Arjan Veenboer, MobileIron

‘Het is tijd om mobile security echt serieus te nemen’

Waar online security op de bedrijfscomputer min of meer gemeengoed is geworden, is het vaak nog schrikbarend om te zien hoe ondernemingen met hun veiligheid omgaan op mobiele devices. Terwijl die markt voor mobiele devices booming is en cybercriminelen zich daar meer en meer op focussen. “Het is dan ook tijd om mobile security echt serieus te nemen”, zegt Arjan Veenboer, regional sales director Benelux bij MobileIron.

“Er is werk aan de winkel”, concludeert Veenboer. Hij schetst dat werkplekken steeds vaker mobieler zijn. “Er is een duidelijke verschuiving te zien van vast naar flexibel. Je kunt overal, dus zeker ook thuis, aan de slag. En je werkt tegenwoordig op alle typen devices. Je switcht in no time van je laptop naar de tablet en de smartphone. Deze verschuiving wordt mede mogelijk gemaakt door de sterke groei van het gebruik van apps met toegang tot cloudservices. Die zorgen ervoor dat de gebruikers bij hun bedrijfsinformatie kunnen. Overal, altijd en op elk device. Waar thuiswerken in sommige organisaties nog wel eens een punt van discussie was, zijn we er tijdens de coronacrisis achter gekomen dat heel veel functies in Nederland remote zijn in te vullen. Dat we de digitale transformatie kunnen doen, inclusief beeldbellen, is nu wel bewezen. Maar nu is het wel zaak om de volgende stap ook te nemen en dat is het opnieuw onder de loep nemen van de security van al die mobiele devices, en deze goed in te regelen.”  

Drie terreinen

Steeds vaker wordt een mobiel device gebruikt om toegang te krijgen op het bedrijfsnetwerk en tot de bedrijfsinformatie via applicaties zoals Microsoft 365, Workday, Salesforce of SAP. “Dat zijn applicaties met veelal cruciale en vertrouwelijke bedrijfs- en persoonsgegevens.” Volgens Veenboer kun je in bedrijven als het ware geen laptop vinden zonder anti-virusscanner. “Maar voor security op mobiele devices ligt dat compleet anders. Dit terwijl op de zakelijke smartphone of tablet privé en zakelijke data door elkaar worden gebruikt.”  

Veenboer benoemt aansluitend drie terreinen om op te letten bij mobile security. “Werk op basis van het Zero-Trust principe en begin met: is het device waarmee de gebruiker toegang zoekt te vertrouwen? Twee: welke applicaties gebruiken medewerkers om toegang tot de zakelijke informatie te krijgen en kun je deze als bedrijf vertrouwen? Drie: is het netwerk waarmee gebruikers toegang tot de data willen betrouwbaar?”

‘Valse e-mails in de vorm van phishing nemen hand over hand toe, zeker tijdens de coronacrisis’

Keuzes

MobileIron verzorgt op die drie terreinen de beveiliging. Dat begint veelal met Mobile Device Management, een oplossing waarmee bedrijven hun mobiele devices, applicaties en toegang tot netwerken kunnen beheren. “Dit helpt organisaties inzicht of controle te krijgen over de status van het device en de applicaties die hierop gebruikt worden. Het zorgt voor een scheiding tussen privé en zakelijke data en applicaties op het device en kan bijvoorbeeld als de medewerker het toestel heeft verloren, ervoor zorgen dat het zakelijke deel gewist wordt van de telefoon. Of, als dat noodzakelijk of gewenst is, ervoor zorgen dat de telefoon helemaal wordt gewist. Dat soort keuzes zijn afhankelijk van de instellingen die de beheerder configureert en in het beleid van de organisatie zijn opgenomen.” 

Weg van de minste weerstand

Dat cybercriminelen zich meer richten op mobiele devices is logisch. “Het is als de inbreker die de weg van de minste weerstand zoekt. Uit onderzoeken blijkt dat het internetverkeer vanaf mobiele devices nu het internetverkeer vanaf vaste computers voorbij is gegaan. Daarmee verlegt de aandacht van cybercriminelen zich ook meer en meer naar mobiel. Daarbij maken ze tijdens de coronacrisis ook handig gebruik van de verwarring en de behoefte aan informatie over het coronavirus.”  

MobileIron is ontstaan als oplossing voor het beheren van mobiele devices, maar heeft zich ontwikkeld tot een complete mobile security-oplossing die kan helpen devices, applicaties en netwerken veilig te houden. “Dus ook of de gebruiker OS- of applicatie-updates heeft gedaan. De beheerder van het bedrijfsnetwerk kan zelfs zo ver gaan dat hij updates forceert en dus eigenlijk verplicht of devices toegang weigert totdat updates zijn gedaan.” Dat niet alleen voor het iOS, iPadOS en macOS-platform (Apple), maar ook Android (Google) en Windows 10 (Microsoft). “Waar sommige partijen angstvallig aan hun eigen standaarden vasthouden, pakken wij mobile security op de drie terreinen device, applicatie en netwerk op. Dat op basis van erkende en voor iedereen beschikbare marktstandaarden.”  

De aanbieder is daarmee ook doorgegroeid van Mobile Device Management naar Unified Endpoint Management. Veenboer: “Dat maakt het mogelijk om alle devices – of dat nu smartphones, laptops of desktops zijn – te beheren vanuit één omgeving. Die omgeving checkt continu, ook als het device geen actieve internetverbinding heeft, of een device, een applicatie en een netwerk te vertrouwen is en onderneemt actie wanneer dat nodig is. Beheerders kunnen zelf voorwaarden stellen waar deze drie terreinen aan moeten voldoen.”

‘We kunnen ook rapportages draaien over welke bedreigingen het vaakst voorkomen’

Wachtwoord heeft langste tijd gehad

Dat kan dus bijvoorbeeld leiden tot het wissen van de (zakelijke) gegevens op een telefoon, het niet toestaan van toegang tot vertrouwelijke informatie via een bepaalde applicatie of het niet accepteren van toegang via een niet vertrouwde internetverbinding. “We kunnen ook rapportages draaien over welke bedreigingen het vaakst voorkomen.”  

Dat alles biedt veiligheid, maar daar bovenop heeft MobileIron ook diverse extra technologische gereedschappen in petto. “Wachtwoorden worden door gebruikers nog altijd als ‘vervelend’ ervaren. Ze moeten verschillende wachtwoorden onthouden voor verschillende applicaties en diensten. Ze moeten deze vervolgens vaak veranderen of extra ingewikkeld maken met hoofdletters en leestekens. Daardoor worden deze vaak vergeten, met alle gevolgen van dien. Of men maakt ze zeer eenvoudig om te onthouden, waardoor deze het doel van veiligheid realiseren voorbijschieten. Eigenlijk is de conclusie dat het wachtwoord zijn langste tijd heeft gehad. Vandaar dat meerdere bedrijven zich richten op andere oplossingen om zo het wachtwoord tot het verleden te laten horen.”  

Dat kan bijvoorbeeld door gebruik te maken van certificaten van authenticiteit en deze te combineren met een tweede factor. Veenboer: “In dit geval maak je geen gebruik van het invoeren van een gebruikersnaam en wachtwoord, maar van een certificaat in combinatie met een tweede factor om toegang te krijgen tot zakelijke applicaties of informatie. De tweede factor kan in de vorm van een code zijn die naar je smartphone wordt toegestuurd, maar ook een vingerafdruk, een melding die je accepteert in een mobiele app of gezichtsherkenning.”

Klanten hebben grote invloed

Veenboer is enorm trots op zijn uitverkiezing tot Partner of Choice. “Het is een mooie erkenning dat we van klanten zo’n positief waardeoordeel hebben gekregen. Daar werken we hard voor, met lokale teams die klanten proactief helpen. We zeggen daarbij wat we doen en doen wat we zeggen. We hebben als marktleider op ons gebied de flexibiliteit van een niche-speler kunnen behouden en kunnen zo rechtstreeks contacten leggen tussen klant, senior management en productmanagers. Klanten hebben dan ook een grote invloed op wat we bouwen en klanten kunnen deelnemen aan klantgroepen om ervaringen uit te wisselen. Dat alles wordt als heel waardevol ervaren.”  

Tot slot vraagt Veenboer bedrijven waakzaam te zijn op het gebied van mobile security. “Toegang tot bedrijfsdata via een mobiel device of app neemt risico’s met zich mee waardoor kritieke bedrijfsinformatie onnodig blootgesteld zou kunnen worden aan kwaadwillenden die hier misbruik van kunnen maken. Mobile security moeten we daarom uiterst serieus nemen.”

Dit artikel is tot stand gekomen in samenwerking met MobileIron.