Mobile security? Weg met die hokjesgeest!

Bij veel bedrijven heeft mobile security anno 2016 nog steeds geen prioriteit en dat is eigenlijk best vreemd nu Bring Your Own Device (BYOD) definitief zijn weg naar de werkvloer heeft gevonden. ‘Uit recent onderzoek van CompTIA blijkt dat 46 procent van de Nederlandse ondernemingen personeel in een bepaalde vorm privétoestellen zakelijk laat gebruiken’, zegt Pieter. ‘Mobile Device Managementoplossingen zijn wel gemeengoed geworden, maar dat richt zich vooral op het beheren van die devices. Kijken welke apparaten gebruikt worden, ervoor zorgen dat iedereen een wachtwoordje op zijn mobiel heeft, dat het password minimaal zes tekens lang is en dat een van die tekens een cijfer is. Daar ligt de focus en daarna houdt het op. Vaak denken bedrijven ten onrechte dat ze dan veilig zijn.’ Een grove misvatting, want serieuze issues als antivirus en dataprotectie worden dan helemaal genegeerd. ‘Twee zaken die volgens ons juist erg belangrijk zijn en waar Sophos veel ervaring mee heeft', aldus de topman. Hij wijst erop dat virussen een groot probleem zijn, met name op Android-apparaten. ‘Dat is algemeen bekend. Het aantal virussen op Android groeit explosief. Op Android-devices zou daarom altijd een virusscanner moeten staan, maar dat zien we nog onvoldoende. De dataprotectie is volgens mij nog belangrijker, zeker gezien de wetgeving die we sinds 1 januari in Nederland hebben, de Meldplicht datalekken. Je ziet dat encryptie op laptops, bijvoorbeeld met Bitlocker van Microsoft, de standaard begint te worden. Maar mobiele devices blijven volledig onderbelicht en vormen zo een enorm risico.’

Want een ongeluk zit in een klein hoekje. ‘Je mobiele devices raak je per definitie een keer kwijt”, zegt Pieter. ‘En dat is zeer riskant, niet alleen vanwege de wetgeving, maar ook omdat je informatie in verkeerde handen kan vallen. Dat kan ertoe leiden dat bijvoorbeeld je klantendatabase, prijslijsten en andere documenten aan een concurrent worden aangeboden. Heel vervelend.’ Omdat de risico’s voor zowel smartphones als laptops even groot zijn, vindt de beveiligingsspecialist het onzin om nog een strikt onderscheid te maken als het op security aankomt. ‘Dat is echt een achterhaald denkbeeld. Je hebt via je smartphone toegang tot zo veel gegevens. Leuk dat je laptop beveiligd is, maar als je je mobieltje vergeet in de trein, heb je alsnog een groot probleem.’

Bij Sophos kijken ze daarom niet meer naar losse apparaten, maar naar gebruikers die verschillende devices hebben. ‘Een of twee smartphones, een iPad, een laptop en een pc voor thuis. De informatie op deze devices is steeds meer gelijk en wordt vaker gedeeld. De industrie is te veel gefocust op silo’s. In onze ogen is mobile gewoon één van de onderdelen van het totale securitybeleid. Je zou dat veel holistischer moeten bekijken. Welke informatie is confidentieel? Wat zijn mijn kroonjuwelen? Wie moet erbij kunnen en wie niet? Daarna moet je pas nadenken over oplossingen. Dat is een compleet andere aanpak dan bedenken dat je iets met mobile security wilt doen, een top tien-lijstje met oplossingen opzoeken, de beste drie uitnodigen en een keuze maken.’

‘Dan krijg je namelijk een lappendeken van zestien verschillende oplossingen die niet met elkaar communiceren’, gaat Pieter verder. ‘En dat kan totaal verkeerd uitpakken, want de keten van al die oplossingen is misschien helemaal niet veilig.’ Hij adviseert bedrijven dan ook om integraal na te denken over security, net zoals ze dat bij Sophos doen, simpelweg omdat deze denkwijze voor allerlei moderne securityproblemen de enige oplossing is. ‘Onze industrie is door partijen als Gartner verdeeld in hapklare brokken, maar we moeten leren om veel meer vanuit beleid en de organisatie naar security te kijken. In plaats van te beginnen bij de tools en daarna pas te bepalen hoe we al die oplossingen aan elkaar gaan knopen.’