Security Professionals - ipfw add deny all from eindgebruikers to any

Bring your own device

25-06-2011, 05:26 door Anoniem, 21 reacties
Leuk vraagje.
Bedrijf x hanteert principe "bring your own mobile device". Er is geen Security baseline voor mobile devices. Security baselines zijn wel in orde voor servers, workstations, switches, laptops.

Het bring your own device principe is gekozen vanwege de kosten, dus ipv ipad, iphones, blackberries van de zaak brengt iedereen zijn eigen meuk mee. Nog een leuk iets, de device moet wel zakelijke mail kunnen ophalen, maar moet wel remote te wipen zijn, en data mag bijvoorbeeld niet in de Apple cloud worden gezet.

Hoe ga je dit managen, het moet mogelijk zijn om remote multi platform mobile devices te kunnen wipen......

Je hebt dus aan de ene kant te maken met zakelijke mail, maar dus ook met prive mobile devices die je dus niet mag dichtzetten omdat ze dus privé zijn en je dus niet zomaar een privé mobile device mag dichtzetten...

Onmogelijk, of wel mogelijk ? En wat zou je dan doen ?
Reacties (21)
26-06-2011, 21:47 door [Account Verwijderd]
[Verwijderd]
26-06-2011, 22:50 door KwukDuck
Als mijn werkgever wil dat ik mobiel zakelijk kan werken/communiceren dan moet hij daar ook de voorzieningen voor treffen.
Hiervoor ga ik niet mijn eigen apparaat opofferen...
27-06-2011, 00:23 door Bitwiper
Door Anoniem: Leuk vraagje.
Nou nee. Behalve "veel te groot" zijn de risico's niet in te schatten.
En wat zou je dan doen ?
Ander soort werk zoeken of rekening houden met https://secure.security.nl/artikel/37583/1/%22Sony_ontsloeg_security_team_voor_eerste_hack%22.html.
27-06-2011, 03:58 door Anoniem
Het bring your own device principe is gekozen vanwege de kosten, dus ipv ipad, iphones, blackberries van de zaak brengt iedereen zijn eigen meuk mee. Nog een leuk iets, de device moet wel zakelijke mail kunnen ophalen, maar moet wel remote te wipen zijn, en data mag bijvoorbeeld niet in de Apple cloud worden gezet.

Hoe ga je dit managen, het moet mogelijk zijn om remote multi platform mobile devices te kunnen wipen......

Hoe wil je dit überhaupt juridisch afvangen? Wie is in principe verantwoordelijk voor de hardware en software?
Welke eisen en/of wensen mag je dan stellen en verwachten van de medewerkers? Wie is verantwoordelijk voor de schade door bijvoorbeeld malware? Stelt het bedrijf dan de werknemer dan verantwoordelijk? Dekt de verzekering van de medewerker dan de schade? Heeft de medewerker dan een rechtsbijstandverzekering nodig?

Over dergelijke vragen zal men toch eerst om de tafel moeten zitten met een onafhankelijke juridische adviseur, dwz een gespecialiseerde advocaat.

Vanuit een security oogpunt zal je eerst alle mogelijke risico moeten duiden en classificeren. Uit de classificatie blijkt dan welke risico's het bedrijf kan nemen en welke mogelijk niet. Daarna kan men pas een correct antwoord formuleren.
27-06-2011, 09:29 door Anoniem
volgens my begrijpen jullie het niet, Het zijn juist de medewerkers die verwachten dat hun persoonlijke device phone of tablet of mischien wel gewoon hun computer, aangesloten kan worden op het netwerk van hun bedrijf, En ja dat is op dit moment nog niet goed te managen, behalve het compleet wipen van de telefoon zijn er geen goede beheerstool zover ik weet, als die er wel zijn laat maar horen.
27-06-2011, 09:48 door spatieman
dit doet me denken toen ik de eerste een gsm had, toen ze op mijn werk daar lucht van kregen moes ik het nummer maar geven, zodat ik te bereiken was voor hun.
dacht ik dus niet.
ik had het ding voor mij gekocht, en niet voor mijn baas.
27-06-2011, 09:54 door Anoniem
Neem eens een kijkje bij Mobileiron op de site. Dit is een geniale tool om IOS, Android, Blackberry, Symbian en windows devices te managen. Het kan alles van lokaliseren, selective wipes, tot standaard configs meegeven en over-the-air enrollment.
27-06-2011, 10:56 door Mysterio
We hebben dat probleem hier een beetje.

Officieel wordt het niet ondersteund, maar de handleidingen zijn wel beschikbaar. En nu is het hier zo opgezet dat alles al zo open is dat dit nog het minst van de problemen is!

Ik ben verantwoordelijk voor mijn gedeelte, en dat zit dus dicht. Ik zou hier geen exchange beheerder willen zijn, maar men doet maar wat.

Hoe ga je ermee om? Mensen verantwoordelijk houden voor hun eigen data. Als hun werk op straat ligt gaat hun onderzoek er vandoor. Niet mijn probleem dus ;) en omdat het officieel niet wordt ondersteund, niet wordt aangeboden etc. gaan we ook niet de shit van de gebruiker oplossen.
27-06-2011, 11:34 door Anoniem
Door Anoniem:

volgens my begrijpen jullie het niet, Het zijn juist de medewerkers die verwachten dat hun persoonlijke device phone of tablet of mischien wel gewoon hun computer, aangesloten kan worden op het netwerk van hun bedrijf, En ja dat is op dit moment nog niet goed te managen, behalve het compleet wipen van de telefoon zijn er geen goede beheerstool zover ik weet, als die er wel zijn laat maar horen.

Met PF* kan je bepaalde "devices" weren uit je netwerk. I
Ik denk er verschillende goeden reden zijn om privemobile devices te weren uit.
Het filteren van Mac adresen kan voor hardware handig zijn.

* http://en.wikipedia.org/wiki/PF_(firewall)
27-06-2011, 12:45 door Anoniem
Tja, Dat lijkt mij inderdaad simpel. Tussen 8:30 en 17:00 ben ik bereikbaar op mijn vaste telefoon. En voor de rest, hasta la pasta :-)

Ik heb alle begrip voor bedrijven die kosten willen reducenen. En hoe sommige mobiele telefoons worden behandeld is inderdaad erg droevig.
Maar als de baas mij in mijn prive tijd wil lastig vallen dan regelt hij dat maar. Zeker als hij hem wil wipen als omdat zijn data erop staat. Er is niets mis met een degelijke smartphone die het altijd doet.
27-06-2011, 13:14 door johanw
Ik wil best mijn werkmail op mijn prive telefoon ophalen, maar ik geef mijn werkgever beslist niet het recht om MIJN telefoon te wipen. Een keer die fout gemaakt door Mail for Exchange op mijn Nokia te zetten, begint die meteen van alles en nog wat te eisen (security code aanpassen, toestel lockt zichzelf na 15 minuten). Gelukkig was dat na een backup maken, toestel volledig leeggooien en backup terugzetten weer over, maar die rommel komt mijn telefoon dus niet meer op.
27-06-2011, 14:58 door Anoniem
Het is hem maar net waar je je veilige en onveilige zones op je netwerk wil definiëren.

Ga je er van uit dat je hele LAN veilig moet zijn dan heb je een probleem met eigen devices. Zet je je servervloer met citrix of met nx weg dan is het een kwestie van een firewall er vlak voor en de rest van de systemen kan je beschouwen als internet.
Je moet dus als systeembeheerder je grens wat verleggen.

Waarom een eigen device.. de baas geeft je daar een vergoeding voor en je kunt zelf kiezen wat je wilt hebben. Je bent echter ook zelf verantwoordelijk voor het onderhoud - lees connectiviteit naar het netwerk.
Maar ook de beveiliging van je device moet dan door jezelf geregeld worden, ook dusdanig dat derden de data van de werkgever niet kunnen benaderen.

Verkeerd, niet echt, alleen het vergt wat creativiteit van beheerders.
27-06-2011, 15:11 door Anoniem
"Het zijn juist de medewerkers die verwachten dat hun persoonlijke device phone of tablet of mischien wel gewoon hun computer, aangesloten kan worden op het netwerk van hun bedrijf"

Het is een dom idee, ongeacht van welke kant de vraag komt. Bedrijfsinformatie moet gewoon op apparatuur van het bedrijf staan, anders heb je er geen controle meer over. En als personeel moet je gewoon om apparatuur van de zaak vragen. Komt men daar niet mee, dan is die tooling er niet tbv werk.

"En ja dat is op dit moment nog niet goed te managen, behalve het compleet wipen van de telefoon zijn er geen goede beheerstool zover ik weet, als die er wel zijn laat maar horen"

Al zouden er goede beheerstools zijn, waarom zou het werk prive apparaten moeten kunnen managen ? Indien personeel eigen devices mag gebruiken, dan moet er genoeg vertrouwen zijn om er vanuit te gaan dat dat personeel zelf de gegevens verwijdert wanneer men uit dienst gaat. Een remote beheer tool is een wassen neus, want indien dat vertrouwen ongegrond is, dan zal de medewerker toch een kopie maken voor de gegevens gewiped worden.
27-06-2011, 15:26 door Mysterio
Door johanw: Ik wil best mijn werkmail op mijn prive telefoon ophalen, maar ik geef mijn werkgever beslist niet het recht om MIJN telefoon te wipen. Een keer die fout gemaakt door Mail for Exchange op mijn Nokia te zetten, begint die meteen van alles en nog wat te eisen (security code aanpassen, toestel lockt zichzelf na 15 minuten). Gelukkig was dat na een backup maken, toestel volledig leeggooien en backup terugzetten weer over, maar die rommel komt mijn telefoon dus niet meer op.
Je snapt het niet hè? Als jouw telefoon gejat wordt, zonder de toegangscodes etc ben je erg blij wanneer systeembeheer de mogelijkheid heeft je apparaat te wipen.
27-06-2011, 15:43 door johanw
Als mijn telefoon gestolen wordt kan ik die zelf blokkeren, daar heb ik geen systeembeheer voor nodig. Boven dien zijn die paar werkmails toch voor niemand interessant. En ik heb er al helemaal geen zin in dat als ik ruzie op het werk krijg systeembeheer opeens opdracht krijgt mijn telefoon leeg te gooien. Als ze zo'n controle willen geven ze me maar een toestel van het werk.
27-06-2011, 15:48 door Anoniem
volgens my begrijpen jullie het niet, Het zijn juist de medewerkers die verwachten dat hun persoonlijke device phone of tablet of mischien wel gewoon hun computer, aangesloten kan worden op het netwerk van hun bedrijf, En ja dat is op dit moment nog niet goed te managen, behalve het compleet wipen van de telefoon zijn er geen goede beheerstool zover ik weet, als die er wel zijn laat maar horen.

Ik begrijp het wel, maar de directeur zal eerst een beleid moeten bepalen. Die zal moeten uitspreken of medewerkers wel hun eigen hardware mogen aansluiten. Is er geen besluit, dan zou de communicatie naar de medewerkers moeten zijn dat het op dit moment nog geen mogelijkheid is en dat men eerst vanuit management een antwoord dient te hebben of het mag.
27-06-2011, 17:20 door Anoniem
BYO moet je lezen als "de apparatuur is niet van de IT-afdeling", dat kan dus jouw eigen laptop of smartphone zijn maar het kan ook zomaar zijn dat jouw afdeling een paar macbook's aanschaft.

Bij een school heb je al een situatie dat er heel veel ongemanagede devices zijn, een laptop en smartphone zijn tegenwoordig eerder regel dan uitzondering onder studenten. Het workstation-lan wordt dus al net zo vijandig beschouwt als het internet. Voor medewerkers zijn er 2 keuzes: een volledige gemanagede desktop/laptop met veel support, of BYO en je krijgt alleen connectivity support, maar dat laatste kost een afdeling veel minder.
27-06-2011, 20:09 door Anoniem
Mcafee Enterprise Mobility management (EMM) kan gebruikt worden. Hiermee kan een telefoon ook gedeeltelijk gewiped worden dus alleen je zakelijke profiel. Hiermee kan zowel Iphone/Ipad als Android en Windows mobile mee beheerd worden. Vanuit Security gezien kun je met zulke tooling Remote Wipen, Pincodes e.d. afdwingen en later ook apps uitrollen. De grens tussen prive en zakelijk zal vervagen.
27-06-2011, 20:37 door Anoniem
Bij Shell lopen ze behoorlijk voorop als het gaat om architectuur op dit gebied. Daar werken ze met de gedachte dat bedrijfsapplicaties niet gebonden moeten zijn aan een type device, of dat nou desktop, laptop of smart device is. Medewerkers zouden een budget kunnen krijgen en zelf een device kopen. De device baseline zou dan alleen de minimale eigenschappen bevatten.

Nu de verschillende devices en de verschllende platformen naar elkaar toe kruipen en grofweg hetzelfde kunnen, is dat helemaal geen gekke gedachte. Medewerkers willen niet met meerdere devices rondlopen die hetzelfde kunnen (mijn vrouw heeft 1 blackberry, 1 iPhone en 1 Nokia! Goed dat ze een handtas heeft :-) ).

Misschien moet het dan alleen nog mogelijk gaan worden om selectief delen van een device te wipen (zoals een bepaald Exchange account).
27-06-2011, 21:08 door Anoniem
Kijk eens op http://www.good.com/products/ werkt met een sandbox mechanisme. Erg schitterend.
28-06-2011, 10:47 door Anoniem
DME is vergelijkbaar met GOOD. platform onafhankelijk en erg geschikt voor bring your own.!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.