Mijn advies is om niet direct in oplossingen te denken, maar eerst beveiligingsbeleid op te stellen. Hierin moet in ieder geval staan wat onder bedrijfskritische en gevoelige gegevens wordt verstaan. Ook dient er een risico analyse uitgevoerd te worden op zowel de data als de systemen waarop die informatie wordt bewerkt en opgeslagen. Wat zijn je dreigingen en hoe wil je je hiertegen beveiligen. Pas daarna ga je in oplossingen denken, niet eerder!

Als men van mij verwacht dat ik ook thuis werk dan zorgen ze maar voor een laptop of thuiswerkplek.

Maakt dat de informatie voor je werkgever veiliger?
Want daar gaat het toch over in deze kwestie? Toch niet of jij een mooie werkplek thuis krijg met een leuk speeltje erbij?

Zeker wel. Die thuiswerkplek/laptop heeft een VPN verbinding.. Tevens is'ie niet voor persoonlijk gebruik.

Precies!

Je gaat er blijkbaar vanuit dat een thuiswerkplek zo is ingericht dat er geen "persoonlijke" zaken mee kunnen gedaan worden. Dat riekt naar beleid over waar een thuiswerkplek voor gebruikt mag worden. ;-) Hoe deze werkplek is beveiligd en hoe deze contact maakt met het bedrijfnetwerk is een keuze.

Toch eerst nadenken en dan doen lijkt het.

Uiteraard... Maar heel lang hoef je daar niet over na te denken toch? Lijkt me een behoorlijke open deur...
Wat voor de desktops/laptops intern geldt, geldt net zo goed voor een zelfde plek thuis.

"In de ideale wereld zou je misschien het mailen van bedrijfsgegevens naar een e-mailadres willen verbieden, ..."

Ehm. Hoezo niet naar het bedrijfsemail account, zolang men maar zorgt dat deze veilig te benaderen is via webmail (i.e. afschermd door gebruikt van VPN verbinding, HTTPS e.d.) ?

Het gaat in eerste instantie niet om het verbieden, maar om het bieden van de juiste mogelijkheden voor de medewerkers, zodat ze ook geen noodzaak hebben om de spullen naar een prive account te sturen. Naast het scheppen van die mogelijkheden kan je natuurlijk best ook aangeven wat niet is toegestaan.

"...maar dat is in de praktijk niet haalbaar."

Volkomen onzin, want je kan zelf voor het alternatief zorgen, zodat werknemers vanaf internet net zo gemakkelijk bij hun zakelijke als bij hun prive email kunnen komen.

"Hetzelfde geldt voor het verplichten van encryptie op een USB-stick, een goed idee, het valt en staat met de uitvoering door de werknemer. "

Onzin, het valt of staat bij de aan de werknemer geleverde middelen. Beveiligingsmaatregelen, zoals de encryptie van een USB-stick, moet je niet zomaar kunnen omzeilen. En nee, je kunt niet verwachten dat als de werknemer zelf een USB-stick aanschaft, en dat deze vanwege een richtlijn encryptie erop plaatst.

Indien je dit wilt moet je dus :

1) als bedrijf beveiligde usb-sticks leveren, waarbij de encryptie mandatory is
2) een verbod stellen op het gebruik van prive usb-sticks

"Maakt dat de informatie voor je werkgever veiliger? Want daar gaat het toch over in deze kwestie? Toch niet of jij een mooie werkplek thuis krijg met een leuk speeltje erbij?"

SirDice heeft 100% gelijk. Ten eerste behoort een bedrijf de benodigde middelen te leveren wanneer verwacht wordt dat mensen thuiswerken, en ten tweede kan je een goede beveiligingspolicy enkel afdwingen wanneer de apparatuur in bezit van het bedrijf is.

Tenslotte kun je je als bedrijf ook afvragen of je bedrijfsinformatie op prive computers wilt, mede gezien het feit dat dit de kans drastisch vergroot dat bedrijfsinformatie in handen van personeel blijft wanneer ze het bedrijf verlaten.

Hoe wil je als bedrijf een security policy afdwingen op systemen die niet van jou zijn, maar van de werknemer zelf ?

Ja, want een kluis in je auto neemt niets in beslag?
Lijkt me geen logische optie gezien het feit dat in de realiteit mensen geen gebruik zullen maken van een autokluis.

Ik persoonlijk ben voor het feit, niet thuis werken, gewoon op kantoor. Tenzij je op zakenreis bent, lekker verbinden met een goed beveiligd systeem en vpn.
Ik bedoel, waarom werk je anders? Als je thuis wilt werken, begin dan een eigen bedrijf. Thuis werken is voor mij een teken van luiheid.

TrueCrypt (http://www.truecrypt.org/) is een relatief eenvoudig te gebruiken programma waarmee data op o.a. USB-sticks maar ook hard disk en evte. e-mail attachments goed te encrypten is. Het hoeft niet geïnstalleerd te worden, zodat het hele programma zelf op de USB-stick kan worden gezet.
Voor de paranoiden onder ons, kan zelfs een "onzichtbaar" volume worden aangemaakt, waarmee je kunt ontkennen dat je gevoelige gegevens op de stick hebt staan, zelfs als je wordt gedwongen de sleutel af te staan.

Dat is iets langer dan je denkt...
Eerst maar eens wil je als bedrijf dat er thuisgewerkt wordt.

Bij ja wat voor beveiliging wil je toepassen?
Moet het altijd toegankelijk zijn, ook zonder speciale client?
Wat voor eisen stel je aan de remote werkplek?
(En ja dit geldt ook voor beschikbaar gestelde werkpleken)
Hoe ga je om met bedrijfsdata, lokaal, alleen remote, alleen data waar direct meegewerkt wordt lokaal?
Hoe regel je de verbinding met de bedrijfsdata?
Is alle bedrijfsdata toegangkelijk?
Wat voor logging pas je toe?
Hoe ga je misbruik opsporen of doe je dat niet?

Zo maar een paar vragen waar je even aan moet denken. Het hoeft niet lang te duren maar je schudt het niet een twee drie uti je mouw.

In praktijk valt dat het juist mee dat men het heel snel uit de mouw kan schudden als men eenmaal de beslissing heeft genomen dat thuiswerken mogelijk moet zijn. Daarna wordt het gewoon gereduceerd tot een kostenplaatje. En dan moet je gewoon de beste oplossing kiezen voor het bedrag wat er voor vrij gegeven wordt.

Bij ja wat voor beveiliging wil je toepassen?

A) 128Bits encryptie is over het algemeen voldoende.

Moet het altijd toegankelijk zijn, ook zonder speciale client?

A) Sommige zullen kiezen voor de standaard VPN verbindingen van Windows. Eventueel kan men kiezen voor een meer geavanceerde oplossing. Uiteraard bepaald het budget dat wat men kiest.

Wat voor eisen stel je aan de remote werkplek?
(En ja dit geldt ook voor beschikbaar gestelde werkpleken)

A) Dat is 9 van de 10 keer gelijkwaardig aan de basis eisen zoals die gelden op de zaak

Hoe ga je om met bedrijfsdata, lokaal, alleen remote, alleen data waar direct meegewerkt wordt lokaal?

A) Als je kiest voor VPN is de keuze tussen data remote of lokaal niet zinnig. Dergelijke oplossingen zijn veelal te duur en worden supersnel geschrapt.

Hoe regel je de verbinding met de bedrijfsdata?

A) Dat zal 9 van de 10 keer via internet verlopen.

Is alle bedrijfsdata toegangkelijk?

A) Ook al zul je beperkingen instellen in het begin, al gauw zullen die beperkingen worden verschoven. Op een gegeven moment zullen er nauwelijks beperkingen zijn. Immers wil men thuis exact hetzelfde als dat men op het bedrijf heeft.

Wat voor logging pas je toe?

A) Basic logging is wat men 9 van de 10 keer zal kiezen. Immers kan het voorkomen dat men met meer logging andere problemen op de hals halt. Het nakijken van meer logging kost meer tijd.

Hoe ga je misbruik opsporen of doe je dat niet?

A) Wat is misbruik in dit geval? Oneigenlijke toegang of overtreding van het beveiligingsbeleid zoals deze geldt op de normale werkplek? Of bedoeld men hier het opsporen van activiteiten van ongewenste indringers?

(Antwoord op jouw vragen binnen 4 minuten. Zo uit de losse mouw.)

En de praktijk is dat mensen hun laptop wel privé gebruiken, hun kinderen er spelletjes op laten doen. En hun dan voor het gemak ook maar het wachtwoord geven. Het is om te huilen, ok, maar het gebeurt wel.

Mischien dat je er toch wat langer over moet nadenken.

Encrypty is geen beveiliging maar een tool. Je hebt nog steeds niet aangegeven wat je wilt beveiligingen en hoe je dat denkt te gaan doen.

Op de zaak kan je gemakkelijker afdwingen dat de werkplekken inderdaad aan die eisen voldoen. Hoe ga je dat voor thuiswerkplek doen? Er is minder controle op wat daar gebeurt, mischien dat je toch liever wat extra maatregelen neemt? Kan je thuis ook alles afdwingen wat je op de zaak gebruikt? Inloggen met een certificaat o.i.d. is op de zaak wel te realiseren maar thuis?

Hoe je om gaat met je bedrijfsdata is afhankelijk van de waarde die eraan hangt en de gevoeligheid van die data. Om bijvoorbeeld persoonsgegevens thuis te kunnen bewerken, daar moet je even over nadenken wat daar de consequenties van kunnen zijn.

De verbinding met je bedrijfsdata kan via Internet. Er zijn ook andere mogelijkheden zoals onderdeel worden van een bedrijfs MPLS wolk. Over internet is een VPN handig maar niet perse noodzakkelijk dat hangt van je bedrijfsdata af, dan moet je alleen nog nadenken over wat voor tunnel je wilt. (IPSEC, HTTPS, openVPN, etc)

Het hangt van je bedrijfsdata af of je alle werkzaamheden vanaf thuis wilt toestaan. Dat bepaalt welke data er vanaf thuis toegangkelijk is. Juist omdat er anders, zoals je aangaf, er dan gebruik wordt gemaakt van mogelijkheden die niet gewenst zijn.

Er zit wel degelijk verschil in logging tussen een thuiswerkplek en een werkplek bij een bedrijf. Je bent een gedeelte van de controle kwijt, op basis daarvan kan je beslissen of wat er overblijft voldoende mogelijkheden biedt om aan je verplichtingen te voldoen of dat er extra maatregelen genomen moeten worden.

Que?

Alles, full disk encryption, alleen connectie via vpn.

Exact hetzelfde. Waarom zou het anders zijn?

Oh? Wel eens van auditting gehoord? En nee, gebruikers krijgen geen local admin rechten. Vanwege de full disk encryption kan er ook niet zo snel via een alternatieve manier ingelogd worden (local admin password reset bijv).

Ja.

Ja, m'n huidige laptop heeft zo'n mooi sleufje aan de zijkant. Ik gebruik daarvoor een keycard. Die laptop werkt op kantoor en thuis exact hetzelfde. Het enige verschil is dat ik thuis een VPN moet opzetten.

Als je het geheel beveiligd hoef je je daar niet zo'n zorgen om te maken.

Waarom zouden de technische details belangrijk zijn voor het principe danwel het beleid?

Bij een thuiswerkplek ga ik er vanuit dat men hetzelfde doet als op kantoor.

Tja, het blijft lastig issue, als mensen echt willen omzeilen ze dit toch wel. Vaak uit het oogpunt van usability. Mooi voorbeeld is bv dat je hier op op de exchange server niet meer dan paar MB per mail mag versturen. Als er dan bijvoorbeeld grote file naar klant moet worden gestuurd. Gaat de oude generatie werknemers (boven de 30/40) aan de slag met winzip en het opdelen etc.

De nieuwe generatie werknemers / de jeugd knalt het gewoon op gmail of nog erger rapidshare ofzo. Dit voorkom je alleen met voorlichting en in de toekomst met DRM toepassingen denk ik.

Encryptie is weldegelijk een beveiliging maar inderdaad het is ook een tool. In de meeste gevallen zal je de verbinding willen beveiligen. Vandaar dat 128Bits Encryptie vermeld staat. Encryptie van de lokale harde schijf is bij VPN niet altijd aan de orde.


Thuiswerken hoor je per definitie op een systeem van de zaak te doen. Niets voor niets leveren diverse bedrijven daarom ook notebooks uit aan medewerkers die dat doen. Daarmee kunnen ze de eisen die ze stellen aan een werkplek heel gemakkelijk 1 op 1 door zetten. ;-)


Zie boven. Eigen hardware leveren. Het is per definitie fout dat je medewerkers op hun eigen systeem laat werken.


99 van de 100 VPN verbindingen van medewerkers met het eigen bedrijf zullen lopen over internet. Andere methodes zijn leuk, maar worden 99 van 100 keer geschrapt om budgettaire redenen.


Het is het management die dit soort zaken bepaalt. Het is een taak van een Security Professional om erop toe te zien dat het op de meest effectieve en prijsbewuste manier gebeurt. Het bedrijf bepaalt welke data men beschikbaar wilt stellen. Echter wijst de praktijk uit dat de beschikbaarheid van de data vaak totaal zal worden.[/quote]

Zie eerder het vermelde commentaar over het leveren van notebooks.

Alles Google, veilig en simpel !
Gmail, Google docs en Google spreadsheets. Google calendar, samenwerking mbt files & afspraken is nog nooit zo simpel geweest en veilig bovendien :)

Afgezien van de correcte opmerkingen over beviligingsbeleid, mis ik in deze discussie de toepassing van Citrix-achtige oplossingen waarmee je heel goed het verkeer kunt beveiligen en kunt afdwingen dat er geen data op de remote werkplek terecht komt.

Zolang de server van mijn baas mij weigert te verbinden wanneer ik van thuis uit met SE-Linux, gebruik makend van Opera tracht in te loggen en mij adviseert om Internet-Explorer te gebruiken werk ik niet thuis.

Citrix is inderdaad een mogelijke oplossing. Een dergelijke oplossing zou gewoon mee moeten wegen in de kosten/baten/risco analyse.

Wat dacht je van een Firewall van Fortinet gebruiken, op de client een Forticlient (Deze pakt gegevens/settings over van de Firewall, anders wordt er geen verbinding gemaakt) en sluit lokaal verkeer af.

Is ook een optie. Het is afhankelijk van de business case of men split-tunneling wilt of niet.