Bring Your Own device een goede of slechte ontwikkeling?

Er zijn meerdere aspecten aan verbonden, zodat je de vraag met ja en nee kunt beantwoorden.

VOORDELEN
- de medewerker kan thuis en op het bedrijf hetzelfde tool gebruiken met hetzelfde user-interface
- dit smart device is anywhere en anytime te gebruiken
- cybercriminelen krijgen anno 2011 en daarna een stuk gemakkelijker toegang tot vetrouwelijke informatie, kunnen bedrijfsgegevens sneller manipuleren dan wel omgevingen beinvloeden in negatieve zin (continuiteit) zonder dat beveiligers daar goed grip op krijgen
- het security awareness nivo zal, na tijdelijke daling gedurende enkele jaren, daarna snel verhoogd worden zodra er persoonlijke of zakelijke ongevallen hebben plaatsgevonden
- het bedrijf hoeft sec aan devices minder uit te geven/investeren (hardware, licenties software, omgeving, opleiding) dat allemaal door de medewerker dan wordt betaald)
- minder administratorkosten omdat de medewerker zelf wel zorgt voor updates en nieuwe apps
- geen/minder afschrijving van hardware- en software componenten

NADELEN
- de helpdesk zal het lastiger krijgen door de varieteit en diversiteit aan smart devices van smartphones tot tablets, platformen Ipad/Android..., merken en software apps - technisch en functioneel beheer zal complexer worden door de verschillen in implementaties
- Het kostbare en noodzakelijk zijnde pakket aan beveiligingsmaatregelen dat de laatste jaren voor PC-platformen is geimplementeerd blijkt op tablets/smart telephones maar minimaal beschikbaar te zijn met alle gevolgen van dien voor bedrijfsomgevingen
- 'Vogelvrije ('volwassen') thuis PC's zijn anno 2011 zelfs nog steeds niet voldoende veiliug voor bedrijfsmatig gebruik met alle risico's van dien voor bankieren, financiële transacties, bedrijfsactiviteiten etc..
- een smartdevice zit qua security zelfs nog in een puberstadium in vergelijking met deze volwassen PC-thuisomgevingen.
- zelfs hoger management blijkt nog steeds niet het risico 'aan te voelen' zolang het niet hun 'eigen beurs' betreft, maar dat zal snel veranderen
- auditors zullen de nodige verbeteradviezen (achteraf) geven mbt smart devices
- het persoonlijke device zal eerder afgeschreven worden door intensief (zakelijk) gebruik wat de medewerker eerder op kosten drijft
- er zullen minder resources beschikbaar zijn voor persoonlijk gebruik ten gevolge van het zakelijk werken (geheugen, CPU)
- prive gebruik kan/zal negatieve invloed hebben op de bedrijfsomgevingen (hacks, malware, spyware) dan wel kan tot wettelijk misbruik leiden als wetten worden overtreden (XXX, illegale software, auteursrechten mp3, video...)
- authenticatie/identiteits conflicten doordat de bron niet meer echt tot bedrijfsomgevingen is te herleiden
- belangenverstrengeling/grijze gebieden in geval van overtredingen wetgeving
- er zal iets geregeld moeten worden voor directe vervanging/funding in geval van verlies, diefstal, defect raken van het persoonlijke smart device
- juridisch zal dit terrein voer voor specialisten worden in geval van tegenstrijdige conflicten tussen prive en bedrijfsbelang

De toekomst gaat gewoon die richting op en deze vooruitgang is niet tegen te houden, echter er zullen de nodige 'vallen en opstaan' ongevallen plaatsvinden voor medewerkers en bedrijven die soms zelfs tot desastreuze financiele discontinuïteit / zeer hoge kosten kunnen leiden.

Ik adviseer om goede protocollen, afspraken te maken en de verantwoordelijkheden primair bij de medewerker te leggen (gezien vanuit het smart device) en secundair bij het bedrijf, tenzij.
Er zullen middelen beschikbaar moeten komen die veilig werken in een onveilige omgeving/platform moeten waarborgen.

Recentelijk heeft Pentagon een leuk PC tool uitgebracht (Lightweight Portable Security) waarin ( via extern medium) een Linux-client wordt geboot (zonder schrijfrechten op dat OS) dat wordt gebruikt voor one-time banktransacties. Ook zijn bepaalde Virtuele -/ VPN-clients redelijk veilig als die hier gebruikt worden. Al-met-al zal dit wel weer de nodige uitdagingen gaan geven voor directeuren, managers, beheerders, security mensen, juristen...en eindgebruikers

In dit stadium durf ik persoonlijk de huidige (Android-)tablets/smartphones, anders dan Black Berry niet voor Internetbankieren en / of 'gevoelige' bedrijfsomgevingen te gebruiken, misschien jullie wel!

Scheiden van zakelijk en prive gebruik / informatie is (technisch) uiterst lastig op beide soorten devices UTCD (Use The Companies Device) en BYOD (Bring Your Own device) als er geen - adequate organisatorische afspraken (sancties!) - gemaakt worden / c.q. verantwoordelijkheden zijn belegd.

Bij security-bewuste, integere en kundige medewerkers (de meesten) zit niet het probleem maar meer bij minder 'behendigen' die meer risico's nemen, dan zou mogen/kunnen, met alle gevolgen van dien.

Maar security mensen moeten daar veel vanaf weten: studenten zijn representatief voor de meest voorkomende situaties.

Ik heb meer in commerciële, 'gesloten' omgevingen (hoog afbreukrisico bij commerciële multi's) gewerkt met UTCD's en de daarbij behorende gebruiksregels.

Echter met de huidige geavanceerde aanvalstechnieken wordt het er niet gemakkelijker als je doelwit bent geworden van cybcercriminelen/maffia. "If you haven't been hacked, then you're doing something wrong, since you have nothing valuable to steal".

Op dit moment neemt het aantal gekochte en gebruikte (Android) tablets enorm toe en de security behoefte per Android ook nog eens, want dat zijn nu de zwakste schakels in de keten geworden. Ik ben benieuwd naar de regels, richtlijnen en reacties van EDP-auditors en andere (onafhankelijke) Security Consultants.

Av-scanner en Firewall (kwaliteit op Android?) zijn inderdaad belangrijk als minimale basis en goed uitgangspunt maar anno 2011 nog steeds onvoldoende in mijn ogen.

Ze zijn zeker niet de enige maatregelen.

ECHTE awareness, kennis, kunde en de nodige voorzorgsmaatregelen daar gaat het ook nog om. Met al die 0-day attacks, spear attacks, Social Media attacks, Adobe en flash vulnerabilities, Stuxnet enzo. Daarnaast ken ik nog geen echt goede AV-software en Firewalls voor Android devices maar ik weet ook niet alles en kan me vergissen.

Hierin zitten thans de grote uitdagingen. Ik ben bezig een veilige omgeving te onderzoeken voor meerdere onveilige platformen in onveilige locaties. Denk daar bij aan veilige Linux op stick-onetime boot zoals LPS (Lightweight Portable Security - Pentagon), de 'Stick van Defensie medewerkers' en XPUD (maar deze vertrouw ik zelf niet tgv onbekende bron in China). Varianten: native boot en boot in virtuele omgeving. Native is daarbij nog beter dan virtueel. Complexe malware kan in/uit virtuele omgevingen opereren. Alleen een clean, non writable originele boot-image (Linux is daar beter voor geschikt dan Windows om commerciële en organisatorische redenen).

Met Android ga ik dat nog verder uitwerken.

De cloud zal geen oplossing bieden want het gaat in dit geval alleen om het User-endpoint. Als dat veilig is dient uiteraard de rest (cloud e.a. infra) minimaal even veilig te zijn. Echter als infa/cloud veilig zijn en endpoint besmet / overgenomen / gehacked is kan de crimineel namens jou in de cloud zijn werk doen.

Tegenhangers schermen altijd met Risico Analyses maar die gelden, mijn inziens, eigenlijk vooral voor statistische verschijnselen zoals natuurrampen,grote aantallen, voorspelbare trends op basis van fundamenteel onderzoek en ander redelijk voorspelbaar gedrag. Anno 2011 kan iedereen het cyber-slachtoffer zijn/worden van de een op het ander moment, zonder enige aanleiding/statistiek of wat dan ook en dat allemal in een fractie van een seconden bij wijze van spreken. Zeker als banken, grote bedrijven en belangrijke adviseurs de incidenten binnenskamers houden wat bij natuur rampen moeilijker gaat.

I have predicted, as have many computer experts, that the next wave of cyber attacks will come through smart phones, cell phones and their data networks.

Smart phones are almost ubiquitous and attacks launched either using the smart phones or attacking smart phones will be devastating on a scale we have NOT SEEN to date.

Zie InfoSecISland: https://www.infosecisland.com/blogview/16141-News-Applications-Considerations-and-Dangers.html

Een ander 'leuk bijkomstig aspect' is dat kwaadwilligen, of gehackte goedwilligen, op een vrij eenvoudige en nagenoeg onzichtbare manier de bedrijfsnetwerken van binnen kunnen aanvallen met (voor bedrijf illegale SW) Android Hack-tools.

Men heeft bijv. legaal toegang om te werken (Wifi key en MAC) maar gebruikt dan tussendoor hacktools om andere zaken mee te doen c.q. te bekijken.

zie :
- http://www.securitynewsdaily.com/android-hacking-app-could-hijack-computers--1047/
- http://blogs.computerworld.com/18755/killer_android_app_allows_the_clueless_to_hack_pwn_like_a_pen_tester

Advies zou zijn om customized Android en iPad-devices beschikbaar te stellen welke alleen met legale en veilige software werken; goed beveiligd en middels (veilig gestelde) boot images veilig beheren bijvoorbeeld.

De medewerkers kunnen dan met 'hun eigen' lijkende device veiliger werken?

Een belangrijk nadeel zijn de juridische aspecten:

1) Wie is verantwoordelijk voor de gegevens op een prive-systeem.
2) Muziek-bestanden: Is een bedrijf nog aansprakelijk voor de muziek op een prive-systeem die op de zaak aanwezig is?
Kan Buma/Stemra een bedrijf dan nog aanslaan voor een X bedrag?
3) In hoeverre kan men dan een werknemer aansprakelijk stellen voor het verlies van gegevens en de daar aan afhangede kosten?

Een ander nadeel is in hoeverre kan je nog zaken afdwingen die geregeld dienen te zijn? Daarbij moet je dan denken aan updates, anti-virus software (en welke wel of niet), HIPS, firewall, encryptie van gegevens/systeem.
Hoe bewaak je de zekerheid van je netwerkverkeer?

De IT hangt van modes aan elkaar. De verkopers (veelal adviseurs of consultants genoemd) zijn er meesters in, en Steve Jobs is willens nillens hun grote voorganger. Deze modes vinden hun ontstaan altijd in nieuwe "never seen before" apparatuur of software, die aan de man gebracht moet worden - liefst zó dat de kopers het gevoel hebben dat zij de "lucky people" zijn die zo'n apparaatje of programma hebben mógen kopen. Er wordt dan een hele buzz op gang gebracht, die de potentiële kopers het gevoel moet geven dat zij iets beslissends missen wanneer zij niet onmiddellijk besluiten dit product te gaan kopen. Je krijgt dan dat tabbladen in een browser of vegen over een scherm worden opgeblazen tot wereldschokkende vernieuwingen.

Nu is het dan: the cloud. En: neem je eigen apparaat mee. Ik zou wel gek zijn. Ik kan heel goed leven met twee totaal verschillende "gebruikservaringen". Graag zelfs. Hoe groter het verschil, hoe beter. Bovendien: welke gek gaat een flinke spreadsheet zitten bekijken op zo'n minischerm van een pad, of nog erger: het microscherm van een telefoon?

Nee: het apparaat dat je gebruikt moet zijn aangepast aan wat je ermee doet - en niet andersom. Gelukkig kan Jobs zich alvast hiermee niet meer bemoeien.

Weer een ander aspect is hoe om te gaan met zakelijke data op BYODs bij beeindiging arbeidsovereenkomst / diefstal van BYOD. Heden ten dage is het device volledig wipen de enige optie.... En hoe zeker ben je dan van de wipe actie dat er desondanks geen data achterblijft of reeds elders is gesynchroniseerd. Hoe oefen je dan nog controle uit.
Een verbod op zakelijke informatie te verwerken op BYOD zet geen zoden aan de dijk, immers de hoofdreden waarom deze devices worden meegenomen is het altijd bij de hand hebben van deze informatie.
Punt blijft m.i. een duidelijke scheiding tussen zakelijke en niet-zakelijk informatie. Echter hoe duidelijk is deze 'duidelijke scheiding'? En hoe onderhoud je dit?

@Anoniem:
*** Een belangrijk nadeel zijn de juridische aspecten: ***
1) Wie is verantwoordelijk voor de gegevens op een prive-systeem
--- Mijns inziens de prive-persoon!
2) Muziek-bestanden: Is een bedrijf nog aansprakelijk voor de muziek op een prive-systeem die op de zaak aanwezig is?
Kan Buma/Stemra een bedrijf dan nog aanslaan voor een X bedrag?
-- Ik denk dat de prive-persoon in eerste instantie verantwoordelijk is en blijft waar hij dat ook gebruikt. Echter zodra het een bedrijfsmiddels is, zal het bedrijf worden aangesproken.
Indien deze persoon 'onder het werken' illegale handelingen verricht zal de persoon EN het bedrijf erbij worden betrokken.
3) In hoeverre kan men dan een werknemer aansprakelijk stellen voor het verlies van gegevens en de daar aan afhangede kosten?
-- Dit vind ik interessant! De werknemer zal dat niet willen c.q. (financieel) niet kunnen als de schade te groot is.
-- Dit is lekker voer voor juristen denk ik.

***Een ander nadeel is in hoeverre kan je nog zaken afdwingen die geregeld dienen te zijn? Daarbij moet je dan denken aan updates, anti-virus software (en welke wel of niet), HIPS, firewall, encryptie van gegevens/systeem. ***
-- goede discussie voor leveranciers, security-mensen, managers en beheerders.
Organisatorische maatregelen (gedragregels opstellen en laten tekenen; aansprakelijkheden definieren en beleggen), technische controle scripts/software, technische audits.
Dit zijn juist die dingen die al lastig waren bij 'gesloten' desktop' bedrijfssystemen, zijn voor laptops en nu opnieuw 'open' getrokken worden door mobile devices.

***Hoe bewaak je de zekerheid van je netwerkverkeer? ***
-- Aandachtspunt voor leveranciers, security-mensen, managers en beheerders.
Aanvallen kunnen nu van binnenuit plaatsvinden 7x24 uur/dag door 'eigen' (hoog geautoriseerde) medewerkers.

Mee eens.
Hou zakelijk en prive gebruik vooralsnog gescheiden. Dan ben je een hoop discussies kwijt. Ik denk dat dat indirect ecomomischer is dan de combinatie op een BYOD.

Organisatorisch gemakkelijk dmv contract en sancties daarop bij niet nakomen; echter technisch wipen van tablets, smartphones en dergelijk is mijn inziens ook nog een extra punt van aandacht gezien de vele discussies hierover dat de gangbare veilige cleaners voor harde schijven niet goed (genoeg) werken voor flash geheugens.
De kans is groot dat informatie wordt gelekt na uitdiensttreding. Denk aan inhuur, tijdelijke krachten, derden...
Als het device bedrijfseigendom blijft, ligt dat een stuk eenvoudiger.

---
Opzet duidelijke scheiding (organisatorisch/juridisch, technisch, procedureel) tussen zakelijke en prive informatie is een leuke uitdaging voor bedrijven die kiezen voor BYOD.

Wat ik nog expliciet wil aangeven is het volgende:

Het gebruik van een:
a) zakelijk minder goed beveiligd, 'smartdevice' in 'untrusted'/'trusted' prive-omgeving,
b) zakelijk minder goed beveiligd, 'smartdevice' in een zakelijke omgeving (varianten zakelijk al / niet goed beveiligd),
c) prive minder goed beveiligd, 'smartdevice' in een zakelijke omgeving (varianten al / niet goed beveiligd).

Voor ZZP'ers, MKB en multinationals zullen er daarnaast nog verschillende nivo's zijn.

Mijn advies is:
Breng, alvorens BYOD in te voeren, eerst een goed de 'IST-situatie' in kaart voor 'gesloten' bedrijfs desktop systemen en mobiele laptops. Inventariseer eens goed welke organistorische, technische en procedurele maatregelen daarvoor nu zijn getroffen op client PC, infrastructuur, server, applicaties etc. en de bijbehorend gebruiksregels en waarom dit (toen) gedaan is.
Hoeft dit met de komst van tablets/smartphones van de een op de andere dag dan niet meer omdat CEO's, 'jeugdige/moderne' trendvolgers, tabeltverkopers... anders niet hun gadget apps kunnen gebruiken/tonen?

Let wel: ik ben zeer groot voorstander van het gebruik van tablets en ben er elke dag regelmatig graag mee bezig. Het is een genot om er mee te mogen werken. Maar de beveiliging ervan vind ik nog te onvolwassen op dit moment, tenzij anderen me in dit forum kunnen overtuigen dat dit wel zo veilig is voor bedrijf en prive.
Ja; ikzelf vind deze voor privegebruik zelfs nog onbetrouwbaar (*). Ik heb daarom separate 2e accounts aangemaakt voor al mijn online cloud-omgevingen om vooralsnog inbreuk/invloed vanuit 'tablet' op 'desktop' accounts te voorkomen.

(*) Op mijn vaste dekstop heb ik meer dan 30 (technische en organisatorische) beveiligingsmaatregelen actief, waarover ik al eerder eens heb geschreven en desalniettemin moet ik nog dagelijks oppassen en gaat er soms zelfs nog wat mis met de beveiliging van mijn omgeving.

Voor Internetbankieren gebruik ik daarbovenop nog eens 'de Pentagon' boot USB-oplossing op basis van Lightweight Portable Security: gebruik van veilig bevonden oplossing in untrusted omgevingen; one-time per sessie.

Ik denk gezien alle media aandacht, de forse prijsdalingen, expansie van (lowcost/gratis) apps en 'de feeling van dit device' dat tablet/smartphone BYOD-gebruik de ultime uitdaging voor 2012 gaat worden.

Heden op security.nl:
Nederland koploper met virusscanner en firewall http://www.security.nl/artikel/38855/1/Nederland_koploper_met_virusscanner_en_firewall.html

Blijft dit dan ook bij tablets iPad en Android?

Zie net in de mail dat er in december a.s. een seminar “Smartphone en tablet: uitdagingen voor online veiligheid in het mobiele ecosysteem” wordt gehouden door ECP-EPN.

Dit is een onafhankelijk platform waar overheid, bedrijfsleven en maatschappelijke organisaties kennis uitwisselen en samenwerken om de kansen die de informatiesamenleving biedt te benutten en bedreigingen weg te nemen. Diverse projecten, onderzoeken en debatten verbinden partijen en zetten de maatschappelijke betekenis van ICT op de agenda van politiek, overheid en bedrijfsleven. Zo realiseert het platform doorbraken en creëert het de juiste randvoorwaarden.
http://www.ecp-epn.nl/seminar-smartphone-en-tablet-uitdagingen-voor-online-veiligheid-in-het-mobiele-ecosysteem

Een goed initiatief dat kan bijdragen aan de BYOD-dicsussies.

-- Hoe kan een prive-persoon verantwoordelijk worden gesteld voor de gegevens van een bedrijf. Juridisch is dit een zeer schimmig steekspel.

-- Buma/Stemra bekijkt het heel simpel, namelijk:
Wordt het systeem voor het werk gebruikt, dan is het bedrijf aansprakelijk en betaald het bedrijf de boete.

-- Als een werknemer aansprakelijk wordt gesteld, dan zullen de meeste wel heel simpel tegen hun werkgever zeggen: "Lever jij de spullen maar, mijn spullen laat ik wel thuis." En dat brengt het BYOD-concept dus in een gevarenzone.

-- Je kan op papierwel het een en ander regelen, maar dan ben je er nog niet. Wie zegt dat je dan zomaar een prive-systeem mag scannen? Een werknemer met een prive-systeem kan dat en mag dat heel simpel weigeren. De werkgever kan daar weinig aan doen, immers is het niet zijn eigendom. Bij een het oude, gesloten systeem van eigen hardware kan een werkgever die eisen wel stellen. Immers is hij dan de eigenaar en de werknemer slechts gebruiker.

-- Hoe bewaak je de zekerheid van je netwerkverkeer? Het ging mij daar niet om aanvallen op de systemen van een bedrijf. In het verleden is het al eens voorgekomen dat een beta-versie van Windows XP een berijf heeft platgelegd doordat de TCP/IP-implementatie aangepast was. Bij eigen systemen kan je afdwingen welke versie van een besturingssysteem men gebruikt. Echter bij prive-systemen is er geen enkele mogelijkheid om dit af te vangen. Immers kan een prive-persoon zelf ten allen tijde zijn besturingssysteem aanpassen. Dus ook de meest nieuwe alpha/beta-software installeren.

BYOD-concept klinkt leuk en is voor een manager alleen interresant in verband met het kostenplaatje. Voor de rest is het een nachtmerrie voor een bedrijf.

Goede discussie; leuke aspecten toch?

Juridische verantwoordelijkheid, mediarechten, eigendom tools, accepteren/weigeren van (prive-)scans...
De directe kosten, gezien door operationele managers, zullen aanzienlijk lager zijn (in 1e instantie). Maar later zal, uit berekeningen achteraf, wel blijken dat goedkoop duurkoop is en zullen de strategische leiders het echte kostenplaatje kunnen bepalen.

Inmiddels heb ik even wat tijd kunnen nemen om meer specifieker naar deze 'BYO materie' te kunnen kijken, echter de hoeveelheid aan artikelen / materie is dermate groot dat dit op zich al een aardig project zou gaan worden als ik die aspecten allemaal zou moeten uitwerken. Dat ligt buiten de scope! Mijn bedoeling is om alleen het security-deel even de nodige aandacht te geven in de turbulentie die invoering van tablets inmiddels met zich mee heeft gebracht. Eigenlijk zijn we al te laat met beschouwingen. Echter ahv vooruitlopende amerikanen kunnen we uit hun artikelen al meer dan voldoende informatie 'destlleren' om een optimale invoering van BYO te kunnen waarborgen. Op deze manier kun je de druk vannuit dd top van de organisatie ook snel daar weer in balans brengen met zinnige argumenten.

Snel Googelen op "BYO device security" geeft al ca. 169.000 results (18.10.2011) http://tinyurl.com/3daoou7

Enkele markante artikelen heb ik in teruglopende volgorde met links opgenomen voor de liefhebbers.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------17.10.2011 Tips for Securing Mobile Devices in the Enterprise
As smartphone and tablet sales continue to increase, more employees are bringing their personal mobile devices into the corporate environment.
Allowing these devices to connect to your network enterprise without any guidelines can pose a serious risk. Securing mobile devices is one of the biggest challenges facing IT security professionals as cyber criminals turn their [...]
http://infosightinc.com/blog/?p=238
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------14.10.2011 The death of the tablet OS
Even in the larger enterprise technology space, we’re continuing a gradual shift back to centralized applications, with the browser replacing the dumb terminals of yore.
For tablets in particular, this makes life far easier for most companies, allowing tablets to act as near-disposable “dumb terminals” that can be purchased at commodity prices.
This also helps centralize concerns around security and data, assuming little or no sensitive data ever resides on the device.
Centrally locking application access alleviates many of the concerns around managing mobile devices.
http://www.techrepublic.com/blog/tablets/the-death-of-the-tablet-os/238?tag=bos-vw-three;bos-i3
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------13.10.2011 Bring Your Own Device: Turning a threat into an opportunity (Fujitsu) http://www.fujitsu.com/downloads/EU/uk/pdf/insights/bring-your-own-device.pdf
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------13.10.2011 Joining the dots of mobile enterprise security http://servers.cbronline.com/blogs/cbr-rolling-blog/joining-the-dots-of-mobile-enterprise-security-131011
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------06.10.2011 Mobile security threats are heating up http://www.cso.com.au/article/403124/mobile_security_threats_heating_up/
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------04.10.2011 Ask The Experts - Mobility Security AT&T http://www.corp.att.com/stateandlocal/docs/ask_the_experts-mobile_security.pdf

Deel 2
Don't approach the mobile side the way you did the PC side. Mobile is truly a different animal.
There are really 3 things you need to know.
1) utilize mobile device management capabilities to enforce
a) policy
b) authentication control
c) remote wipe
d) lock
e) locate
f) and more
2) utilize device security control capabilities to provide
a) antivirus
b) firewall
c) application control
3) get a comprehensive mobile-specific security policy in place. Because this is so different, you may need consultants for it.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------28.09.2011 SmartPhones and Tablets in the Enterprise Gartner http://web.idg.no/app/web/online/annonser/IDG/MobileTrender/2011/Wallin.pdf
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------30.08.2011 Risky workers http://www.csoonline.com/article/688810/risky-workers But at the same time, 91 percent of survey respondents believe that there is a significant likelihood that mobile employees will violate their acceptable-use policies....
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------01.07.2011 Who's Keeping Tabs on Tablet Security? LinuxInsider http://www.linuxinsider.com/story/Whos-Keeping-Tabs-on-Tablet-Security-71602.htm
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------06.06.2011 5 questions to ask about tablet security http://www.csoonline.com/article/683613/5-questions-to-ask-about-tablet-security
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------2010/2011 Google Android malware samples grew 400 per cent from June 2010 to January 2011, states the new Malicious Mobile Threats Report by Juniper Networks.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------23.03.2011 'Android's business model makes its devices vulnerable' http://security.ciol.com/1632/Interviews/Androids-business-model-makes-its-devices-vulnerable/148031/0/
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------13.03.2011 Attackers have always chose the weakest points that have high value to attack. Today, we have hundreds of applications sitting on the phone and you don't now what a particular application is doing at the back ground.

Deel 3
The worst thing about attacks on smart phone is that you may not know about it for a long time. http://security.ciol.com/Mobile-Security/News-Reports/Google-Android-malware-samples-grow-by-400-pc/149954/0/
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------07.03.2011 Android malware: Your banking details may be targeted http://security.ciol.com/1632/Interviews/Android-malware-Your-banking-details-may-be-targeted/147442/0/
Over 80 per cent of Fortune 100 companies are using or testing a tablet, an increase from 65 per cent three months ago, according to Apple Inc.
As these devices access enterprise networks, they are opening up a window for attackers to steal critical data through the compromised device.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
• March 2011: Myournet/DroidDream, the first Android malware available and distributed through Android Market on a large scale, affects 50,000 users.
• Google’s solution, the Android Market Security Tool, was also pirated and turned into malware in China.
• April 2011: Walk-and-Text pirate puts egg on users’ faces.
• April 2011: Research at IU Bloomington results in “Soundminer” proof-of-concept communications interception application.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------Enkele LEVERANCIER oplossingen / rapporten
https://www.mylookout.com/ The leader in mobile security comes to iPhone.
- Mobile Threat Report https://www.mylookout.com/mobile-threat-report
- Mobile Threat Network https://www.mylookout.com/mobile-threat-network

http://www.mymobilesecurity.com/ The no 1 in Mobile Security (Android, BlackBerry...)
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------Mobile App Top 10 Standards for Mobile Applications http://www.veracode.com/directory/mobileapp-top-10.html

Mijn conclusie en advies uit voorgaande artikelen is:

Pilot opzetten met testers:
- organistorische security policy met sancties invoeren / voorwaarden / verantwoordelijkheden uitwerken
- multidisciplinaire projectgroep opzetten met vertegenwoordiging uit: o.a. Applicatiebeheer, Linuxsysteembeheer, netwerkbeheer, ICT-security, stuurgroep olv management, IPC, HRM, informatie manager, werkplekbeheer, Android consultant...
- kaders scheppen, risico's inschatten, bedreigingen inventariseren, maatregelen definieren, features testen, incidenten/changes/problems analyseren
- awarenessprogramma samenstellen (presentatie, documentatie, website, training...)

-- wordt vervolgd --

Please!..

Bring it on!..

I will advise You!

Do the right thing!...

Je vergeet er een in je projectteam, namelijk een Jurist.

@Anoniem: bedankt voor de volledigheid; de jurist viel me laat op de avond ook nog in.

Citaat van ICT-collega Tom.:
Het 'Nieuwe Werken' is, vooral in combinatie met BYOD, een weg met enorme valkuilen op gebied van kosten en gegevensbeveiliging......

.... 's middags kwam het kroost van school en 2 websites en een spelletje installeren later was het flexwerken weer stuk. Ergernis, verloren productiviteit en stijgende IT-supportkosten in plaats van de gedachte verlaging. Oeps... Verder zou ik me als bedrijf -en echt niet alleen als IT-verantwoordelijke- grote zorgen maken over waar mijn data heen gaat en wie er allemaal in zit te grutten. In dat kader zie ik noch BYOD, noch clouddiensten als aangenaam wenkend perspectief. Dat het kan houdt niet in dat het ook een verbetering is. ...

Mijn reactie:
Tom, we zijn goed bezig. Op deze manier krijgen we van alle kanten objectieve en subjectieve informatie 'over de Buehne' en kunnen we pro's en contra's wel evenwichtig tegen elkaar afwegen in plaats van klakkeloos eigen tablets en smartphones voor ze zaak te gaan gebruiken met alle gevolgen van dien. Let wel: ik ben sterk voorstander van gebruik van innovatieve oplossingen, mits de bedrijfscontinuiteit daarmee wel gewaarborgd wordt en zover is het nog (net) niet. Ik denk als het juiste bedrijf opstaat en de materie begrijpt er snel een unieke en adequate oplossing zal komen. Ik denk aan de al eerder eens genoemde 'externe boot'-stick (Lightweight Portable Security van Pentagon ('tijdelijk' veilig platform), en dat in combinatie met Security token (authenticate bron zoals SecurID was) en VPN ( veilig transport van User endpoint tot bedrijfsendpoint) en misschien nog meer afhankelijk van de requirements. Ik ben benieuwd wie het eerst daarmee goed voor de dag komt in Nederland?

Ik zal deze case een voorleggen aan de security.nl juridische adviseur Arnoud Engelfriet die hier ook een column heeft; ben benieuwd wat hij adviseert in dezen.

Mail gestuurd

Beste Arnoud,

graag zou ik je advies willen hebben aangaande de BYOD-discussie (Bring Your Own Device mee naar het werk) waarbij medewerkers hun privé tablets / smartphones gebruiken voor werken in het bedrijf.

Ik zelf ben zeker groot voorstander van innovatieve producten zoals tablets maar zie op dit moment nog de nodige (juridische) 'haken en ogen' op dat gebied (in NL) totdat er veilige diensten voor beschikbaar komen zoals bijv. de Pentagon-stick voor onveilige PC's, eerder genoemd op security.nl maar dan voor tablets met authenticatie (Securi ID) , VPN....

Ook EDP-auditors zullen er nu nog niet om staan te juichen denk ik zo.

Ik ben erg benieuwd naar jou mening / advies in dezen,

met vriendelijke groet

John Heijmann
(ex-) ICT Security Consultant
en gewaardeerd lezer van security.nl en jouw juridische column in het bijzonder

Op wo 2 en do 3 november a.s. zijn weer de jaarlijkse InfoSecurity.nl beursdagen in Utrecht met een uitgebreid seminarprogramma:
http://www.infosecurity.nl/nl-nl/Bezoeker/Activiteiten/Seminarprogramma.aspx

Ook hier wordt in de seminars weer uitvoerig aandacht gegeven aan Mobile Security, tablets werk/prive, bedreigingen en (andere) BYO-devices. In de leveranciers stands kan men dan diensten, produkten en andere oplossingen hieromtrent bekijken.

Uiteraard zal ik daar ook interessante seminars hierover bijwonen.

Voor de liefhebbers:

Ik zag dat ook op Twitter al veel gecommuniceerd wordt over:
- #BYO devices op http://twitter.com/#!/search?q=%23BYO
- #BYOD op http://twitter.com/#!/search?q=%23BYOD
Ook is
#CoIT op http://twitter.com/#!/search?q=%23CoIT misschien interessant, dat je daar ook tegenkomt bij die onderwerpen.

Dit zal ik eens verder gaan bekijken komende week.

VOORDELEN

"- de medewerker kan thuis en op het bedrijf hetzelfde tool gebruiken met hetzelfde user-interface"
"- dit smart device is anywhere en anytime te gebruiken "

Onzin, immers gaan deze argumenten ook op wanneer het device betaald wordt door de werkgever.

"- cybercriminelen krijgen anno 2011 en daarna een stuk gemakkelijker toegang tot vetrouwelijke informatie, kunnen bedrijfsgegevens sneller manipuleren dan wel omgevingen beinvloeden in negatieve zin (continuiteit) zonder dat beveiligers daar goed grip op krijgen "
"- het security awareness nivo zal, na tijdelijke daling gedurende enkele jaren, daarna snel verhoogd worden zodra er persoonlijke of zakelijke ongevallen hebben plaatsgevonden"

Wat heeft dat te maken met het eigendom van een device ?

"- het bedrijf hoeft sec aan devices minder uit te geven/investeren (hardware, licenties software, omgeving, opleiding) dat allemaal door de medewerker dan wordt betaald) "

Jups, maar wat heeft de werknemer daaraan, die voor de kosten opdraait ? En waarom zou de werknemer kosten betalen voor licenties, opleiding en dat soort zaken ? Wie is er verantwoordelijk als het device kapot gaat, mag de werknemer dit uit eigen zak betalen ? En zoja, mag de werknemer ook weigeren om op eigen kosten een device te laten repareren of te vervangen ?

Dit behoren kosten van de werkgever te zijn.

"- minder administratorkosten omdat de medewerker zelf wel zorgt voor updates en nieuwe apps "
"- geen/minder afschrijving van hardware- en software componenten "

Wederom afwentelen van kosten op de werknemer, zonder enige rechtvaardiging. En de veronderstelling dat de werknemer uit eigen zak dat soort zaken betaalt.

NADELEN

"- de helpdesk zal het lastiger krijgen door de varieteit en diversiteit aan smart devices van smartphones tot tablets, platformen Ipad/Android..., merken en software apps - technisch en functioneel beheer zal complexer worden door de verschillen in implementaties "

Waarom zou een helpdesk ondersteuning moeten bieden op apparatuur die geen eigendom van het bedrijf is ?

"- Het kostbare en noodzakelijk zijnde pakket aan beveiligingsmaatregelen dat de laatste jaren voor PC-platformen is geimplementeerd blijkt op tablets/smart telephones maar minimaal beschikbaar te zijn met alle gevolgen van dien voor bedrijfsomgevingen "

Daarnaast is het lastig een security policy af te dwingen op prive devices. Zeker als je er vanuit gaat dat je als werkgever de kosten niet hoeft te dragen.

"- 'Vogelvrije ('volwassen') thuis PC's zijn anno 2011 zelfs nog steeds niet voldoende veiliug voor bedrijfsmatig gebruik met alle risico's van dien voor bankieren, financiële transacties, bedrijfsactiviteiten etc.. "

Thuis PC's voor bedrijfsmatig gebruik moeten dan ook door een werkgever geleverd worden. Indien je dat niet doet zit je niet alleen met het probleem dat je de beveiliging niet kan afdwingen (behalve door technische voorwaarden te scheppen voordat je een VPN verbinding kan maken), maar ook dat je bedrijfsinformatie hebt staan op devices die geen eigendom zijn van de werkgever, en waarover je juridisch weinig te vertellen hebt.

"- een smartdevice zit qua security zelfs nog in een puberstadium in vergelijking met deze volwassen PC-thuisomgevingen. "

Hangt van het device en de configuratie af. Als je die niet bepaalt omdat je te gierig bent om de kosten te betalen voor de middelen die werknemers nodig hebben, dan wordt het inderdaad wel heel erg lastig.

"- zelfs hoger management blijkt nog steeds niet het risico 'aan te voelen' zolang het niet hun 'eigen beurs' betreft, maar dat zal snel veranderen "

Dat mag duidelijk zijn door deze discussie.

"- auditors zullen de nodige verbeteradviezen (achteraf) geven mbt smart devices "

Auditors zullen zich kapot lachen. Hoe kan je een audit uitvoeren wanneer er geen standaardisatie is, en wanneer de devices die je wilt auditten niet eens eigendom zijn van de opdrachtgever.

"- het persoonlijke device zal eerder afgeschreven worden door intensief (zakelijk) gebruik wat de medewerker eerder op kosten drijft "

Die kosten horen per definitie niet bij de werknemer te liggen.

"- er zullen minder resources beschikbaar zijn voor persoonlijk gebruik ten gevolge van het zakelijk werken (geheugen, CPU) "

Dat hangt van de persoonlijke voorkeur van de werknemer af. Als werkgever kan je in ieder geval daar geen eisen aan stellen, aangezien je de kosten niet draagt.

"- prive gebruik kan/zal negatieve invloed hebben op de bedrijfsomgevingen (hacks, malware, spyware) dan wel kan tot wettelijk misbruik leiden als wetten worden overtreden (XXX, illegale software, auteursrechten mp3, video...) "
"- belangenverstrengeling/grijze gebieden in geval van overtredingen wetgeving "

Je hebt als werkgever niets te maken met de vraag hoe het device prive gebruikt wordt, en ook niet met de vraag of er wetten worden overtreden, behalve op het moment dat het device aan het zakelijk netwerk gekoppeld is.

"- er zal iets geregeld moeten worden voor directe vervanging/funding in geval van verlies, diefstal, defect raken van het persoonlijke smart device "

Hoe wil je dat 'regelen' wanneer je de kosten op de werknemer afwentelt ?

"- juridisch zal dit terrein voer voor specialisten worden in geval van tegenstrijdige conflicten tussen prive en bedrijfsbelang "

Je moet hier als werkgever helemaal niet aan beginnen. En ja, je creeert hiermee juridische problemen.

@ Anoniem Vrijdag,15:06
Is goede discussie van jou....
QUOTE reactie:
" Je moet hier als werkgever helemaal niet aan beginnen. En ja, je creeert hiermee juridische problemen."

Ik ben benieuwd welke werkgevers al bezig zijn, snel willen beginnen danwel voornemens in die richting hebben.

Ik denk dat ze in elk geval aan de hand van onze hier en elders geplaatste reacties er beter mee om zullen gaan.

Uit Twitter-vraag heb ik al een eerste leuk reactie gehad: http://www.mobileiron.com/

MobileIron brings simplicity to the chaos of smart devices in the enterprise like Intelligent tablets and smartphones which are quickly becoming the primary personal communications and computing platform for business.

However, they introduce cost, --- risk ----, and usability challenges that traditional mobile device management strategies cannot address.

Their approach is to simplify the problem for IT, finance, and end-users by moving smartphone data to the enterprise cloud.

Ik zal die leverancier uiteraard eens bekijken op de (on-)mogelijkheden.

BYO - bring your own device: Cheat Sheet op http://www.silicon.com/management/ceo-essentials/2011/10/24/byo-bring-your-own-device-cheat-sheet-39748120/3/
............
Vertaald:
Wat over veiligheid?
- Hoe ga ik veilig om me mijn bedrijfsgegevens als deze 'Ik weet niet wat het is' dingen in mijn bedrijfsnetwerk rondzweven?
- Daarin ligt de vraag waarmee CIOs moeten worstelen als ze hun BYO - beleid opzetten: er zullen nog steeds beleidregels nodig zijn..... Bij BYO is het onwaarschijnlijk dat dit een totale free-for-all betekent. Maar het machtsevenwicht is absoluut verschoven naar de gebruiker en weg van de 'IT-dictator'.
- Veiligheid is zeker een BYO-zorg wel. Analisten adviseren IT-managers een minimumpakket van mogelijkheden te bepalen, die door een apparaat moet worden gebruikt op het werk - waardoor gebruikers de vrijheid hebben om te kiezen binnen grenzen die aanvaardbaar zijn voor het bedrijf.
- Recent advies van security-deskundigen omvat de behandeling van alle BYO apparaten als onveilig en gebruikers moeten extra opgeleid worden om ervoor te zorgen dat zij zich bewust van hun verantwoordelijkheid voor het updaten van apparaten met enzovoort.
- Een andere benadering van de veiligheid van de BYO is, dat de gebruiker enige controle toestaat, zodat de IT-afdeling de macht behoudt om op afstand vergrendelen en op een verloren apparaat data te wissen.
- Quocirca van Bob Tarzey gaat verder en adviseert bedrijven om na te denken over de toegang tot gegevens te vergrendelen door gecentraliseerde controles op te leggen, in plaats van eindeloze hoofdpijn te hebben door de talloze apparaten veilig te houden.
-Tarzey betoogt dat deze gecentraliseerde controle voor gegevens zou kunnen worden gebruikt via virtuele bureaubladen zodat gegevens ** alleen toegankelijk zijn en niet worden verwerkt op die apparaten**; dus alleen inrichten van apps als lezen/update en niet toestaan dat gegevens worden gekopieerd naar een BYO-apparaat; ook een gecentraliseerde 'document winkel' op zetten waar toegang tot vertrouwelijke documenten kan worden gecontroleerd.
- Dus terwijl BYO bijna alles kan betekenen voor de gebruikers, verplicht het IT-afdelingen hun denken aan het werk te zetten om de beste manier te bepalen deze moedige nieuwe gebruikers te ondersteunen

Mobile security not up to standard - research report op http://www.bizcommunity.com/Article/196/545/65903.html
ik ga er vanuit dat ICT'ers het engels wel zullen begrijpen:

Simon Campbell-Young, CEO of specialist security software distributor Phoenix Software says that while the current virus threat to mobile devices has been described as 'a raindrop in a thunderstorm', this is not an accurate assessment since two out of three BlackBerry devices, three out of four Windows Mobile devices, and just about all Android devices have malware infections.

"Most of these infections are types of spyware capable of stealing log-in details, forwarding email and text messages, tapping phone conversations, and tracking the location of devices," he adds.

5 Ways Companies Can Protect Themselves From Employee Devices op http://www.securitynewsdaily.com/employee-device-security-1252/
Harrison offers five tips for how to protect your company's data from your employees' personal devices.
1) Remote wipe and lock.
2) Geo-location tracking.
3) Network authentication, authorization, accounting
4) Secure remote support.
5) Acceptable use policy

Voor meer detail lees het artikel zelf.

5 ways ‘bring your own device’ will impact your company op http://www.zdnet.com/blog/small-business-matters/5-ways-8216bring-your-own-device-will-impact-your-company/566

Met name:
#4: You can’t ignore mobile security
Mobile malware and antivirus software packages exist, but they haven’t been widely used.

If you allow people to bring their own mobile device, that needs to change.

What’s more, your organization will need to govern what data can and cannot be downloaded locally.

That’s especially true in certain industries, especially healthcare or financial services.

Explore Consumer Driven IT, an animation; leuke clip van CA over o.a. BOYD(-Security).
How Do You Lead When You Are Not in Charge?
What’s next for IT organizations experiencing the wide-scale adoption of consumer-focused cloud, social, and mobile technology? CA Technologies answers with Consumer Driven IT op http://www.ca.com/us/cdit.aspx

Zie ook CA's artikelen op http://smartenterpriseexchange.com/index.jspa

Reality vs Pipe Dream http://www.zdnet.com/debate/great-debate-bring-your-own-device/6313019?tag=content;siu-container

Summary: Is Bring Your Own Device only a great idea until you try to manage it?

Gisteren op de 1e dag van de InfoSecurity-beurs geweest. In de diverse lezingen aangaande tablets/Smartphones, Cloud Computing en BYOD-devices werden bijna overal dezelfde (grote) bedreigingen, risico's en (deel-)oplossingen/maateregelen aangegeven.

Vooral de presentatie van KPMG aangaande beveiliging van iPad en Androids vonden velen erg goed. Hierin kwamen nog meer security-aspecten naar voren dan we al eerder hebben opgesomd.

Er moet nog veel gebeuren op security gebied en het op 'Desktop PC-security niveau' brengen kan zelfs nog enkele jaren duren......
Al-met-al een zinnige dag.
----------------------------

Ook vandaag nog een leuk artikel gelezen: Technologieën moderniseren, beveiliging niet op http://www.managersonline.nl/nieuws/11582/technologien-moderniseren,-beveiliging-niet.html

Citaten:
80 procent van de organisaties gebruikt inmiddels tablets (of overweegt die te gaan gebruiken), en 61 procent maakt gebruik van cloud computing-diensten (of overweegt dat het komende jaar te gaan doen). Men lijkt vooral geneigd zich zo snel mogelijk te willen aanpassen aan het rap evoluerende IT-landschap. Pas in tweede instantie realiseren bedrijven zich dat die nieuwe middelen ook beveiligingsrisico’s met zich meebrengen.
..
Het invoeren van tablets en smartphones staat op nummer twee op de lijst van meest significante technologische uitdagingen. Meer dan de helft van de respondenten noemt dit een (zeer) lastige uitdaging. De risico’s die deze nieuwe mobiele apparatuur met zich meebrengen, worden met name bestreden door aanpassing van de voorschriften en door mensen structureel te wijzen op de gevaren. Toch hebben nog niet veel organisaties specifieke beveiligingstechnieken en -software ingevoerd. Zo maakt amper de helft (47 procent) gebruik van versleuteltechnologie.

Arnoud heeft op deze site gisteren enkele interessante antwoorden gegeven.
.......
Citaat: Die risico's zijn naar mijn mening echter niet zó groot dat een bedrijf BOYD moet gaan verbieden. Verbieden is eigenlijk vrijwel nooit het antwoord. Het gaat om beheersen van de techniek en duidelijkheid bij de werknemers. Wat is wel en wat is niet de bedoeling met een BOYD apparaat? Dus ja, u voelt hem al aankomen; daar moet je een reglement voor maken.
...............
lees verder op op: http://security.nl/artikel/39039/1/Juridische_vraag%3A_Mag_je_je_iPhone_op_de_zaak_gebruiken%3F.html

"Ik zelf ben zeker groot voorstander van innovatieve producten zoals tablets maar zie op dit moment nog de nodige (juridische) 'haken en ogen' op dat gebied"

De vraag of je produkten zoals tablets gebruikt staat m.i. los van de BYOD discussie. Immers kan een tablet ook door de werkgever worden aangeschaft.

@rookie
Ik ben zelf niet de gangmaker om eigen devices te gebruiken, maar meerdere bedrijven beginnen daar al vanzelf over (denken goedkoper uit te zijn) en ik wil juist via deze discussie argumenten, zoals jij netjes aangeeft, boven water krijgen

helemaal mee eens

Van Cowboysec.
Vijf stappen voor Mobile Device Management en -Security http://www.pcworld.com/businesscenter/article/242905/five_steps_to_mobile_device_management_and_security.html

OWASP (Open Web Application Security Project) Top-10 Mobile Risks is een interessant document in dezen mbt de (technische) risico's op mobile devices:

http://www.slideshare.net/JackMannino/owasp-top-10-mobile-risks

- Waarom unieke en verschillende security risico's?
- Doel is om security 'te bouwen' in lifecycle van mobile devices.

Er komt nog een leuke optie bij; zie :
ING lanceert app voor mobiel internetbankieren: http://www.security.nl/artikel/39114/1/ING_lanceert_app_voor_mobiel_internetbankieren.html

Denk daar ook maar eens ovr na als je met je prive 'veilige' betaalapparaat op bedrijfsnetwerken gaat zitten en andersom.

Het wordt nog leuker..

Onderwerp: Gratis Android virusscanners waardeloos; zie deze site Security.nl
- Het beste presteerden de commerciële scanners van F-Secure en Kaspersky Lab, die tenminste 50% van de malware detecteerden die al in een inactieve staat was.
http://www.security.nl/artikel/39148/1/Gratis_Android_virusscanners_waardeloos.html

Ik vind 50% zelf zwaar onvoldoende en schat in dat mijn Android nog minder detecteert: tussen 0 en 10% hooguit.

Als je de kwaliteitstesten voor PC AV-producten ziet dan zit je met 95-98% al veel beter en met MS Forefront tegen de 100%.

Gelukkig zijn er niet zoveel Android virussen en 50% van bijv. 100 virussen zouden er 50 zijn en hoeveel komen er ITW (In the Wild) nu voor?
Bij Windows hebben we het al snel over > 600.000 virussen en 2% (van goede AV-scanner) is dan nog altijd 12.000 virussen die hij niet detecteert.

Maar de trend van Android malware zal zich exponentieel ontwikkelen als deze devices BYOD worden gebruikt.
Dan kunnen Cybercriminelen gemakkelijker, goedkoper en beter aanvalsproducten maken en (nog) meer sucessen behalen.

We zijn nu extra gewaarschuwd.

Citaat uit leuk artikeltje. Amerika loopt gelukkig nog steeds voor, ook op dit gebied.
Ze gaan de oplossing zoeken in aparte (virtuele) machines op 1 BYOD-device wat volgens mij ook de best (haalbare) is.
Ideaall zou zijn, 2 fysiek geïntegreerde machines welke middels een fysieke knop tussen privé en werk zouden zijn om te schakelen. Dus dan is een virtuele oplossing een goed compromis wat ik eerder zelf ook al opperde.

Ik ben benieuwd wanneer ik de eerste gebruikers met een virtuele BYOD-tegenkom. Met de huidige dual-cores zal de performance dan ook nog wel goed zijn in tegenstelling tot andere oplossingen.
-----------------------------------------------------------------------------
Corporate-owned vs. employee-owned mobile devices
The 'bring your own device' phenomenon is growing but many obstacles remain
http://tinyurl.com/7w5tatg

If an employee walked into work one day clutching his shiny new iPhone, iPad, Android or other mobile smartphone or tablet, wanting to use it for official corporate business, would you say yes?
Plenty of IT managers are hearing that question these days, aware that it gives rise to security and management concerns.

Employees are insisting they have these devices, and CIOs are giving in. But "the corporation has a responsibility to its shareholders to ensure that everything that is allowed there is secured," Clarke says. That means ensuring that any app running on that device is secure, he says. Anything less is unacceptable.

The U.S. government itself is not rushing into the BYOD craze.

Concerns about employee-owned devices include, "How do we make sure the device is the one we want on the network, and the person is who they say they are, and it's secure?" said Gallagher. "We're not sure yet."
GSA is thinking about the BYOD question but wants to achieve the same levels of security required for government-issued computers. "We don't want to throw out what we've done already," she said,

But in the private sector, many companies are moving forward with BYOD.
Digirad "What we've done is move from the company owning the device to the individual owning the device," Martin says, noting there's a formal procedure for that with a subsidy to the employee. He said it saves the company money and the employees are pleased with the situation.

There are limits, though.

"We're only trying to support email," he says. "And the users can't contact us for advice. We say, check with your provider," such as the wireless services provider, when the devices don't work well.
VeriSign Chief Security Officer Danny McPherson says his company allows employee-owned devices for use at work — under some conditions, noting it's been somewhat of a "struggle" to evolve a policy.

"It's a subjective consideration based on the group the individual is in," McPherson says. He says certain security software has to be run on employee-owned devices, as it might be on corporate-issued devices. Even then, "personal devices used for work are not given ubiquitous access."

"Management of employee-owned devices is tricky because it is much more difficult to maintain standardization on these devices and to install software and agents designed to lock them down," says Steve Brasen, managing research director, systems management, at consultancy Enterprise Management Associates.
Companies can introduce policies for BYOD, and the employee must be willing to conform to them, he says. But he says he thinks the BYOD approach may not be effective "in organizations and employee roles in which mobile-device use is essential to business success."

A possible second BYOD option, Brasen points out, involves making use of endpoint virtualization to logically separate the user and work environment, with only the work environment managed by the business, and employees can switch between the two environments as required.

But companies shouldn't necessary give the thumb's up to every single mobile device the employee walks in with, he says.

"There's a tide of new devices coming in and they need to put the brakes on it up front," Hayter says. Companies should think of choosing specific mobile devices as a corporate standard, stipulate certain uses for them in business, and test what's been approved thoroughly.

SOLUTIONS:
1) Verizon, VMware plan dual-persona phone software - NetworkWorld 10 October 2011
The system will separate personal and business uses of mobile handsets
http://goo.gl/jqszh
Verizon Wireless will announce dual-persona software with partner VMware later this week, closely following AT&T in unveiling a way to separate mobile handsets into business and personal segments.
Offering both will give enterprises more options for securing the applications and data that their employees use, said Janet Schijns, [cq] vice president of Verizon's Business Solutions Group.
2) On Monday, AT&T announced a service called Toggle, based on technology from Enterproid, which will set up dual personas on mobile devices running Version 2.2 and later of the Google Android OS. It is scheduled to be available by the end of this year.

Let ook hierop, zoals heden op Security.nl is beschreven

Smartphone meelezen 60m afstand
http://www.security.nl/artikel/39171/1/Smartphone_meelezen_60m_afstand.html

Goede discussie voor de beeldvorming

Leuk artikel in dezen: Assessing Risk in the Mobile World: Part One (18.05.2011)
http://www.btsecurethinking.com/2011/05/assessing-risk-in-the-mobile-world-part-one/
By Jill Knesek, Chief Security Officer, BT Global Services

One of the hottest topics at the CIO water cooler at the moment is the question of how we should deal with the risks posed by personal mobile devices in the workplace.
....
In most cases, being aware of these two elements will mitigate risk to an acceptable level, but there are still areas of exposure around personal software and the ever-popular applications could undermine our risk assessment. The other aspect which has the potential to cause complications is that when a vulnerability is identified it is much more difficult to get the problem patched or fixed because the necessary contractual relationships are not in place.
.......
So, if your company assesses that the business value of having a highly responsive, mobile workforce outweighs the risks posed by personal devices, what steps should your IT team implement to provide the most secure operating environment?
The top five things that my team and I recommend are:
1.Conduct a robust security awareness program for employees on critical issues
2.Require that all software and apps be fully tested by the company
3.Require strong password policies and email encryption
4.Set policies such as webmail access only; regular data deletion, or classification rules for data storage
5.Require all devices be capable of remote wipe to ensure that sensitive data can be removed promptly once the loss or theft is reported

Andere interessante artikelen:

Corporate-owned vs. employee-owned mobile devices - NetworkWorld 02.11.2011
The 'bring your own device' phenomenon is growing but many obstacles remain
http://www.networkworld.com/news/2011/102011-tech-arguments-corporate-employee-mobile-devices-252229.html

IBM Targets Managed Security Service At IOS, Android, Windows, BlackBerry Smartphones
(14.11.2011)
IBM is offering a cloud-based managed service for mobile devices that will let IT managers exert management and security controls over devices based on Apple iOS, Google Android, the RIM BlackBerry, Symbian and Microsoft Windows Mobile

Zo net in de mail ontvangen van ECP-EPN

Op donderdag 1 december organiseert ECP-EPN het seminar Smartphone en tablet: uitdagingen voor online veiligheid in het mobiele ecosysteem.

Tijdens dit seminar worden de nieuwe verhoudingen, nu mobiele aanbieders naast traditionele mobiele diensten ook internet diensten aanbieden, in de mobiele wereld besproken en inzichtelijk gemaakt. Cybersecurity issues komen hierbij uitgebreid aan bod, want hoe veilig is het mobiele internet voor de eindgebruiker? Na afloop zal u duidelijk zijn of en in hoeverre mobiel internet anders is, wie welke verantwoordelijkheid draagt en of het noodzakelijk is op een andere wijze samen te werken en informatie te delen. Het complete programma vindt u in de bijlage. Meld u nu nog aan!

Seminar Smartphone en tablet: uitdagingen voor online veiligheid in het mobiele ecosysteem
donderdag 1 december 14.00-16.30 uur NH Hotel te Den Haag Programma staat op de site

Gaf voorheen je computer of misschien je laptop je alleen toegang tot internet, tegenwoordig surfen we met het zelfde gemak met onze smartphone of tablet het internet op. Het internet wordt voor iedereen en overal toegankelijk, mobiel internet. Maar hoe veilig is dit mobiele internet voor de eindgebruiker? En wat zijn de consequenties voor mobiele aanbieders? Zij werden ook ISP en kregen direct en indirect te maken met de aanbieders van nieuwe diensten, maar ook met cyber security issues. Wie zijn die nieuwe spelers op de mobiele markt en wat zijn de gevolgen voor de consumenten of toezichthouders? Wat zijn de onderlinge verhoudingen tussen de spelers in het mobiele ecosysteem? Waar kan een eindgebruiker terecht met klachten en een toezichthouder voor informatie, want wie is nu waar voor verantwoordelijk?

Deze ‘nieuwe’ mobiele eindgebruiker die voortaan overal en altijd online is neemt nieuwe kansen voor aanbieders van diensten en voor vergaande innovaties met zich mee. Maar helaas biedt het ook de ruimte voor innovaties met een negatieve impact waardoor de anti-abuse community voor een aantal grote uitdagingen komt te staan: Hoe staat het met de veiligheid van netwerken en eindgebruikers in de mobiele wereld ? Voor welke uitdagingen staat men? In hoeverre heeft een mobiele aanbieder invloed op online beveiligingskeuzes in het mobiele ecosysteem? Welke lessen kunnen we trekken uit het (‘vaste’) verleden, maar zijn ze wel van toepassing? Bieden de bestaande structuren de mogelijkheid om adequaat te reageren en informatie te delen door middel van samenwerking?

Aanmelden
Deelname aan dit seminar is kosteloos. U kunt zich aanmelden voor dit seminar via het online inschrijfformulier op: http://www.ecp-epn.nl/inschrijfformulier-seminar-smartphone-en-tablet-1-december-2011
-------------------------------------------------------
ECP-EPN is een onafhankelijk platform waar overheid, bedrijfsleven en maatschappelijke organisaties kennis uitwisselen en samenwerken om de kansen die de informatiesamenleving biedt te benutten en bedreigingen weg te nemen. Diverse projecten, onderzoeken en debatten verbinden partijen en zetten de maatschappelijke betekenis van ICT op de agenda van politiek, overheid en bedrijfsleven. Zo realiseert het platform doorbraken en creëert het de juiste randvoorwaarden.

Top 12 gevaarlijkste Android smartphones op deze site : http://www.security.nl/artikel/39265/1/Top_12_gevaarlijkste_Android_smartphones.html

Een groot probleem met Android smartphones is dat fabrikanten geen goed update-proces hebben. "De uitdaging met het Android ecosysteem is dat het ongelooflijk gefragmenteerd is", zegt CTO Harry Svedlove. "Vanuit een beveiligingsperspectief gezien is dit ecosysteem kapot." Hij merkt op dat alle besturingssystemen beveiligingslekken hebben, maar dat het erop neerkomt hoe snel die gaten gerepareerd worden.

Myths Plague Perceptions of Mobile Malware
http://www.infosecurity-magazine.com/view/21978/comment-myths-plague-perceptions-of-mobile-malware/?utm_source=twitterfeed&utm_medium=twitter

It could be that users don’t think malware infections of their mobile devices are possible. Whatever the reason, if mobile users don’t wake up to the real threat these little devices pose, it could end up as another expensive lesson.

Steeds vaker komt het voor dat werknemers persoonlijke devices gaan gebruiken tijdens het werk. Het is immers best vervelend om meerdere devices op zak te hebben; één toestel voor persoonlijk en één voor zakelijk gebruik. Hierdoor wordt het “Bring Your Own Device”-principe steeds populairder. De insteek is natuurlijk goed; laat de gebruikers bellen en werken met een device die zij kennen, waaraan zij gewend zijn en dat zij als prettig ervaren. De IT heeft hier echter wel een behoorlijke kluif aan. Zakelijke e-mail, persoonlijke email, privédocumenten en zakelijke documenten staan allemaal op een en hetzelfde device, en door elkaar. Daarnaast heeft IT totaal geen invloed op het device.

Tijdens VMworld in Las Vegas is bekendgemaakt dat VMware een samenwerking heeft gesloten met LG en Samsung op het gebied van 'mobile virtualization'. Met dergelijke samenwerkingsverbanden moet het eenvoudiger worden voor ondernemingen om vPhones te deployen op privé Android-telefoons. Telefonica in Europa en Verizon Wireless in de VS zijn de eerste telefoon-carriers die Horizon Mobile zullen ondersteunen.

De ultieme oplossing is gesignaleerd: VMWare voor mobiele phones
http://www.vmware.com/products/mobile/overview.html

- Give Freedom of Choice to Employees
- Deploy a Corporate Profile on Employee-owned Devices

-----------
VMware Horizon Mobile: Eén device, twee systemen
http://nlblogs.vmware.com/Technologie/113

Dit is precies DE oplossing die ik zelf voor ogen had: nu kun je eineelijk bedrijf en prive veilig combineren op een device, of dat nu van de zaak of een prive-apparaat is. Dit wordt de oplossing die ik thuis ook al jaren op mijn eigen PC-omgeving naar volle teverdenheid gebruik.

Daarbij heb je in principe nog 2 mogelijkheden: een via een host OS, waarop de VMWare SW/'hypervisor' draait en daarbovenop de client OS'en en de 2e oplossing is die met een hypervisor direct op / in de hardware (firmware) waarop dan de client OSen draaien.

Misschien kun je tzt als we quad cores hebben wel Android e Apple tegelijk op een machientje draaien middels emulators voor die platformcode processoren

Hackers Targeting Users of 'Bring Your own Device to Work Culture' Organisations on http://www.itproportal.com/2011/11/29/hackers-targeting-users-bring-your-own-device-work-culture-organisations/

Further, the adviser added," The holiday season provides them a perfect time to test out new attacks." reported USA Today.

Heden een interessant artikel gelezen waarin de ons bekende overheidsinstelling UWV al gebruik gaat maken van BYOD-devices. Ofschoon ze, zover ik eruit begrijp, geen expliciete pilot starten (hebben ze misschien al gedaan?), lijkt de aanpak me best aardig.
---------------------------------------
UWV start verbetering informatiebeveiliging (Computable 06.12.2011) zie http://is.gd/mZAUBq
De Uitvoering Werknemers Verzekeringen (UWV) begint met de eerste projecten om de informatiebeveiliging binnen de dienst op orde te hebben. Het UWV wil hiermee in 2014 klaar zijn. De dienst is al gedeeltelijk in de cloud en medewerkers kunnen hun *** eigen smartphones naar de werkvloer meenemen***. De komende jaren richt het UWV zich vooral op het automatiseren van autorisaties en het monitoren van hoe geautoriseerden zich gedragen.
........
Inmiddels draaien er processen van UWV in de publieke cloud, zoals de urenregistratie van externen en het registreren van bezoekers in de parkeergarage. Er is wel een regel: er zullen nooit primaire processen of data van het UWV in de publieke cloud komen.

Het is de bedoeling om binnenkort het gedrag van UWV-gebruikers te monitoren, zodat er grip komt op wat mensen met hun autorisaties doen. Daarbij komen vaker penetratietesten om te zien of het makkelijk is om autorisaties te misbruiken of rechten toe te eigenen die niet bij een account horen.
---------------------------------------------------------------
Als ze dan goede penetratiebedrijven inhuren dan krijgen ze snel een beeld van de (potentiele) gevaren en mogelijke oplossing.
Ik had liever gelezen dat ze eerst die bedrijven al hadden geraadpleegd, want voor je het weet gaat het hiermee mis; hopenlijk hebben ze toch dat al gedaan?
Maar als ze verder met die BYOD's niet aan vertrouwelijke info kunnen komen gaat het nog wel, maar toch?

Als hackers eenmaal binnen zijn, hou ze dan maar eens tegen. Maar misschien valt er bij UWV niet zoveel te halen; ze moeten toch fors bezuinigen en hebben nauwelijks meer geld voor zichzelf.

'Er begint weer stof op te waaien:
'BYOD levert een steeds groter probleem op' (Computable 12.01.2012) zie: http://goo.gl/P4N7D
..........wordt ‘bring your own device' al snel ‘bring your own problem'. ‘Doordat medewerkers hun eigen apparaten mogen gebruiken binnen de organisatie, vervaagt de grens tussen privé en zakelijk voor hard- en software', zegt hij. ‘Dit zorgt voor een uitdaging in beheer en beveiliging.'

Zo verpest je een BYOD-project (ComputerWolrd 16.01.2012) zie http://tinyurl.com/7wvu2gu
Bedrijven met naïeve of kortzichtige doelstellingen krijgen het deksel op de neus wanneer de uitrol van mobiele apparaten niet volgens planning verloopt.

Security-deel:
.....Een andere veelgemaakte fout is dat er geen strategie voor mobiel apparaatbeheer is; of een toestel nu van een medewerker of van het bedrijf is en of het bedrijf daar nu wel of niet voor betaald, jij bent verantwoordelijk voor de toegang tot het netwerk en bedrijfbronnen via mobiel device management (MDM) en andere tools gebaseerd op policies die je al zou moeten hebben voor het toegangsbeleid voor bedrijfsbronnen. Het blijkt dat veel bedrijven dit niet doen en dan verbaasd opkijken wanneer een tablet van een vertrokken werknemer vol bedrijfsdocumenten op Markplaats belandt

Hampton merkt op dat middelgrote bedrijven vaker met deze problemen worstelen dan grotere bedrijven omdat die vaker maar één 'telefoonmannetje' hebben die de portefeuille beheert, in plaats van een heel team dat zich bezighoudt met devicemanagement, beveiliging, policies en leveranciersrelaties.

Mac verslaat Windows door veilig imago
https://secure.security.nl/artikel/39917/1/Mac_verslaat_Windows_door_veilig_imago.html

.........Die enterprise shit (zoals Anoniem om 14:14 roept) is soms toch vrij belangrijk om je bedrijf online te houden.
Ik heb al enkele bedrijven meegemaakt die met BYOD werkten en een aantal dingen niet goed had beveiligd, waardoor er het nodige aan rommel op het netwerk kwam (spyware, trojans, virussen en andere meuk). Resultaat: 3 beheerders die een halve week kwijt zijn om alles recht te breien met de nodige leveranciers, het verwijderen van blacklistregistraties en ga zo maar door.
.............

In plaats van het uit bedrijfsoogpunt te bekijken is het gebruikersoogpunt ook van belang. Ik heb ooit een keer bedrijfsmail op m'n eigen telefoon ingesteld, en die begon vervolgens meteen te zeuren over verplichte ingewikkelde blokkeringscodes, verplichte blokkering na 15 minuten, etc. Dat heb ik er dus meteen afgegooid, als de zaak wil dat ik onderweg email lees zorgen ze zelf maar voor apparatuur.

Ik zou hier graag een seminar of andere bijeenkomst in bijwonen, zijn er mensen die weten of er binnenkort nog ergens iets op het programma staat betreft BYOD?

Ik ben druk bezig om mij verder te verdiepen in dit onderzoek en dan in het specifiek de beveiliging ervan. Zijn er mensen die hier toevallig dossiers over hebben of weet hebben van bijeenkomsten/seminars in de aankomende periode betreft BYOD?

Alvast bedankt!

@Sw0rdfish, ben zelf ook bezig met een afstudeerscriptie over de implementatie van tablets en smartphones.

Ik ga zelf naar de volgende seminars/bijeenkomsten.

http://www.blackhatsessions.com/programma.php
http://www.simac.com/nl/ict/kalender/DU3753_Seminar-Digitaal-Werken-in-de-Overheid.aspx

Voor de rest heb ik echt veel whitepapers, reports en artikelen verzameld, laat maar weten als ik hem moet doorsturen.

Bedankt voor je reactie, denk dat het eerste niet helemaal past bij hetgeen wat ik aan het doen ben. Wellicht kun je je documenten met me delen inderdaad. Bedankt voor je reactie!

Bedankt voor je reactie! De bijeenkomsten zien er zeker aantrekkelijk uit. Documenten delen zou erg fijn zijn ja!

@ZeteMkaa

Ik lees nu zo'n 1/1,5 maand later jouw reactie over een afstudeerscriptie over de implementatie van tablets en smartphones. Ik heb een soort gelijke afstudeer opdracht op mijn stage. Nu stelde je voor aan Sw0rdfish89 om documenten hierover te delen. Nu vraag ik me af (als je hier nog actief bent) of je dit soort documenten ook met mij zou kunnen delen? (ben op dit moment bezig zo veel mogelijk informatie te verzamelen voor het maken van mijn opdracht)

Bij voorbaat dank.

Add me ff op skype ;)

ZeteMKaa

Hee peet vee met een baviaan op de weecee holee satee in t cafee

security bedrijfstechnisch onverantwoord. simpelweg omdat je door al die eigen devices gigantisch veel ongeindexeerd risico in je intranet omgeving toelaat. zelfs wanneer je er een subnetje voor beschikbaar stelt en/of resources via gecontroleerde tunnels/routes deelt. het is zoals teeven de burger meer macht geeft om in feite de kerntaken van de politie te spreiden, in een bedrijsomgeving moet je minstens je risico indexeren om die te minimaliseren en te centraliseren (ook beleid). zeker in t wilde westen van interwebs tegenwoordig.

zoals altijd.. privé moet je scheiden van je werk, tis nooit anders geweest en dit zal zichzelf opnieuw bewijzen (gebeurd in feite al).

Als ontwikkeling op zichzelf is BYOD super, alleen al vanwege toename in bewustzijn. Meenemen in plaats van smartphone ofzo (mits prive) zou geen probleem moeten zijn zolang resources strikt gescheiden blijven.

Ik lees vandaag pas jouw antwoord, dank hiervoor. Ik zal je vanavond (na 6 uur) even toevoegen op skype, beschik hier (op stage) nl. niet over skypetoegang.

Moet ik het helaas mee eens zijn.
Zolang bedrijven nog altijd onderling contracten hanteren en naar de medewerkers, ingehuurden en partners toe en wij thuis alles informeel regelen en ons niet elke dag aan de wet houden is en blijft vermenging van prive en bedrijf riskant!

We zijn mensen, mensen maken fouten en bedrijven willen verantwoordelijkheden kunnen beleggen.

Dus stel dat jou kind/partner via de tablet zelf, of middels malware of via een hacker, een blunder maakt wat schade aan je bedrijf toebrengt wie neemt dan of is juridische verantwoordelijk.

De ouders weten van niets...en binnen gezinnen gaat alles informeel toe op dit gebied. het zal je maar je baan kosten en je weet van niets. Hopelijk gebeurt het nooit en dat niemand ervan de dupe wordt. Mij zou dat nooit gebeuren want ik heb bedrijfsaansluitingen altijd strikt gescheiden gehouden voor mijn gezin en dat wil ik zo houden.

Uiteraard ben ik zelf een van de grootste voorstanders van tablets maar dan 100% bedrijf en 100% apart voor prive, totdat een leverancier 100% de verantwoordelijkheid op zich draagt voor mengvormen!

Heel simpel samengevat:
Voordelen:geen!
1. kostenbesparing voor het bedrijf
2. schept een enorm risico voor het besrijf

Nadelen:
Medewerker schept zichzelf een positie waarin hij/zij aansprakelijk *zal worden* gesteld indien er iets mis gaat.


NOOIT aan beginnen. Geef je personeel gadgets die ze alleen voor WERK mogen gebruiken, maak daar afspraken over maar verlang (want zover is BYOD al gekomen) dat je personeel zelf het materiaal voor de arbeid aanschaft.

Zorg simpelweg altijd voor scheiding van privemiddelen en bedrijfsmiddelen.

Elke andere oplossing is, voorzichtig gezegd, idioot!.

Denk dat veel mensen spoken zien. De implementatie van BYOD hoeft helemaal niet zo risicovol te zijn als iedereen zegt.
De device kunnen heel gemakkelijk worden beheerd doormiddel van de config tools van Apple en Google. Hier kan nog veel verder in worden gegaan door gebruik te maken van een MDM systeem. Hiermee kan je checks uitvoeren of een device gejailbreaked is maar ook bepaalde applicaties verbieden/verwijderen en services zoals de fotocamera uitschakkelen.

Het grootste risico zit hem toch in de menselijke factor, en dit kan je weer goed oplossen door awareness trainingen te geven waardoor de eindgebruikers zich bewust worden van de gevaren en de data die ze bij zich dragen. Ook de simpele dingen zoals geen verbinding maken met draadloze netwerken en geen attachments opslaan.

Ook zijn er veel applicaties op de markt die de gegeven weg houden van het device maar wel de mogelijkheid biedt om hun zakelijke mail in te zien. Een goed voorbeeld is bvb Good, hierbij staan alle gegevens op de server en zal er niks op de telefoon komen. Ook dienen de gebruikers elke 5 min in te loggen met een complex wachtwoord. Hierdoor zijn je medewerkers wel mobiel en kunnen ze de data inzien op een veilige manier.

Ook zullen de meeste medewerkers geen belangrijke data met zich mee nemen en zal dit meer het geval zijn bij managers ed.

Lantech heeft voor het bedrijfsleven een oplossing bedacht voor BYOD.

Voor diegene die daar intresse hebben neem een kijkje op:

http://www.lantech.nl/news/Bring_Your_Own_Device

Denk dat veel mensen spoken zien. De implementatie van BYOD hoeft helemaal niet zo risicovol te zijn als iedereen zegt.
De device kunnen heel gemakkelijk worden beheerd doormiddel van de config tools van Apple en Google. Hier kan nog veel verder in worden gegaan door gebruik te maken van een MDM systeem. Hiermee kan je checks uitvoeren of een device gejailbreaked is maar ook bepaalde applicaties verbieden/verwijderen en services zoals de fotocamera uitschakkelen.

Het grootste risico zit hem toch in de menselijke factor, en dit kan je weer goed oplossen door awareness trainingen te geven waardoor de eindgebruikers zich bewust worden van de gevaren en de data die ze bij zich dragen. Ook de simpele dingen zoals geen verbinding maken met draadloze netwerken en geen attachments opslaan.

Ook zijn er veel applicaties op de markt die de gegeven weg houden van het device maar wel de mogelijkheid biedt om hun zakelijke mail in te zien. Een goed voorbeeld is bvb Good, hierbij staan alle gegevens op de server en zal er niks op de telefoon komen. Ook dienen de gebruikers elke 5 min in te loggen met een complex wachtwoord. Hierdoor zijn je medewerkers wel mobiel en kunnen ze de data inzien op een veilige manier.

Ook zullen de meeste medewerkers geen belangrijke data met zich mee nemen en zal dit meer het geval zijn bij managers ed.

Automatiseringsgids (10.04.2012):
Eigen apparatuur voor BYOD zeer slecht beveiligd
Privé-apparaten die zakelijk worden gebruikt, zijn in meer dan de helft van de gevallen zeer slecht beveiligd. Elementaire beveiligingsmaatregelen ontbreken veelvuldig - onderzoek van beveiliger ESET
zie: http://www.automatiseringgids.nl/nieuws/2012/15/eigen-apparatuur-voor-byod-zeer-slecht-beveiligd

Het einde van BYOD lijkt nabij (Computer World 23.04.2012)

In 2010 werd voor het eerst de term 'BYOD' genoemd; in 2012 is het normaal geworden; in 2014 vormt het de uitzondering. Of zal het zo'n vaart niet lopen?

Lees meer: http://computerworld.nl/article/13663/het-einde-van-byod-lijkt-nabij.html

We zijn er bijna vanaf? Mijn gevoel zat toch goed.

BYOD zorgt voor te grote risico’s bedrijven moeten overstappen op COPE (MarQit 03.05.2012)
Zorgt het concept BYOD voor het probleem?
Bring Your Own Device draagt de notie dat de werknemer de leiding heeft over zijn eigen technologie en devices. Maar vrijwel iedere security professional weet dat werknemers de zwakste schakels zijn in de securityketen. Dus waarom zou u de beveiliging van devices bij de werknemer zelf neerleggen?
....lees verder op: http://www.marqit.nl/newsitem/10306/byod-zorgt-voor-te-grote-risicos-bedrijven-moeten-overstappen-op-cope?goback=%2Egde_2199580_member_112369515

Afgelopen week goed artikel over Bring Your Own Device gelezen:
Databeveiliging in een BYOD-wereld (Computerworld 25.05.2012) De verconsumentering van IT houdt in dat je bedrijfsomgeving te maken krijgt met onbeheerde apparaten, die bovendien toegang tot bedrijfsdata willen hebben. Het is een nieuwe wereld en of we het nu willen of niet; het zet door.
Lees het hele artikel op: http://computerworld.nl/article/13735/databeveiliging-in-een-byod-wereld/1.html