Mobiel en BYOD belangrijk, maar het beleid ontbreekt

Het SANS instituut heeft in opdracht van een aantal leveranciers gekeken naar het (veiligheids-)beleid van bedrijven rondom mobiliteit en BYOD. De leveranciers (Box, F5 Networks, McAfee, MobileIron, Oracle and RSA) hebben allen een belang in deze markt, dus -zoals altijd- moeten de bevindingen met enige voorzichtigheid bekeken worden. De 650 respondenten in het onderzoek vertegenwoordigen een aardige doorsnede qua sectoren. Jammer genoeg zie ik weinig informatie over de geografische spreiding. Een eerste conclusie uit het onderzoek springt er wel uit: 97% van de respondenten vindt het belangrijk een mobiele toegangs- en veiligheidsbeleid op te nemen in het algehele veiligheidsbeleid, maar 38% heeft geen formeel BYOD-beleid en 25% verbiedt simpelweg het gebruik van persoonlijke apparaten voor zakelijke doeleinden. Er zit duidelijk een kloof tussen zien wat er nodig is en daar ook echt iets mee doen.

Een tweede bevinding is dat minder dan 50% van de respondenten met BYOD aan de slag gaat ter ondersteuning van innovatie. SANS heeft een stevig oordeel over deze houding:

Interestingly, less than 50% of respondents said that supporting new innovations or changes were a reason for implementing policy—indicating that IT organizations still don’t understand or work within the language of business. Given the availability and power of smartphones, along with the shift to using mobile applications, the change in the typical IT infrastructure is already occurring.

Oftewel, IT-afdelingen die BYOD vooral vanuit security-oogpunt aanvliegen snappen niet wat er gaande is.

Qua te nemen maatregelen weten de respondenten wel wat ze graag zouden zien. Maar ook hier een kloof tussen weten en doen. Positief is wel dat het trainen van gebruikers wordt genoemd als tegenmaatregel tegen het installeren van malware op mobiele apparaten.

Op het gebied van remote access worden de plannen ook al gemaakt. De korte termijn oplossingen zijn het toestaan van toegang via VPN en het alleen toelaten tot een apart deel van het netwerk. Authenticatiemechanismen, virtualisatie en clouddiensten staan vooral op de agenda voor de komende twaalf maanden.

SANS gelooft overigens niet zo heel erg in de mogelijkheden van de gebruiker om zijn/haar eigen veiligheid te bewaken:

While many people believe that we need to control mobile devices and that policy is crucial, we have not met the security needs of the mobile workforce of today and tomorrow. Practices rely heavily on traditional controls such as VPN, authentication and network !rewalls. More alarmingly, most organizations fall back on user awareness and user agreements to provide security. While users are the ones demanding mobile access, depending on them to do the right thing is a path to failure.

Tja, daar ben ik het een stuk minder mee eens. Het is een opmerking die wel erg in het straatje van de sponsors past.

SANS Survey on Mobility/BYOD Security Policies and Practices (PDF)

Geplaatst op 31 oktober 2012, in Elders gelezen. Markeer de permalink als favoriet. 1 reactie.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers op de volgende wijze: