Steeds vaker gevoelige bedrijfsinformatie op mobiele apparaten
1 augustus 2011 -
Voor veel medewerkers is een smartphone niet meer weg te denken uit het scala van communicatiemiddelen. Waaraan voorbij wordt gegaan is dat er met het toenemende gebruik van de smartphone ook steeds meer (gevoelige) bedrijfsdata op deze apparaten staat.
Dat stelt Petra Uding, Marketing Coördinator van CRYPSYS Data Security. Op deze apparaten wordt immers niet alleen de mail gelezen, maar worden ook bestanden opgeslagen en gedeeld en wordt er gebruik gemaakt van het internet, misschien zelfs wel van het bedrijfsnetwerk. Hoewel er op deze manier een groter risico ontstaat op bijvoorbeeld het binnenhalen van malware en het verliezen gevoelige data, blijkt de controle op deze apparaten minder vanzelfsprekend dan die op laptops of pc’s.
Doordat de telefoon van oorsprong geen pc was wordt hij door de IT-afdeling vaak ook nog niet als zodanig behandeld. Mede doordat het management zich vaak niet bewust bezig houdt met de risico’s en richtlijnen ontbreken. Ook is er nog geen bewustwording gaande op dit gebied.
Standaard code
De laatste tijd is er bijvoorbeeld veel te doen geweest over de voicemail hacks die onder andere News of the World toepaste bij het vergaren van informatie. Deze voicemails worden beschermd door een viercijferige code, maar die laten mensen vaak op de standaardcode staan. Hetzelfde gebeurt met de toegangscode voor de smartphone. Zelfs als mensen deze code wel wijzigen dan circuleren er lijsten met de meest voorkomende wachtwoorden.
Controle
Daarnaast kunnen ze uiteraard ook geïnfecteerd worden met een virus, dat vervolgens ook het bedrijfsnetwerk binnen zou kunnen komen. Eigenlijk kennen smartphones doordat erop wordt gemaild, gedownload en gesurft ongeveer dezelfde risico’s als een laptop. Zorg ervoor dat u de controle houdt over uw data.
De grote hoeveelheid privé-apparaten die medewerkers meebrengen naar de werkvloer vormen hierin een extra risico. Uit recent onderzoek van Citrix blijkt dat in ruim 9 op de 10 organisaties privé-apparaten worden gebruikt voor werkdoeleinden.
Er zijn mogelijkheden om bedrijfsgegevens en –applicaties (en zelfs complete desktops) veilig te leveren naar mobiele apparaten. Dit wordt centraal geregeld vanuit het datacenter. Het is aan te raden een duidelijk 'Bring Your Own'-beleid op te stellen voor deze manier van werken.
Het is inderdaad erg belangrijk om beleid op te stellen en af te dwingen. Door er een vorm van endpoint security op uit te voeren of door zoals door je suggereerd alle data in ''de cloud'' of organisatie zelf te houden zodat de informatie niet fysiek op de mobiele apparaten staat.
Het nadeel hiervan is echter weer dat deze data dan niet beschikbaar is wanneer je niet over internettoegang beschikt. Het blijft dan ook van belang om te kijken wat voor oplossing het beste bij de eigen behoefte aansluit.
Ik heb het rapport even uitgeprint, het leek me zeker interessant om te bekijken.
Het gebruik van 'consumer' devices (o.a. tablets, smartphones) voor bedrijfsinformatiesystemen is een verandering die zeker plaats gaat vinden. Beveiligingsrisico nemen niet automatisch toe. Juist het gebruik van 'eigen' devices voor werk geeft nieuwe kansen en mogelijkheden. Wel is een kritische blik naar het huidige beveiligingssysteem wenselijk. Maar het is een misvatting om te denken dat met de komst van (eigen) devices naar de werkvloer beveiligingsrisico's automatisch significant toenemen. Imho zou het beter zijn om energie te steken in het ontwikkelen van een beveiligingssysteem dat deze ontwikkelingen goed ondersteund ipv nieuwe beleidsregels op te stellen en deze proberen af te dwingen. Een goed beveiligingssysteem is bij voorkeur leverancier neutraal. En de kracht van het systeem is niet afhankelijk van één specifieke leveranciersoplossing.