Productiviteitswinst dankzij mobiele technologie
15/12/2007 OM 00:00
- Luc Willemijns
Enkel bij strategisch doordachte IT-aanpak
Produktiviteitswinst dankzij mobiele technologie (4)
Tot op heden blijken NOC (network operation center)-gebaseerde systemen kwalitatief de beste oplossing voor mobiele IT-beveiliging. Hoewel men in bepaalde kringen, al dan niet terecht, kanttekeningen plaatst bij de potentiële beveiligings- en confidentialiteitsrisico’s van NOC-gebaseerde push e-mail-architectuur, lijkt het risico voor het merendeel van de ondernemingen beperkt indien men de e-mail inhoud aan beide zijden encrypteert en de elektronische berichten via geëncrypteerd transport uitwisselt. Bedrijven hoeven zich overigens weinig zorgen te maken over potentiële inbreuken op hun NOC-beveiliging indien ze dat niet voor het e-mail-verkeer zelf doen.
De risico’s van Internet-gebaseerde architecturen situeren zich in het vlak van de infrastructuurbeveiliging (complexe installatie en configuratie) en het gebrek aan data-encryptie tussen client en server. De mogelijke kwetsbaarheden van NOC-gebaseerde architecturen schuilen veeleer in de mogelijke interceptie van e-mails, de opslag van e-mails en bedrijfsdata op vreemde “nodes” en de ongecontroleerde toegang tot de e-mail servers. End-to-end data-encryptie, eventueel in combinatie met e-mail-encryptie, en een strenge beveiliging van de encryptie-sleutels bieden al heel wat soelaas.
Bedrijven die heel erg met veiligheid begaan zijn, doen er ook best aan veilige opslag-devices te gebruiken, zoals geëncrypteerde USB-sleutels voor data-uitwisseling in plaats van e-mail.
Draadloze e-mail-toepassingen voor enkelingen
Draadloze e-mail-toepassingen die door de meeste enkelingen worden gebruikt zijn bijzonder goedkoop en makkelijk uit te rollen. Alleen, bedrijven horen ze te mijden als de pest omwille van hun veiligheidsrisico’s:
- Redirectors (met inbegrip van Microsoft Outlook): gebruikers kunnen e-mails via een onveilige connectie sturen, die ontsnapt aan de controle en logs van het bedrijf en aan virussen bloot staat. Bovendien worden de encryptie-mechanismen omzeild en kunnen e-mails naar e-mail accounts op het publieke Internet worden doorgestuurd.
- Browser-gebaseerde oplossingen zijn niet efficiënt en presteren ondermaats omdat ze een on-line-verbinding met de server vereisen die over voldoende bandbreedte beschikt. Doorgaans is die echter niet voorhanden in wereldomvattende datanetwerken. Evenmin is het mogelijk hoogebeveiligde encryptiemechanismen (zoals 3DES) te implementeren of over een centrale administratie en beheer van remote clients te beschikken. Opruimmechanismen blijven een moeilijk gegeven bij verlies of diefstal van het toestel. Offline-support voor een specifiek toestel blijft achterwege.
- In het geval van een ISP e-mail account, is de e-mail server eigendom van de operator die de dienst verleent. Heel wat vendors bieden deze oplossingen (bijvoorbeeld RIM’s BlackBerry Web Client), inzonderheid voor consumenten of professionele gebruikers. Voor bedrijven met een beveiligingsrisico is deze oplossing evenwel niet geschikt.
- Managed services worden door third parties aangeboden en kunnen borg staan voor mechanismen van hoge beveiliging.
Opkomst van Microsoft
Voorspeld wordt dat marktleider RIM (BlackBerry) tegen eind 2008 zijn marktaandeel op de draadloze e-mail-markt van zowat 50% tot 30% zal zien afkalven. Dit als gevolg van de toenemende concurrentie van Microsoft. Nadeel van RIM is dat de security-support enkel geldt voor BlackBerry. Microsoft’s dienstverlening terzake richt zich ook tot niet-Microsoft-devices. Ook IBM zou, naar verluidt, tegen 2008 met een goede draadloze e-mail-implementatie voor Lotus Notes op de markt komen.
Zowat de helft van de bedrijven en organisaties die over een Exchange-server beschikken zouden hun toevlucht tot native support nemen om vanaf volgend jaar mobile push e-mail te introduceren. Sinds juli vorig jaar is Microsoft’s Direct Push beschikbaar op Exchange 2007. Ook de tandem Nokia/Intellisync zal zich vanaf 2009 als een zuivere white label push e-mail vendor in de markt manifesteren. Intellisync, dat sinds 2006 door Nokia wordt gecontroleerd, ondersteunt in verregaande mate zowel Exchange als Notes.
Op korte termijn zullen zowat zeven e-mail implementaties op tien op zijn minst één bijkomend product aanbieden ter aanvulling van de standaard mobiele beveiligingskenmerken.
Vandaag de dag supporteren de meeste draadloze e-mail vendors beveiliging en remote management tot op bepaalde hoogte. Er blijven evenwel steeds specifieke gevallen waar specifieke ontbrekende “features” zich opdringen om bepaalde beveiligingsaspecten af te dekken. In dat geval is men aangewezen op third party-tools die specifieke “items” van mobiele beveiliging aanpakken voor draadloze e-mail-systemen. Voornaamste voordelen van native support hebben te maken met de beperkte kostprijs en het feit dat men slechts met één product en één vendor te maken heeft. Nadeel is dan weer dat andere applicaties, naast e-mail, geen gebruik maken van die beveiligingsfuncties. Samenwerking met een third party biedt dan weer het voordeel dat het beveiligingsplatform alle mobiele applicaties in ogenschouw neemt, ongeacht de “device” waarop ze draaien. Vermits er mogelijk verschillende vendor in dat proces worden betrokken, oogt het bijhorende prijskaartje hoger.
Smartphones: nieuwe beveiligingseisen
In vergelijking met laptops en andere mobiele toestellen, vergen smartphones nieuwe beveiligingseisen. Een eerste verschil, zoals eerder aangehaald, is dat geconvergeerde toestellen op verschillende operating systems (Windows Mobile, Palm OS, BlackBerry OS en Symbian OS) kunnen draaien, in tegenstelling tot desktops en notebooks. Een tweede verschil schuilt in de wijze van aanschaf. Waar laptops doorgaans worden aangekocht door dezelfde afdeling die de desktops aankoopt, belanden de meeste mobiele devices via een ander kanaal in de onderneming. En dat maakt standaardisatie op een welbepaald mobiele OS er niet makkelijker op. Een derde verschil schuilt in het gebruikspatroon. Omwille van de telefoonfunctionaliteit moet men de smartphone steeds bij de hand te hebben. Dat verhoogt het risico op verlies, termeer daar de toestellen steeds kleiner en lichter worden. En vermits ze, net zoals de notebooks, ook via technologieën als Bluetooth en SMS toegankelijk zijn, is het hacking-risico groter.
Unieke kenmerken vergen, zoals bekend, unieke oplossingen. In IT-kringen verleent men de voorkeur aan een gemeenschappelijke console voor de beveiliging van alle toestellen (desktops, laptops en mobiele devices). Belangrijk is dat bij een dergelijke geïntegreerde oplossing, ook de directory services-solutions kan worden geïncorporeerd. Vooralsnog wordt de huidige vraag naar mobiele beveiligingsoplossingen niet zozeer ingegeven door de hype van mobiele malware, wel door de behoefte om gevoelige bedrijfsinformatie op mobiele toestellen of laptops te beschermen. Maar hoelang nog?
(Bovenstaande reeks kwam tot stand in samenwerking met Nokia Belgium N.V. (Diegem). Meer info: www.nokaforbusiness.com).
IN KADER
Mobile security: Gartner’s aanbevelingen
- Mobiele beveiliging is niet verschillend van laptop- of PC-beveiliging. Verleng de IT-“best practices” van het bedrijf derhalve tot veilige mobiele apparaten en - applicaties.
- Focus niet enkel op lokale beveiliging, vergeet ook de mobiele gebruikers niet. Het is gevaarlijk draadloze “gates” in de IT-beveiliging van de organisatie te laten.
- Beperk de blootstelling van de organisatie aan beveiligingsdreigingen door de hoeveelheid sensitieve data opgeslagen op toestellen te controleren en te herleiden. Rol oplossingen uit die het wissen van data op draadloze toestellen vanop afstand mogelijk maken.
- Focus op mensen, niet op technologie. Werknemers dienen zich bewust te zijn van de potentiële risico’s en moeten hun gedag aanpassen.
- Probeer niet alle mogelijke dreigingen te voorkomen. Honderd procent beveiliging is immers utopisch.
EINDE KADER