Privé-apparaten op het werk: toelaten of niet?
Het is één van de kwesties die security-specialisten de meeste zorgen baart: wat doe ik met de wildgroei aan privé-laptops, PDA’s en smartphones binnen het bedrijf? Steeds meer werknemers beschikken over een apparaat waarmee ze het bedrijfsnetwerk op kunnen. En dat ook doen, als er geen restricties zijn.
Het is dan ook niet verwonderlijk dat het simpelweg verbieden van het gebruik van privé-apparatuur op het werk vaak een eerste reactie is. Dat kan echter wel eens niet zo simpel zijn als dat het lijkt. Nieuwe communicatiemiddelen vinden tot nu toe uiteindelijk altijd hun geaccepteerde plek binnen de bedrijfscommunicatie - dat ging immers net zo met fax, email en instant messaging. Een beleid waarin ‘niets’ mag is niet altijd haalbaar of controleerbaar. Ook staan ict-afdelingen onder een zekere druk om toe te geven aan de wensen van management en werknemers om privé-apparaten toe te staan.
Risico
Maar wat dan? Een alternatief is het oogluikend toestaan van privé-apparaten op het bedrijfsnetwerk. Daar is iets voor te zeggen: het kan de efficiëntie van werknemers vergroten. Daarnaast heeft het gebruik van moderne communicatiemiddelen een positieve uitstraling op het imago van een eigentijds bedrijf, of de apparaten nu eigendom zijn van het bedrijf of van de werknemer zelf. Ik herinner me nog de eerste trotse bezitters van de iPhone die hierop ook hun zakelijke e-mail binnen haalden.
Op het netwerk aangesloten apparatuur vormt echter een beveiligingsrisico: aangezien de apparatuur geen eigendom is van de werkgever, is de zeggenschap over de informatie dat ook niet. En het probleem wordt alleen maar groter, omdat simpelweg de groep werknemers met bijvoorbeeld privé-smartphones groeit.
Bewaken van het bedrijfsnetwerk
Tussen streng verbieden en zomaar toestaan zit echter nog een heel groot gebied. Het is best mogelijk om privé-apparaten toe te staan op het bedrijfsnetwerk zonder reële beveiligingsrisico's te lopen. Er zijn verschillende technieken beschikbaar om de integriteit van het netwerk te bewaken of te verbeteren. Denk aan Netwerk Access Control, waarbij de apparatuur eerst gecontroleerd wordt op de aanwezigheid van juist geconfigureerde beveiligingssoftware voordat wel of geen toegang wordt verleend tot bepaalde onderdelen van het netwerk. Ook kan encryptie worden toegepast, waarbij data op de PDA, smartphones en laptops versleuteld wordt. Data Leak Prevention tenslotte, bepaalt aan de hand van een centrale policy en classificatie of specifieke informatie een netwerk mag verlaten, of opgeslagen mag worden op de randapparatuur.
Gecombineerde beveiliging
Deze technologieën zijn intussen verbazingwekkend goed ontwikkeld, of ze ontwikkelen zich in hoog tempo. Gecombineerd kunnen ze het hele proces beveiligen; of werknemers met een privé-apparaat nu informatie van het bedrijfsnetwerk willen opvragen, bewerken, of opslaan. Je controleert immers de toegang tot het netwerk, de integriteit van de apparatuur (met onder meer anti-malware en een firewall), waar deze informatie heen gaat of opgeslagen is, en tenslotte wordt ook de data versleuteld. Kortom, er is geen reden meer om privé-apparaten te weren op het bedrijfsnetwerk. Het is alleen aan de netwerkbeheerder om de juiste technologie te kiezen en gecontroleerd te implementeren - het liefst vóórdat er van alle kanten gevaarlijke wildgroei ontstaat.
Zo zorg je tegelijkertijd voor meer tevredenheid, efficiency en mobiliteit van je werknemers, zonder dat de beveiliging gevaar loopt. Sterker nog: de beveiliging binnen organisaties zal er hoogstwaarschijnlijk zelfs veel beter op worden, doordat de genoemde technologieën ook buiten de genoemde netwerk apparatuur beveiliging bieden.
Lex Borger, 17-06-2009 17:28
Wanneer je uitgaat van een bedrijfsnetwerk waar medewerkers hun eigen apparatuur mogen aansluiten, zijn een aantal beveiligingszaken ineens heel eenvoudig geworden. Thuis werken is hetzelfde als op kantoor werken. Externe krachten mogen op hun eigen laptop werken. Medewerkers trouwens ook. Dit is een principi�le keuze, die bewust gemaakt moet worden.
Om dit veilig te kunnen doen, moet je de beveiliging heel anders inrichten. Datacenters moeten beter gehard zijn, kritieke informatie moet je meer concentreren in het datacenter. Automatische classificatie is nodig om kritieke informatie te kunnen lokaliseren. NAC helpt daarbij om de toegang "schoon" te houden. Daar waar kritieke informatie buiten het datacenter een leven moet hebben, zijn nieuwe technieken als DLP en VDI (virtual desktop infrastructure) inderdaad handig.
Eigenlijk gaan we hiermee terug naar de begintijd van de automatisering, toen de belangrijke activiteiten op het mainframe gedaan werden, en de minder belangrijke zaken op de PC op de werkplek (als je die al had).
Lennart, 18-06-2009 0:00
Maar het blijft problematisch zolang je medewerkers niet op remote desktoppen via een vpn. Een Iphone is vrij gewild en ze daardoor aantrekkelijk om te stelen. Als de mailbox of documenten er lokaal opstaan ben je alsnog de pineut..
Henkie, 18-06-2009 15:56
Ok, allemaal geredeneerd vanuit het bedrijfsleven? Vraagje: Wat is de toegevoegde waarde dat iemand zijn prive-laptop mag gebruiken op het werk? Geen! Een werkgever zorgt voor goede apparatuur enz werkplek heet dat.
We hebben nog een andere sector...onderwijs. Op een school met 2000 leerlingen toestaan dat alle pda's laptops e.d. gebruikt mogen worden op het schoolnetwerk...not!
Dan is het namelijk niet meer beheer(s)baar. We richten niet voor niks een domein in, toch?
En allerlei pakketten moeten kopen omdat men het nodig vind zijn/haar laptop in te mogen pluggen....dat is echt de omgekeerde wereld.
Marco, 18-06-2009 16:43
er zijn zat scholen die inderdaad 2000 leerlingen toestaan hun prive pc mee te nemen. Met bv NAC zoals beschreven door Jan Paul is dat prima te doen. Wat denk je van universiteiten met avond studenten??
Het komt er op neer dat je als school/bedrijf zegt, 'jij wilt je prive pc meenemen, da's dan prima, maar dan wil ik wel dat je voldoet aan mijn eisen' Dus bv iets van sw installeren en valide AV hebt etc.
Wil je als school anders 2000 pc's kopen en verantwoordelijk voor zijn?
Dit wordt gedaan door ict-afdelingen die daadwerkelijk iets toevoegen en niet simpelweg 'nee' zeggen tegen alles. Deze worden dus ook niet gezien als een kostenpost, maar als een afdeling die ervoor zorgt dan een bedrijf doelstelling kan halen etc...
Wat ik wel mis in het stukje is een stukje info voorziening van de ICT/Security afdeling naar de medewerkers. Meeste medewerkers snappen niet dat het gevaarlijk is om je prive pc aan te sluiten op het bedrijfsnetwerk. Als je die mensen bewust maakt van de gevaren, heb je al een hoop bereikt.
Jef, 23-08-2009 11:46
Het is aangetoond dat het aansluiten van prive PDA's etc geen enkele bijdrage leveren aan de bedrijfs activiteiten. Particulieren zijn nou eenmaal niet briljant in het beveiligen van hun ICT apparatuur. Waar in vele gevallen bedrijven kijken naar ROI op ict gaan we hier investeren in alle mogelijke oplossingen op prive apparatuur aan te sluiten.
10-02 Het einde van het begin van cloud en virtualisatie
10-02 De windwakken van de cloud-sector
09-02 Citoto
09-02 Lang leve de hackers!
09-02 Modder gooien in ICT-land
08-02 Reseller verliest slag om het groene huishouden
08-02 Hadoop lijkt een alleskunner
07-02 Hou zicht op de informatie bij HNW
07-02 Eigen werknemer kan ook een vijand zijn
06-02 Krachtenbundeling NGI en TestNet is goede zaak
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'KPN koppelt ID aan internetverkeer'
09-02 'Ook met cookiewet is gebruiker niet anoniem'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Voor bedrijven is inpassen van NAC oplossingen echter zeer zeker geen gemakkelijke opgave. Integratie met active directory, 3rd party virus vendors, switch en router omgevingen etc. Elke oplossingen heeft zijn eigen specifieke requirements of zal zich op een punt oplossing richten, bijv. alleen remote-access.
Waar ik nog een sterke verbetering nodig zie is het stuk management, rapportage and "easy of deployment". Het moet beheersbaar blijven en je moet geen CCIE of JNCIE nodig hebben voor implementatie of management van dit soort oplossingen.
Jako Boonekamp
Solution Consultant
Orange Business Services