Stop de dief! Of niet?

  1. 13 jan 2016
  2. 0 reacties
Dennis-Baaten

Een deel van werkend Nederland heeft tijdens de feestdagen waarschijnlijk de laptop van het werk op schoot gehad om tussen de pepernoten en oliebollen door nog even ‘op het werk’ in te loggen. Al is het maar om te zorgen dat de stapel ongelezen e-mails in januari nog te overzien is. Dat thuiswerken is natuurlijk hartstikke handig, maar hopelijk ook veilig! Deze keer heb ik het over hoofdstuk 6.2 van de ISO 27002:2013 die gaat over mobiele apparatuur en telewerken.

Beleid voor mobiele apparatuur 

Het gebruik van mobiele apparaten heeft specifieke risico’s tot gevolg. Dit is voornamelijk het gevolg van het feit dat dergelijke apparaten de beschermde omgeving verlaten, en daardoor geen gebruik meer maken van de maatregelen die op werkomgeving van toepassing zijn. Dit betekent dat er dient te worden nagedacht over aanvullende maatregelen die passen bij de wijze waarop de mobiele apparaten worden gebruikt.

Hoofdstuk 6.2.1 geeft een beknopte opsomming van een aantal aspecten die in deze context geadresseerd kunnen worden. Het valt me op dat niet alle aspecten uitsluitend van toepassing zijn op mobiele apparaten, maar ook gelden voor vaste apparaten die de werkomgeving niet verlaten.  Denk bijvoorbeeld aan beperkingen ten aanzien van het installeren van eigen software (geen administrator rechten), het regelmatig maken van backups, bescherming tegen malware en virussen, en het installeren van patches. Voorbeelden van maatregelen die specifiek kunnen worden genomen om de veiligheid van mobiele apparaten te vergroten, zijn wat mij betreft het versleutelen van de opslagcapaciteit (Bitlocker, DESLOCK+, VeraCrypt), het op afstand kunnen wissen van bestanden, en het gebruik van een kabelslot wanneer een laptop in een vreemde omgeving onbewaakt wordt achtergelaten.

Let op dat het wissen van bestanden op afstand vereist dat het apparaat met internet is verbonden. Voor telefoons of tablets met een eigen 3G/4G verbinding is dat makkelijk, maar voor een laptop werkt dat vaak niet. Hetzelfde geldt overigens voor tracking software waarmee apparatuur gevolgd kan worden. Met het gebruiken van laatstgenoemde ben ik altijd voorzicht, omdat hier ook privacy aspecten aan vastzitten. Het is natuurlijk leuk om een telefoondief op deze manier te pakken, maar het wordt vervelend wanneer de baas gaat controleren waar de medewerker op een willekeurig moment van de dag is.

Telewerken 

Wanneer je thuis wilt werken of vaak werkt vanuit andere locaties, dan heb je te maken telewerken. Zoals blijkt uit hoofdstuk 6.2.2 zijn hier veel aspecten aan verbonden, maar ook nu wil ik me primair richten op maatregelen die specifiek zijn voor telewerken. Het kiezen van maatregelen is uiteraard afhankelijk van de risicobereidheid van een organisatie, maar ik vind het goede gewoonte wanneer de volgende maatregelen worden toegepast.

Gebruik altijd een beveiligde verbinding (bijvoorbeeld op basis van OpenVPN) om te verbinden met het bedrijfsnetwerk, en log uitsluitend in op basis van sterke authenticatie. Dit geldt overigens ook voor web faciliteiten zoals webmail. Een tweede factor (een one-time-password, of een certificaat) biedt in veel gevallen extra bescherming tegen zwakke of gecompromitteerde wachtwoorden. Ben daarnaast voorzichtig met het gebruik van vreemde en met name open Wi-Fi netwerken. Deze maken je namelijk kwetsbaar voor aanvallen door kwaadwillenden, en in sommige gevallen zelfs nog wanneer je een dag later weer op kantoor zit. Wat moeilijker te realiseren, maar wat mij betreft een goede maatregel, is het toepassen van Network Access Control (NAC) om te borgen dat uitsluitend door de eigen organisatie uitgegeven hardware verbinding kan maken met het bedrijfsnetwerk. Geen vreemde laptops op het netwerk, en je kan zelf de integriteit van bedrijfslaptops laten controleren alvorens een verbinding toe te staan. Werkt ook kantoor en niet alleen daarbuiten.

Meldplicht 

Het zal niemand zijn ontgaan dat sinds 1 januari 2016 de meldplicht datalekken van toepassing is. Binnen deze context wil ik nog even aanhalen dat verlies of diefstal van een laptop of telefoon een verplichte melding tot gevolg kan hebben. Ook wanneer dit op het werk gebeurt. Bijvoorbeeld een laptop of telefoon met daarop onversleutelde persoonsgegevens of wachtwoorden die toegang kunnen geven tot de bedrijfsomgeving. Zie het als een extra argumenten voor het gebruiken van dataversleuteling en sterke authenticatie. Als je het goed regelt, hoef je niet achter de dief aan te rennen en raak je in het ergste geval alleen hardware kwijt. Dat is vervelend, maar acceptabel(er).

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging