Veilig implementeren van mobiele apps

De uitkomsten van de Nationale IT-Security Monitor 2014 laten zien dat de helft van de respondenten aangeeft dat er onvoldoende kennis aanwezig is om cloud oplossingen veilig te gebruiken. En dat er onvoldoende kennis is om mobiele apparaten veilig te implementeren. Vest beschrijft in dit artikel een methodiek voor risicoanalyses op cloud computing projecten, alsmede een strategie voor het veilig implementeren van mobiele apparaten.

In de meeste organisaties zijn er constant veranderingen in het IT- & applicatie-landschap. Naast projecten die verouderde technologie vervangen is er uitbreiding en innovatie. Bedrijven fuseren, bedrijven splitsen, het IT-bedrijf staat nooit stil. Grote wijzigingen in het IT-landschap brengen risico's met zich mee. In dit artikel vragen we aandacht voor risicobeheersing in projecten die cloud computing implementeren en het gebruik van mobiele apparaten. 

Cloud projecten met een substantieel budget zullen in de meeste gevallen een bepaalde governance of beheersstructuur moeten volgen. Om budget te verkrijgen is een goedgekeurd projectvoorstel benodigd. Het is verstandig dit aan te vullen met de resultaten van een gedegen risicoanalyse. Organiseer een workshop en inventariseer de risico's die het project resultaat kan lopen. Daar zijn een aantal eenvoudige hulpmiddelen voor. Denk aan een formulier om de impact op de bedrijfsvoering vast te stellen. Beoordeel de impact vanuit financieel, operationeel en imago perspectief. Doe dit voor de aspecten vertrouwelijkheid, integriteit en beschikbaarheid. Het resultaat van deze exercitie geeft aan hoe belangrijk een applicatie is voor de ondersteuning van de bedrijfsprocessen.

Kwetsbaarheden 

Vervolgens gaat het team vaststellen wat dreigingen en kwetsbaarheden zijn. Hier zijn meestal wat meer technisch onderlegde medewerkers voor nodig. Medewerkers met kennis van de infrastructuur, of in dit geval cloud computing. Een goede bron voor meer informatie over de risico's van het gebruik van cloudcomputing is de website van Enisa. Wil je meer weten over mogelijke cloud security risico's, download dan een van hun whitepapers. Nog niet helemaal thuis in de wereld van cloud computing? Lees je dan eerst in op de website van de Cloud Security Alliance (CSA). De CSA heeft een overzicht van beheersmaatregelen gemaakt, variërend van technische maatregelen, tot contractuele en juridische.

De voorbereiding van een dreigingen analyse begint met het vaststellen van een scope die past bij het project of situatie in kwestie. Bijvoorbeeld een bedreiging op het datacenter waar de applicatie wordt gehost, uitval van systemen, of aanvallen door hackers. Maak de lijst niet te lang, dat is helemaal niet nodig om een goede risico analyse te maken. Zo'n 20 items is voldoende. Verdeeld over categorieën zoals applicatie ontwikkeling, beheer en hosting. Neem de context van het project daarbij in ogenschouw. Draait de applicatie straks in Amerika? Gaat het project kritische bedrijfsprocessen uitbesteden? Krijgt de service provider wel of geen toegang tot uw data?

Afhankelijk van de sector waarin het bedrijf opereert zijn er richtlijnen van de toezichthouders, zoals De Nederlandsche Bank (DNB) of in het buitenland de Monetary Autority of Hongkong. Deze instanties hebben richtlijnen voor risicoanalyses op cloud computing projecten voor financiële instellingen uitgevaardigd. DNB gebruikt daarbij de risicoanalyse van Enisa als brondocument. Neem deze informatie mee in de dreigingen analyse.

Data classificatie

Nu bekend is hoe belangrijk de applicatie is (data classificatie), en welke dreigingen en kwetsbaarheden er zijn, is het tijd voor de selectie van maatregelen. Het is handig om op basis van diverse bronnen een lange lijst van eisen op te stellen en vervolgens per project een selectie te maken. Meestal op dit punt in het proces komen er vragen van betrokkenen over wat nu precies cloud computing is. Zorg voor een heldere definitie die is goedgekeurd door senior management. Welke definitie precies wordt gebruikt maakt niet uit, zolang alle deelnemers maar hetzelfde referentiekader gebruiken. Een makkelijk bruikbare definitie is dat cloud computing applicaties gebruikmaken van een gedeelde infrastructuur. Klanten, waaronder uw eigen bedrijf, hebben geen invloed op hoe deze infrastructuur er uit ziet en wordt beheerd door de provider. Er zijn geen fysiek gescheiden servers, geen gescheiden databases. Alle klanten draaien in één en dezelfde omgeving en de provider geeft meestal weinig informatie over de wijze waarop klantdata logisch wordt gescheiden.

Met behulp van de project context wordt een selectie gemaakt van maatregelen die passen bij de gevonden dreigingen en kwetsbaarheden. Grofweg zijn er maatregelen voor het project en voor de leverancier. Meestal dient het project tevens een aantal processen in te richten voor na de live gang. Denk aan het periodiek controleren van toegangsrechten op de applicatie.

Het project kan in haar projectvoorstel rekening houden met de kosten en doorlooptijden van de te implementeren maatregelen. Een risk manager houdt tijdens het project de vorderingen bij en rapporteert aan de stuurgroep over risico's.

Na het uitvoeren van risicoanalyses op enkele cloud projecten zal je merken dat er steeds meer collega's en meer disciplines bij betrokken worden. Kennis en ervaring binnen deze groep loopt behoorlijk uiteen en dat maakt discussiëren over risico's en maatregelen lastig. Organiseer een basiscursus cloud computing beveiliging. Bij voorkeur in company, zodat de eigen situatie en voorbeelden in de les kunnen worden meegenomen.

Veilig gebruik van mobiele apparaten 

Het veilig gebruiken van mobiele apparaten en applicaties begint met een inventarisatie van functionele eisen en een strategie. Neem de volgende situatie. Een bedrijf in de zakelijke dienstverlening waar de werknemers op kantoor en onderweg gebruikmaken van e-mail, agenda, bestandsuitwisseling, en ondersteunende apps zoals die voor takenlijstjes, enquêtes, planning en online samenwerken. Naast de eigen werknemers is er een grote groep consultants. Er zijn werknemers die hun eigen telefoon of tablet willen gebruiken. Er is een centrale IT-afdeling die regie wil voeren en in controle wil zijn.

Bij het opstellen van een strategie voor mobiele beveiliging moeten een aantal keuzes worden gemaakt. Wel of geen Bring Your Own? Wel of geen centraal beheer van apparaat configuratie (mobile device management of MDM). Wel of geen eigen appstore? Wel of geen gebruikmaken van een security container waar binnen applicaties veilig kunnen draaien. En hoeveel budget is er eigenlijk om het beleid te implementeren, want dergelijke maatregelen zijn per gebruiker best kostbaar. Een veel gekozen strategie is het toestaan van Bring Your Own, geen centraal configuratiebeheer in combinatie met een container.

Voor het veilig gebruiken van mobiele apparaten kan dezelfde risicoanalyse methodiek gebruikt worden als hierboven beschreven voor cloud computing.

De twee in dit artikel toegelichte projecten zijn IT-gerelateerd. De beveiliging van IT-systemen en informatie zou echter in ieder project een vast onderdeel moeten zijn, en bij voorkeur in een zo vroeg mogelijk stadium. Juist dan kan beveiliging een ‘business enabler’ worden door het verschil te maken in concurrentievoordeel en efficiëntie. Bijkomend voordeel van een dergelijke strategie is dat je in lijn handelt met de welbekende ISO27002 standaard, ook aangeduid als de Code voor Informatiebeveiliging.

Jim de Haas en Kees Mastwijk zijn werkzaam bij Vest Informatiebeveiliging

   
Lees ook
NGI deelt concrete alternatieven voor instant messaging

NGI deelt concrete alternatieven voor instant messaging

Sinds de uitbraak van de COVID-19-pandemie realiseren we ons allemaal hoe belangrijk het is over de juiste communicatietools te beschikken om contact met elkaar te blijven houden. Nu we ons steeds meer bewust worden van onze privacyrechten en hier meer waarde aan hechten, letten we echter ook meer op de gebruiksvoorwaarden

Awaretrain lanceert gratis security awareness app

Awaretrain lanceert gratis security awareness app

Awaretrain lanceert een gratis app waarmee medewerkers van bedrijven en organisaties hun cyber security kennis en skills kunnen verbeteren.

Gebruik van sociale netwerken, messenger en externe clouddiensten op de werkvloer vormt cyberrisico voor bedrijf

Gebruik van sociale netwerken, messenger en externe clouddiensten op de werkvloer vormt cyberrisico voor bedrijf

Kaspersky deed recent onderzoek naar de webdiensten die werknemers van kleine en middelgrote bedrijven tijdens het werk het vaakst gebruiken. Van YouTube en Facebook, tot Google-services en WhatsApp. Het gebruik hiervan op de werkvloer, kan een cyber-risico vormen voor het bedrijf.