Een beetje cybercrimineel speelt er al op in. Hij concentreert zich met zijn activiteiten niet meer op het traditionele datacenter of it-omgeving, maar gaat op zoek naar de kwetsbaarste plaatsen die voor hem een ingang betekenen: de medewerkers. Misschien is dit de reden dat veel it-beslissers (43 procent, blijkt uit recent onderzoek van Telindus) medewerkers met een eigen device nog steeds geen toegang tot het netwerk geven.
Het belangrijkste bezwaar tegen een bring your own (byo)-strategie zit hem in security (92 procent). Maar zijn die risico’s niet juist een gevolg van het ontbreken van een strategie?Ja, het is van groot belang om te zorgen dat medewerkers niet zonder meer met hun eigen telefoon of device bij allerlei bedrijfsgevoelige zaken kunnen komen. Tegelijkertijd wil je hen hier wel in faciliteren, omdat het ook een aantal duidelijke businessvoordelen met zich meebrengt. Deze voordelen wegen voor veel it-beslissers blijkbaar echter niet tegen de nadelen op. Het is echter de vraag of je de problemen op security-gebied onschadelijk maakt als je byo in zijn geheel links laat liggen. Daarmee ‘stimuleer’ je eindgebruikers namelijk om zelf maatregelen te nemen, wat een groot risico kan zijn. De professional van de toekomst zorgt namelijk dat hij toegang tot het bedrijfsnetwerk heeft, of ict het nou wel of niet faciliteert.
De securitybezwaren komen niet uit de lucht vallen. Uit het genoemde onderzoek van Telindus blijkt dat een groot deel van de it-beslissers die byo hebben uitgerold, ook extra securitymaatregelen hebben getroffen. Dit is een goede stap op weg naar een byo-strategie, maar wel slechts een eerste stap. Beveiliging tegen cybercriminaliteit die een ingang probeert te vinden via devices, vraagt om een holistische aanpak: niet alleen op applicatieniveau moeten beveiligingsmaatregelen getroffen worden, de infrastructuur als geheel vraagt om aanpassingen om byo op een goede manier in te richten. De knelpunten zitten hem namelijk niet alleen in beveiliging.
Enterprise access ready infrastructuur
Een byo-beleid vraagt om een enterprise access ready infrastructuur. Dat is een infrastructuur die zelf herkent wie er wanneer en waar gebruik van gaat maken, zonder tussenkomst van de it-afdeling. De eindgebruiker staat hierin centraal. Om dit te kunnen realiseren, is het van belang dat het netwerk wordt ingedeeld op basis van identiteiten: enerzijds identiteiten van devices, anderzijds identiteiten van de eindgebruikers. De enterprise access ready infrastructuur is klaar voor ieder device en ieder persoon. Om de stap naar deze infrastructuur te kunnen maken, zijn er vier vereisten:
1) De identiteiten
Hoe is het op dit moment gesteld met de toegang tot uw bedrijfsnetwerk? Welke devices maken er toegang? En welke personen? Wat doen die identiteiten op het netwerk?
2) Het bestaande netwerk
Is uw netwerk bestand tegen een flinke toename in identiteiten door het toepassen van cyo en byo? Hoe is de dekking van het draadloze netwerk? Hoe is de relatie tussen het vaste en het draadloze netwerk? Hoeveel gebruikers zijn er op dit moment voor de netwerken?
3) Een self provisioning infrastructuur
Een self provisioning infrastructuur stelt eindgebruikers in staat om zelf een service of applicatie in te stellen of uit te rollen, zonder tussenkomst van IT. Iedere identiteit moet automatisch worden herkend, zowel op niveau van device als niveau van gebruiker. Hiervoor is identity management noodzakelijk.
4) Beleid
De laatste stap is natuurlijk het vastleggen van een beleid. Hierin moet bepaald worden hoe om te gaan met diefstal of verlies van een device, hoe het beheer ingericht wordt en of opslag lokaal plaatsvindt.
De vier vereisten met bijbehorende vragen laten zien dat er behoorlijk wat komt kijken bij het op een verstandige manier faciliteren van een enterprise access ready infrastructuur en BYO-beleid. Veel IT-managers laten zich hierdoor blijkbaar afschrikken, terwijl elk van deze checkpoints leidt tot een goede praktijkoplossing en eenvoudig en veilig gebruik van het bedrijfsnetwerk. Dat heeft niet alleen tevreden en effectieve eindgebruikers tot gevolg, maar houdt ook ongewenste gasten buiten de deur. Want als ik cybercrimineel was, wist ik het wel. Ik zou het liefst binnendringen bij een organisatie die níet aan deze checkpoints heeft gedacht.
