Leuk bedrijf, zou de IT afdeling niet vooraan moeten lopen met dit soort dingen? Koop er een paar en proberen maar zou ik zeggen. Dan neem je nooit meer je laptop mee naar huis. Maar serieus, de "disk" is niet te encrypten. Er zijn wel uitstekende beheer tools van Apple om remote te deleten of policy's te pushen. Net als bij de iPhone. Als er alleen gebruik wordt gemaakt van email en www dan zul je weinig problemen ondervinden. Cisco VPN client zit er standaard in. Ook ipv6 ondersteuning. Heb je speciale applicaties binnen je bedrijf met veel invoer (keyboard) dan zullen die aangepast moeten worden denk ik. Buttons enz zijn vaak gemaakt om met een muis aan te klikken. En niet met wat grotere vingers. En natuurlijk geen flash ondersteuning.

Ik heb hier zo'n ding liggen en neem meestal de laptop niet eens meer naar huis. Email, www en inloggen met VPN op mijn servers in een cybercenter gaat probleemloos. Er is een uitstekende SSH en RDP client voor. Ingebouwde 3G en bijna 10 uur op een accu. Daartussen door speelt ie ook nog alle muziek en films af. Voor wat zwaarder werk heb ik er nog een los BT keyboard bij. Het ding heeft zeker zijn beperkingen maar die wegen wat mij betreft niet op tegen de voordelen.

Robert

Apple heeft hier een documentje voor:
http://images.apple.com/ipad/business/pdf/iPad_Security_Overview.pdf

Hierin is er wel sprake van encryptie van de opgeslagen data.

Ik bevestig dat een Ipad voor thuis werken de ding is.

Alleen heb ik nog geen keyboard of een muis. Wat wel nodig is als serieus aan de slag wilt gaan. Anders kan je alleen wat simpele taken uitvoeren.

Waar een Ipad wel een uitstekend middel voor is, is het werken via CLI (SSH). Even wat snel nagaan, controleren, dat gaat erg goed.

Waarom encryptie, ik bewaar lokaal geen informatie van mijn bedrijf! Met RDP maak ik een verbinding naar mijn desktop PC, waar alles staat. Eigenlijk is een Ipad de ultieme vorm van een Thin Client.

Net als de Blackberry devices die gebruik maken van een BES policy server is er ook voor de IPAD een policy server die je dus in een enterprise/corporate omgeving kan laten draaien. Hiermee kan je de ipads beheren, password policies doorgeven encrypten en ook remote wipen als je dit zou willen.

Zie ook : http://www.apple.com/ipad/business/integration/

je kan daar 2 docjes downloaden voor de security van je Ipads.

Mocht je contact willen leggen met Apple Enterprise ( moielijk te vinden nummer) stuur dan even een mailtje naar me. info(et)leverland.net

Als er binnen je bedrijf veel verschillende mobiele apparaten zijn (Andriod, Windows Mobile, Symbian, Blackberry RIM, Mac IOS etc.), kijk dan eens naar Juniper Pulse Security Suite of Mobile Iron. Dit zijn oplossingen waarmee platformonafhankelijk mobiele apparaten beveiligd en geconfigureerd kunnen worden.

Inderdaad, als je 'm zo gebruikt hoef je je ook niet druk te maken over de beveiliging.

Ja en Nee. als je alleen via RDP werkt gaat alles vrij onveilig de (internet) lijn over. Dan sla ik het toch liever lokaal op.
Waarom geen TrueCrypt? Werkt ook op MAC, dus ook op een iPad lijkt mij.

Wij werken met RDP na eerst met de Cisco vpn client een verbinding te hebben gemaakt. Alle gegevens van klanten en machines staan op de terminal server op de zaak. Hij staat ook op autolock en na 10 x het verkeerde password ingegeven te hebben doet ie een totale reset. Vanaf afstand kan ik hem ook deleten, (als hij aanstaat tenminste en internet verbinding heeft) Het keyboard went snel. Op mijn vakantie adres heb ik het BB keyboard bij me. Daarnaast merk ik dat de laptop een stuk minder vaak meegaat en ook de grote machine thuis blijft hele dagen uit. Zou niet meer zonder willen. Als bijkomend voordeel kun je er ook Angry Birds op spelen. :-)

Robert

Dank! deze ken ik nog niet.


Robert

ik zou apple producten zoals iphone en ipad afraden in organisatie omdat ze er simpel weg niet voor geschikt zijn.

Omdat onze directie zonodig met de hype mee moest hebben ze een iphone gekregen. Vanaf dag één lopen ze te klagen over de omslachtigheid en niet instelbare opties, naast een was lijst met andere dingen.

kwa telefoon zou ik een blackberry aanraden (heb zelf een anroid phone, en ook dit is nog een redelijke ramp) blackberry is volwassener op zakelijk gebied.

Als zakelijke tablet zou ik een windows tablet aanraden (even wachten dus nog), dit omdat het vaak beter aansluit op de rest van het bedrijfsnetwerk en dus de compatibility van de services.

Als we het over beveiliging staat apple nog redelijk in de kinderschoenen, nog niet al te veel exploits vooruit maar dat komt dan mede doordat het gebruik niet aantrekkelijk is voor grootschalig malware makers (duur nog even)

?
Ik zie dit wel vaker om me heen. IT afdelingen (die eigenlijk met nieuwe ontwikkelingen vooraan zouden moeten lopen) die bij iedere verandering moord en brand schreeuwen. Geen iPhone of Android, geen tablet. Thuiswerken mag niet, is gevaarlijk. Ik heb mensen op pad zien gaan met laptops waar alleen nog maar met Word gewerkt kon worden. WiFi was te gevaarlijk. Geen wonder dat gebruikers op hun eigen telefoon/laptop gaan zitten werken. IT is dienstverlening. En als een gebruiker met een iPhone prettig werkt dan moet jij dat als afdeling maar mogelijk maken.


Robert

Belangrijke zaken:

Security:
Encryptie data lokaal bij verlies of diefstal
Bescherming tegen Malware en andere ongenodigde verbindingen vanaf buiten af.
Mogelijkheid tot opzetten beveiligde verbinding met externe systemen.

Kosten:
Goede prijs/kwaliteits verhouding.
Goede service
Eenvoudig beheer
Directe integratie met bestaande systemen zonder tussenkomst van extra hardware.

Bediening:
Gebruikers vriendelijk bediening
Transparant voor externe systemen
Dekt het alle bedrijfs wensen

Het is een begin, vul maar aan, maak een tabel met leveranciers die alternatieven producten bieden, zet je persoonlijke voorkeur overboord en doe de benodigde research.

dat lijkt me een verkeerde instelling, hiermee bepaald de gebruiker de voorzieningen die gebruikt gaan worden. En laten we eerlijk een 'normale' gebruiker is niet instaat de risico's in te schatten die bij het gebruik van bepaalde voorzieningen aan de orde zijn. Het is daarom van belang dat er een goedkeuringsproces is voor IT-voorzieningen, hierbij stellen de personen die moeten gaan werken met de voorzieningen de eisen en behoeftes op, en is het aan de IT-afdeling om invulling te geven aan deze eisen en behoeftes, overeengestemd met het geldende beleid. Indien dit niet mogelijk is zal bekeken moeten worden of het beleid het doelt dient waar het voor opgesteld is.

om enkele illusies weg te nemen:

thuis werken is niet gevaarlijk zolang de thuis omgeving maar beheerst wordt, bij 90% van de gebruiker thuis is dit niet het geval. Een thuis werkplek zou dus onderdeel moeten worden van de IT-voorziening en daarmee ook beheert kunnen worden door beheerder van een organisatie.......

WIFI hoeft niet gevaarlijk te zijn, zolang deze maar voldoende beveiligd is. Echter vormt WIFI wel degelijk een extra risico ten opzichte van bekabeling, je gooit immers je data gewoon de lucht in en kan door iedereen worden opgevangen... encrypted of niet, de encryptie moet er alleen voor zorgen dat de data niet direct leesbaar is.
Open en onbekende netwerken moeten ten alle tijden vermeden worden.

Als een gebruiker prettig met een Iphone werkt, maar deze niet in het beleid van organisatie past. Dan koopt hij zoon apparaat privé en voorkomt hij/zij ten alle tijden dat het in aanraking komt met het bedrijfsnetwerk/bedrijfsinformatie.

Dat bedoel ik nu, de omgekeerde wereld. Ik heb het onlangs nog ergens meegemaakt dat gebruikers dan maar via hun hotmail of gmail account dingen gingen doen. Dan hebben we het over bedrijfsgegevens! De rest was onmogelijk gemaakt door de IT afdeling, dat heet beleid. De (meeste) mensen willen gewoon hun werk kunnen doen. IT afdelingen maken dat vaak onmogelijk. Ivoren torens.


Robert

Hee grappig Predjuh, ik heb een collega die heeft beiden, een iPhone en een Blackberry en die doet niet anders dan klagen over de blackberry...
Het is maar hoe je hoed staat.
Als je het document over de beveiliging van de iPad doorleest, dan zie je dat het toch een behoorlijk redelijk beveiligd platform is. Het valt mij alles mee. Ik zou het de directie eerder durven adviseren dan een windows platform (gezien de reputatie van windows gedurende zijn ontstaan ergens 19..??88 ?? )

Waar baseer je dat op Robert? Elke medium voor dataopslag is te beveiligen, of dat nu een HDD is of een SSD en welk OS er ook op draait. De meeste grote firma's die aan end-point security doen, hebben wel een Full Disk Encryptor (FDE) in hun pakket zitten. Ook voor de Mac's. En zoals MrTre al meldt: Truecrypt heeft ook een Mac variant (naast Linux en Windows).
In het Apple paper (http://images.apple.com/ipad/business/pdf/iPad_Security_Overview.pdf) heeft men het over "256-bit AES encoding hardware-based encryption". Ik ben benieuwd over welke hardware based encryption Apple het dan heeft? Zit er een cryptografische processor in of bedoelt men dat de CPU dat zelf doet? Wie weet hier meer van?

Foutje van mij, ik verkeerde in de veronderstelling dat het geheugen zelf niet van encryptie was voorzien. Blijkt dus wel zo te zijn. Maar toch zet ik nooit gevoelige data op rondzwervende apparaten, gewoon uit voorzorg. En slechte ervaringen met de Windows variant van Truecrypt. Een aantal keren data verloren vanwege een Windows HD fout. Gevoelige data hoort achter een VPN volgens mij.


Robert

Beste Robert,
uit je verhalen spreekt een en al frustratie over de IT-afdeling waarmee je te maken hebt. Het grappige is dat zowel jij als Predjuh gelijk hebben. De functionele behoefte dient uit de business te komen (zeg maar ik wil thuis kunnen werken of ik wil mobiel kunnen e-mailen etc.). De IT-afdeling dient invulling te geven aan deze functionele behoefte. Zij staan voor beschikbaarheid, beheersbaarheid, werkbaarheid/gebruikersgemak, maar ook voor veiligheid. En laten veiligheid en gebruikersgemak vaak niet hand in hand gaan. Het is dan ook zaak dat de business samen met IT een pilot uitvoert om te kijken in hoeverre een mogelijke oplossing ook haalbaar is. En ja dan moet er wel eens water bij de wijn worden gedaan (van beide zijden bedoel ik dan ;-)).
All the best.

Hallo Robert, ben ik weer.
Ik ben het met je eens dat Truecrypt niet het schoolvoorbeeld van gebruikersgemak is. Er zijn betere producten met een enterprise-achtig management systeem waar ook recovery en remote-help functionaliteit in zit. Als je HD kapot gaat of crashed helpt weinig meer tegen verloren gegane data (ja, een tijdige back-up natuurlijk). Ik weet niet of Truecrypt, Windows of de HD zelf nou een groter risico vormt.....

Data staat achter een firewall op een server of wordt tijdens transport beveiligd door een VPN-verbinding. Een thin client oplossing beveiligd met een VPN verbinding lijkt nog de beste optie. Echter op het moment dat je lokaal data gaat bewerken dan wel opslaan moet je ook lokaal beveiligingsmaatregelen treffen. HD of SSD encryptie en sterke authenticatie (two-factor).

En zo hoort het ook, een IT afdeling dient invulling te geven aan de functionele behoefte. En niet andersom, helaas kom ik dat veel te vaak tegen. Zoals met alles, er moet balans zijn.


Robert

Aan de andere kant is het de verantwoordelijkheid van de IT afdeling om gevoelige date af te schermen. De gebruiker kan zo veel willen, maar als hij zijn speeltje met bedrijfsinformatie in de trein laat liggen moet IT zijn rommel opruimen en met een beetje pech krijgen ze er de schuld van.

Zo'n grapje heb ik eerder meegemaakt, waarbij de directeur perse een iPhone (eerste model) wilde om zijn mail en zo te doen, ondanks dat destijds de exchange ondersteuning matig was en er niet gedacht was aan versleuteling en exchange rules. Van de 29 rules die erheen geduwd werden, werden er maar 7 geaccepteerd. Een eenvoudige HTC s710 was beter beveiligd dan de geavanceerde iPhone.

Directeurs wil is wet, maar toen het apparaat gestolen was kreeg IT de wind van voren.

Gebruikers nemen ongelofelijke risico's puur vanwege mooie schermpjes of gemak. Het mooie vak van IT-er kent geen stilstand en dus is het goed om vragen te blijven stellen.

Het is tegenwoordig mogelijk om (centraal, met tools) een policy op iPad en iPhones te plaatsen.
Hiermee kun je een aantal zaken regelen ook bijvoorbeeld toegang tot the Appstore ed.
Daarnaast is ook een remote wipe mogelijk gemaakt (tenzij iemand zo snugger is vooraf de SIM te vervangen.)
Dit kan je zelf testen door via iTunes een policy uploaden naar je iPad of iPhone check de apple site voor de eigenlijke policy editor.

Volgens mij is de encryptie op de iPad/iPhone sinds iOS4 beter maar als ik goed de documenten van Apple lees wordt alleen email en de attachments gecrypt opgeslagen. Andere developers kunnen gebruik maken van de hardware encryptie maar de vraag is welke. NB voor email is dit is alleen voor zgn data-at-rest en niet hetzelfde als PGP of SMIME daar zijn bijna nog geen ontwikkelingen in, hier en daar zijn er apps waarmee je SMIME email kan lezen maar de vraag is of je deze applicaties wel kan vertrouwen.

Eerlijk gezegd vind ik dat er veel onduidelijkheid bestaat over het niveau van beveiliging, zoals bijvoorbeeld de combinatie van een 4 cijferige PIN en AES encryptie. Apple zegt dat de AES sleutel gebasseerd is op de PIN of wachwoord van de gebruiker, dat zijn in geval van een PIN maar 9999 sleutels. Al zou de encryptie AES4096 zijn als de sleutel gebaseerd is op zo'n kort "wachtwoord" heb je het slot zo open. Met de policy editor heb je mogelijkheid moeilijke wachtwoorden af te dwingen, maar ik geef op een briefje dat gebruikers dit niet leuk gaan vinden.

Wat je je moet afvragen is welke informatie er op deze apparaten gelezen gaat worden. Geef je toegang via de webbrowser tot gevoelige informatie, bedenk dan dat de cache dus waarschijnlijk niet beveiligd is. Zelfde for PDFs die men opslaat in iBook, contactpersonen, SMS etc etc...
Ook heb ik gehoord dat deze devices screenshots maken die ook opgeslagen worden, wanneer en waarom is mij niet duidelijk.

Uit http://www.zdziarski.com/blog/?p=140: Of dit ook geldt voor de huidige generatie apparatuur weet ik niet.

Hallo,
het idee achter de iPad is natuurlijk om de verantwoording geheel bij de eigenaar te laten. Ga je de iPad dichtzetten dan heb je er een beheersprobleem bij en wordt de eigenaar heel ongelukkig omdat al zijn andere apps niet meer werken.
Je moet het dus in je netwerk (segmentatie enz) en per data source oplossen (autheticatie, DLP enz).
Eventueel lost/found met reset en een VPN maar dan heb je het wat mij betreft wel gehad.

de iPad is een "internet driven" device. Dus je zet je gegevens op een server en benader die middels een app of beter nog Safari. Alleen meenemen wat echt nodig is, en als bedrijf bewaak je je data met DLP.

Met die iPad kun je het PC beheers en kostenprobleem terugdringen mits je infrastructuur gebaseerd is op een goed security design en je per datasource/applicatie de daarvoor nodige maatregelen toepast.

Tijden veranderen, een dikke kasteelmuur om alle data is niet meer van deze tijd. Iedereen een bedrijfs PC geven idem.
De iPad V2 gaat heel wat teweeg brengen in 2011.

Jij begrijpt het, ik denk ook dat er volgend jaar het nodige gaat veranderen.


Robert

De introductie van iPad V2 gaat (naast een verschuiving mbt IT beheer, applicaties, mobility) ook betekenen dat je geen grote muren meer kan opzetten om je informatie.

De killer app voor het internet (waar iedereen naar zoekt) is volgens mij niet de applicatie maar het Device.
iPad V2 (en soortgenoten) zijn de killer app.

De zon gaat weer schijnen in IT land.

Gelukkig zijn er sites als security.nl waarop organisaties, die onverantwoordelijk omgaan met vertrouwelijke gegevens, aan de schandpaal worden genageld.

Inderdaad. En waar nono's zoals rbsoen vanzelf hun Waterloo vinden.

Is het Robert nog niet opgevallen dat gebruikersgemak en goed omgaan met vertrouwelijke data nog wel eens naar elkaar bijt? Dat het duidelijk is dat de gebruiker geen biet snapt van vertrouwelijkheid? Dat IT net effe complexer is dan Robert denkt? Dat er een reden is dat IT afdelingen een leidende rol hebben? Dat IT net effe complexer is dan het (reeds lang gecompromitteerde) thuiscomputertje?

LOL, er zijn dus gebruikers, die zijn dom. En er zijn ITers, dat zijn de nieuwe goden. (Niets kan mij zo kwaad maken als de term systeemgod.) Kom eens uit die ivoren toren jongens in de echter wereld. Daar waar het geld verdient wordt en IT van onderschikt belang is. Een stuk gereedschap, meer niet.

Robert

PS.

En gebruik eens je echte naam.

Mijn idee is dat juist IT Security hier de lead moet nemen en IT en eindgebruikers bij elkaar kan brengen. Het gaat om Business en Risk in de juiste balans te houden. Business (verkopers, managers, bestuurders enz) willen iets wat hun productiviteit, work/life, networks etc etc ondersteund. Dat vinden zij in de iPhone/iPad... type devices. Tegelijk lopen ze daarmee een risico dat hun intellectual property wordt gestolen of hun device gekaapt. Security kan de eindgebruiker leiden naar een risico-bewust omgaan met hun device en de IT infrastructuur re-designen zodat sommige informatie relatief veilig vanaf de iPad benaderd kan worden, sommige informatiebronnen en netwerksegmenten sterk gecontroleerd bereikbaar zijn en sommige data bijzonderlijk sterk afgeschermd is.

Vroeger had je kastelen met de komst van buskruit was dat obsolete, daarna kwamen de veldslagen met paarden die ondersteboven gereden werden door de tank, nu is er stuxnet.
Je moet je blijven aanpassen.

hans

Ja, gebruikers zijn dom: voorbeeld: docent die rapport cijfers in laat vullen door leerling en dat verder niet controleert. Need I say more? Zo ken ik letterlijk duizenden voorbeelden. Dat jij denkt dat je anders bent betekent nog niet dat anderen dat ook zijn. Kom uit je ivoren toren!

Hoe veel incidenten met verloren laptops met vertrouwelijke data moeten nog worden aangehaald? Wacht maar tot jouw identiteit een keer wordt gestolen. Wake up.

Maar dat heeft toch niets met IT te maken? Als een officier van Justitie dossiers bij het vuil zet of zijn PC. In beide gevallen een erg domme daad. Maar de meeste gebruikers zijn geen domme mensen maar willen gewoon hun werk goed kunnen doen. Helaas komen ze dan vaak de dichte deur van de IT afdeling tegen. Nee en kan niet zijn vaak de vaste antwoorden. Ik zie mensen op pad gaan met laptops die zo zijn dichtgetimmerd dat ze hun werk nauwelijks meer kunnen doen. Dat kan toch niet de bedoeling zijn?


Ik wens je een fijne avond.


Robert

Waarom vind jij het wel normaal dat iedereen een standaard bureau met standaard instellingen heeft en vind je het niet normaal dat iedereen dezelfde tooling op zijn computer heeft?
Waarom vind jij het wel normaal dat iedereen een standaard bureaustoel met standaard instellingen heeft en vind je het niet normaal dat iedereen dezelfde tooling op zijn computer heeft?

Wanneer beseffen gebruikers dat ze hun werk en dan uitsluitend hun werk geacht worden te doen? En wanneer beseffen gebruikers dat het absoluut ondoenlijk is om letterlijk miljoenen variaties toe te laten als het hun pc betreft, maar accepteren ze dat op alle andere vlakken wel?

En ja, mijn voorbeelden hebben alles met IT te maken. Jij vond dat gebruikers niet dom zijn. Ik zie helaas dagelijks anders. IT is even wat breder dan alleen het desktopje. Het gaat om de belangrijkste schat van een bedrijf: de bedrijfsgegevens.

Ik weet natuurlijk niet in wat voor bedrijfstak jij acteert, ik weet dat de gegevens waar ik mee in aanraking kom op zijn minst bedrijfsvertrouwelijk zijn, en soms gerubriceerd of hoger.

En jij ook fijne avond.

Muren zoals firewalls ed hebben inderdaad geen zin meer. Het gaat (en ging) om de bescherming van informatie. Al deze apparaten schieten gaten in je oude perimeter. Dat is prima maar dat wil niet zeggen dat omdat je oude perimeter een gatenkaas geworden is je de informatie niet moet beschermen.

Ze zijn niet dom, ze willen gewoon op de voor hun makkelijkste en snelste manier werken. IT/Security moet uitleggen wat de mogelijke gevolgen en risico's zijn van het bewaren/bekijken van bedrijfsgevoelige informatie op deze apparaten, het management moet dan maar zeggen of ze dat risico willen aanvaarden.

Het probleem is gewoon dat de meeste van deze devices niet in eerste instantie voor het bedrijfsleven gemaakt zijn en dus wordt (extra) security achteraf ingebouwd. Het is de 'oude' wereld op zijn kop: computers werden eerst door bedrijven gebruikt en pas later door mensen prive. Deze devices komen uit de consumentenmarkt en hebben minder security omdat ze van origine minder gevoelige informatie hoefde te beschermen.[

Eindelijk iemand die het snapt!

De te beschermen data is niet van de IT-afdeling maar van "de business". De business is dan ook degene die (op basis van advies vanuit security management) de afweging moet maken tussen gebruiksgemak, kosten, productiviteit en beveiliging. Het is toch ook niet de IT-afdeling die bepaald wat de beschikbaarheid moet zijn van een applicatie, de business stelt de eisen en IT kiest aan de hand van die eisen de juiste technische oplossing. Leg de verantwoordelijkheid daar waar die hoort, dat is dus niet bij IT of bij de individuele gebruiker maar bij het management.

Een IT security officer

Fijn dat er toch veel mensen zijn die het zien zoals ik al eerder schreef.

Hans

Ok leuk, mooi en waarschijnlijk werkt zo een ding Ipad dus wel.
Toch heb ik er mijn twijfels over of dit nu echt een must is om te hebben als thuisgebruiker dan mocht je nog een desktop bezitten.
Mij lijkt het één grote dure gadget die Ipad's.
Dingen die dus bij de mondale thuisgebruiker vrij snel in de kast gaan liggen en geen daglicht meer zien.
Ik zit al een tijdje op het net wat sites daarover na te lezen over de instellingen/beveiligingsinstellingen van een Ipad ...
Ik blijf bij mijn mening dat een Ipad meer iets is voor mensen die het nodig hebben voor hun werk/zakelijk gebruik dus.
Of je dat ding echt qua beveiliging goed kan dicht timmeren daar heb ik mijn twijfels over.
Ik denk eerder dat er geen deur is die je zover kan openzetten dan die van een Ipad naar wat dan ook ...
Dus voor mensen die beveiliging hoog in het vaandel dragen, beter niet kopen zo een ding denk ik.