliging Hoe houd ik die gratis en door Jan en alleman gebruikte app veilig, en liefst op een consistente manier? De IT wil duizenden mobiele apps centraal en consistent kunnen beveiligen; dat is geen geringe opgave! Organisaties hebben te maken met de meest uiteenlopende apps, eigen maatwerk of apps van derden. Geen van die apps is op dezelfde leest geschoeid, heeft gemeenschappelijke beveiligingsfeatures of verificatiemechanismen, of benadert data op dezelfde manier. Toch moet de IT voor al die apps gemeenschappelijke policy s zien te verzinnen. Beveiliging van apps die productief maken Wat mijn gebruikers per se willen, is e-mail, internet en docs. De meeste gebruikers hebben een paar mobiele apps die ze per se willen hebben. Meestal zijn dit de apps voor e-mail, internet en datatoegang. De IT moet ervoor zorgen dat die apps veilig zijn. Maar momenteel is dit niet zo. De IT heeft geen controle meer over potentiële datalekken via e-mail, onveilige toegang tot het intranet of een gebruiker die vertrouwelijke cijfers uploadt naar een filesharingtool voor consumenten. Maar de gebruikers verwachten wel al die mooie native apps van hun device te kunnen gebruiken. Er is dus behoefte aan acceptabele, veilige alternatieven voor die apps.
7 Bescherming van de privacy Het gaat niet alleen om de beveiliging van de organisatie, maar ook om de privacy van de gebruikers. Full-stack Enterprise Mobility Management-oplossingen hebben in dit opzicht een aantal belangrijke core-features, zoals de mogelijkheid om een device te lokaliseren met de gps of om te bekijken welke apps op de devices van de gebruikers geïnstalleerd zijn. Hoewel die features bij veel oplossingen kunnen worden uitgeschakeld, willen sommige organisaties nog niet de schijn tegen hebben dat ze de privacy ook maar enigszins in gevaar zouden kunnen brengen. Organisaties die de privacy van de gebruikers extra belangrijk vinden of die hiervoor aan speciale eisen moeten voldoen, moeten de mobiele gebruikers toegang kunnen verschaffen zonder het hele device in beheer te moeten hebben. Een organisatie kan er bijvoorbeeld voor kiezen om de gebruikers alleen een e-mailclient in een sandbox aan te bieden. De gebruikers kunnen dan wel bij hun e-mail voor het werk, maar verder is er voor het device geen beheer nodig. Federated identity en SSO Toegang moet simpel zijn voor mij... en voor mijn gebruikers. Organisaties die mobiel gaan werken, geven hun gebruikers allerlei verschillende apps. Gezien de diversiteit van alle apps en van de soorten apps is het voor de IT moeilijk om rolgebaseerde toegang te bieden. Het bijhouden van alle apps die de IT moet intrekken zodra een gebruiker de organisatie verlaat, is nog veel moeilijker. Dit is met name het geval voor SaaS-apps. Deze worden vaak vergeten, omdat de gebruikersgegevens mogelijk apart worden beheerd en de app uit het zicht van de IT blijft. Voor de gebruikers is het lastig om steeds bij al deze apps apart te moeten inloggen. Bij twee apps gaat dat nog, bij vijf apps is het niet leuk meer en bij tien apps is het oorlog! Vereisten voor de beveiliging van mobiele apps In overeenstemming met ons beveiligingskader volgen hieronder enkele vereisten waaraan oplossingen voor enterprise mobility moeten voldoen wat de apps betreft. Monitoring Controle Bescherming Overzicht krijgen van de mobiele apps die op de devices geïnstalleerd zijn. Intrekken van gebruiksrechten voor apps zodra iemand de organisatie verlaat (met rapportage voor compliance). Beschikbaar maken van alle apps (mobiel, web, SaaS, Windows en datacenter) voor alle devices via een uniforme app store. Centraal beveiligen van zelfontwikkelde apps of apps van derden, met toepassing van fijnmazige instrumenten om policy s af te dwingen, tijdens of na de ontwikkelfase. Aanbieden van aantrekkelijke alternatieven, maar wel in een sandbox, voor de apps die de gebruikers zo graag willen om productief te kunnen werken. Controleren van de toegang van de gebruikers tot hun apps met Single Sign-On voor alle soorten apps. Mogelijk maken van veilige app- en intranetverbindingen zonder compleet VPN. Beschermen van gevoelige bedrijfsgegevens met consistente datacontrole binnen de apps. Voorkomen dat gebruikers nog bij apps en data kunnen na het verlaten van de organisatie. Beschermen van de privacy met toegang tot e-mail, intranet of apps zonder het hele device te moeten beheren.
8 Uitdagingen en vereisten voor de beveiliging van mobiele netwerken Controle over de toegang Ik heb op kantoor mobiele gebruikers met volledig conforme devices en mobiele gebruikers met gekraakte devices, en ik heb gebruikers met volstrekt onbekende devices die ergens vanuit een café zitten te werken. One size fits all? Niet wat toegang betreft. Met alle mobiele devices die het netwerk gebruiken moet de IT uitgebreide toegangs- en controlepolicy s kunnen definiëren op basis van analyse van het gebruikte eindpunt en de rol van de gebruiker. Zo wordt dan bepaald welke apps en data mogen worden aangeboden met wat voor toegang tot content. Voldoen aan de eisen voor mobiele netwerken Ik weet niet zeker of mijn mobiele netwerk het gebruik wel aankan, zeker tijdens piekmomenten. Een belangrijk punt, dat ook raakvlakken heeft met de mobiele beveiliging, is de schaalbaarheid van het mobiele netwerk. Naarmate het netwerk van de organisatie door steeds meer gebruikers en devices wordt gebruikt en organisaties steeds meer mobiele apps gaan gebruiken voor allerlei kritieke taken, moet de IT het toenemende verkeer in goede banen kunnen leiden en mobiele apps met een hoge performance kunnen aanbieden. Vereisten voor de beveiliging van mobiele netwerken In overeenstemming met ons beveiligingskader volgen hieronder enkele vereisten waaraan oplossingen voor enterprise mobility moeten voldoen wat het netwerk betreft. Monitor Controle Bescherming Analyseren van mobiele eindpunten met het oog op compliance. Controleren van de toegang tot het netwerk op basis van configuratie en status van het device, de rol van de gebruiker en andere factoren, zoals het netwerk dat wordt gebruikt. Voldoen aan vereisten voor mobiele netwerken, zoals load-balancing van mobiele verzoeken en ervoor zorgen dat mobiele apps met voldoende performance worden aangeboden. Beschermen van het bedrijfsnetwerk tegen mobiele gevaren, zoals malware. Uitdagingen en vereisten voor de beveiliging van mobiele data Het Dropbox-probleem Ik heb een Dropbox-probleem. Filesharingtools voor consumenten zijn erg populair geworden bij organisaties, omdat ze zo gemakkelijk te gebruiken zijn en een oplossing bieden voor een concreet probleem: hoe zorg je ervoor dat altijd de meest recente data beschikbaar zijn op elk gewenst device? Hoe handig ze ook zijn, bij deze apps is de kans op een datalek erg groot. Organisaties zijn niet in staat om de data in deze apps te monitoren of te beschermen. De apps op zich kunnen op de zwarte lijst worden gezet, maar daarmee is het probleem voor de gebruikers niet opgelost. Wat organisaties nodig hebben, is een veilig alternatief voor deze tools waarmee ze de problemen van de gebruikers oplossen, data kunnen versleutelen en de toegangscontrole en het gebruik kunnen regelen met fijnmazige datapolicy s.
9 Containers leiden tot data-eilanden Apps in een sandbox maken het voor mijn gebruikers moeilijk om de content te krijgen die ze nodig hebben. App- of datacontainers tot dusver het antwoord van de enterprise mobility industry op datalekken kunnen de gebruikers flink voor het blok zetten. Heel vaak hebben de gebruikers geen toegang tot de documenten die ze nodig hebben in de app die ze willen, en kunnen ze geen content delen in verschillende apps. Dit bemoeilijkt het reviewen en bewerken van content of de samenwerking aan documenten. Monitor Controle Bescherming Bijhouden van en waarschuwen bij toegang tot data door mobiele gebruikers. Aanbieden van followme data aan mobiele gebruikers. Mogelijk maken voor mobiele gebruikers om data veilig te synchroniseren en te delen op en vanaf mobiele devices. Instellen van fijnmazige datapolicy s. Delen van datacontrole en toegang mogelijk maken over apps heen. Beschermen van mobiele data door middel van versleuteling in rust en tijdens overdracht. Voorkomen van datalekken met veilige, versleutelde datacontainers. Beschermen van data door de container bij vertrek van gebruiker of verlies van apparaat te wissen, of op basis van andere gebeurtenissen, zoals jailbreaken van een device. Aanvullende overwegingen en vereisten met betrekking tot de beveiliging De juiste beveiliging voor de situatie Ik heb fulltime-medewerkers en tijdelijke krachten. Niet iedereen heeft dezelfde beveiliging nodig. Net als bij het privacyvoorbeeld moet de IT alle flexibiliteit hebben om per situatie de juiste vorm van beveiliging toe te passen. Organisaties hebben verschillende gebruikers: van kenniswerkers met een device dat door de organisatie ter beschikking is gesteld (voor werk en privé), tot medewerkers in ploegendienst die een device delen met collega s en freelancers die hun eigen device meebrengen. One size fits all geldt niet voor mobiele beveiliging. In de hierboven beschreven omstandigheden moet de IT flexibel kunnen zijn. De kenniswerkers krijgen full-stack toegang en beveiliging, de collega s die een device delen krijgen een of twee specifieke apps voor hun werk (maar geen e-mail) en de freelancers krijgen alleen een e-mailclient. De IT moet ook de flexibiliteit hebben om een goede beveiliging mogelijk te maken op basis van het risicoprofiel van de organisatie. We nemen e-mail als voorbeeld. Een sterk gereguleerde organisatie kan kiezen voor een e-mailclient in een sandbox met strikte controle over de data. Een minder sterk gereguleerde organisatie, maar wel een organisatie die een goede beveiliging belangrijk vindt, kan kiezen voor native e-mail en vervolgens de bijlagen bij de e-mail versleutelen. Een organisatie die niet onder specifieke wet- of regelgeving valt, kan native e-mail gebruiken en werkgerelateerde e-mail gewoon wissen op het moment dat iemand zijn of haar device kwijtraakt of de organisatie verlaat.
10 Integratie Ik heb absoluut geen behoefte aan nog een eiland om te beheren. De IT weet hoe moeilijk het is om allerlei verschillende eilanden te beveiligen. Oplossingen voor enterprise mobility die niet rechtstreeks worden geïntegreerd met de rest van de IT, zijn moeilijk te beheren en te beveiligen. Een oplossing die geen rechtstreekse LDAP-integratie heeft maar de gebruikersgegevens regelmatig cachet, loopt het risico dat ontslagen medewerkers op hun mobiele device nog bij apps en data kunnen in de periode tussen hun vertrek en de volgende keer dat de gebruikersgegevens worden gesynchroniseerd. Oplossingen zonder integratie met SIEM en logbeheertools maken het voor de IT onmogelijk om volledig zicht te krijgen op de security of compliance. Architectuur op maat van grote organisaties Wat heb ik aan beveiliging als de persoonlijke gegevens van mijn CEO open en bloot op internet staan? Vaak is bij het ontwerp van oplossingen voor enterprise mobility onvoldoende rekening gehouden met de beveiliging. In plaats van gevoelige gegevens achter de firewall te houden en de toegang tot die gegevens te regelen via een proxy in de DMZ, worden de gegevens van de gebruikers tijdelijk gecachet in de DMZ, waar ze toegankelijk zijn vanaf internet. Veel oplossingen zijn ook niet goed schaalbaar en kunnen het groeiende aantal mobiele gebruikers niet aan. Bij sommige oplossingen is het zelfs zo dat de IT verschillende instances van dezelfde oplossingen apart moet beheren. Een andere feature die IT-professionals verwachten, is high availability. Toch zijn er maar weinig oplossingen die dat volledig kunnen bieden. Sommige oplossingen hebben geen ingebouwde redundantie met de gebruikelijke clustering voor failover en failback. Naarmate mobiel werken steeds gewoner wordt en apps steeds vaker worden ingezet voor kritieke werkzaamheden, wordt het voor de IT steeds belangrijker dat mobiele oplossingen geschikt zijn voor gebruik door grote organisaties. Aanvullende vereisten Hieronder volgen enkele aanvullende vereisten waaraan oplossingen voor enterprise mobility moeten voldoen. Monitoring Controle Bescherming Integreren van mobiele data met SIEM en logbeheertools voor meer zicht op de security en compliance. Implementeren van de juiste vorm van beveiliging voor de situatie (bijvoorbeeld e-mail voor gebruikers in sterk gereguleerde sectoren, beveiliging van apps zonder het hele device te beheren voor externe partners). Continu controleren van de toegang met directe integratie met systemen voor gebruikersgegevens. Controleren van de toegang en mogelijk maken van SSO met PKI-integratie. Toegang tot e-mail mogelijk maken met integratie van de e-mail van de organisatie. Controleren van de toegang tot de organisatie met directe integratie met VPNen WiFi-oplossingen. Beschermen van de privacy door data van gebruikers achter de firewall te houden. Beschermen van mobiele gebruikers tegen downtime met de gebruikelijke High Availability-oplossingen. Toekomstbestendig maken van de mobiele organisatie met een schaalbare oplossing gericht op toename van het aantal mobiele devices zonder de complexiteit te vergroten.
11 Tot slot Enterprise mobility betekent kansen voor uw gebruikers en organisatie, maar ook risico s. Organisaties kunnen deze whitepaper gebruiken als beveiligingskader voor hun mobiele beveiliging en als checklist voor de evaluatie van verschillende oplossingen voor enterprise mobility. Citrix XenMobile Citrix XenMobile is een Enterprise Mobility Management-oplossing die volledige vrijheid biedt voor de beveiliging van mobiele devices, apps en data. Via een uniforme app store kunnen medewerkers snel, in één klik, bij al hun mobiele, web-, datacenter- en Windows-apps, waaronder fraaie en naadloos geïntegreerde productiviteitsapps met een optimale gebruikerservaring. De oplossing biedt identiteitsgebaseerde provisioning en controlemogelijkheden voor alle apps, data en devices, met policygestuurde controlemechanismen zoals het beperken van de toegang tot applicaties, het automatisch intrekken van de account van vertrokken medewerkers en het op afstand wissen (selectief) van apps en data op kwijtgeraakte, gestolen of niet-conforme devices. Met XenMobile kan de IT perfect inspelen op de vraag van de gebruikers naar meer keuzevrijheid en tegelijk datalekken voorkomen en het interne netwerk beschermen tegen mobiele gevaren.
12 1. Mobility in ERP 2011, Kevin Prouty, Aberdeen, mei 2011 2. Global State of Information Security Survey, CSO Magazine, 2012 3. MDM is No Longer Enough, Citrix-webinar met security-expert Jack Gold, oktober 2011 4. U.S. Cost of a Data Breach, Ponemon Institute, maart 2011 5. State of Mobility Survey, Symantec, februari 2012 6. In 2010 bedroeg de gemiddelde kostprijs van een datalek 7,2 miljoen dollar. Doug Drinkwater, 10 februari 2012, TABTIMES.COM 7. marketwatch.com/story/ctemsr-research-78-of-enterprises-allow-bring-your-own-device-byod-2012-07-24?siteid=nbkh 8. Global Tech Market Outlook for 2012 and 2013, Andrew Bartels, Forrester, 6 januari 2012 9. More Than 60 Apps Have Been Downloaded for Every ios Device, Asymco, 16 januari 2011 10. Market Overview: On-Premises Mobile Device Management Solutions, Forrester, 3 januari 2012 11. Your Apps are Watching You, The Wall Street Journal, 17 december 2010 12. Infographic Mobile Gets a Promotion, Citrix, oktober 2012 13. Citrix Mobile Device Management Cloud Report, derde kwartaal 2012 14. The Need for Mobility Management, Aberdeen-blog, februari 2010 Corporate Headquarters Fort Lauderdale, FL, USA Silicon Valley Headquarters Santa Clara, CA, USA EMEA Headquarters Schaffhausen, Switzerland India Development Center Bangalore, India Online Division Headquarters Santa Barbara, CA, USA Pacific Headquarters Hong Kong, China Latin America Headquarters Coral Gables, FL, USA UK Development Center Chalfont, United Kingdom About Citrix Citrix (NASDAQ:CTXS) is the cloud company that enables mobile workstyles empowering people to work and collaborate from anywhere, securely accessing apps and data on any of the latest devices, as easily as they would in their own office. Citrix solutions help IT and service providers build clouds, leveraging virtualisation and networking technologies to deliver high-performance, elastic and cost-effective cloud services. With market-leading cloud solutions for mobility, desktop virtualisation, networking, cloud platforms, collaboration and data sharing, Citrix helps organisations of all sizes achieve the speed and agility necessary to succeed in a mobile and dynamic world. Citrix products are in use at more than 260,000 organisations and by over 100 million users globally. Annual revenue in 2012 was $2.59 billion. Learn more at 2013 Citrix Systems, Inc. All rights reserved. Citrix and XenMobile are trademarks or registered trademarks of Citrix Systems, Inc. and/or one or more of its subsidiaries, and may be registered in the United States Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are property of their respective owners. 0513/PDF