Wanneer je als bedrijf een apparaat aanschaft, wil je dat de veiligheidsrisico’s beperkt zijn en klant-, bedrijfs- en personeelsgegevens zo goed mogelijk worden beschermd. Vanaf het moment dat een werknemer het apparaat aanzet, tot het voor de laatste keer uitgezet wordt. ISO/IEC 27001 is de bekendste norm ter wereld voor beheersystemen op het gebied van informatiebeveiliging. ‘Deze standaard laat zien wat de eisen op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid zijn voor een echt security systeem’, weet Erv Comer, engineer bij Zebra Technologies. ‘ISO 27001 garandeert geen volledige bescherming van gegevens of apparaten, maar zorgt er wel voor dat wat bedrijven nodig hebben aan risicomanagement bij het gebruik van mobiele apparaten, al is ingebouwd.’
De drie pijlers in cybersecurity – mensen, processen en technologie – bieden een leidraad voor handhaving van een goed beveiligingsbeleid. ‘Het is belangrijk om te noemen dat ook apparaatfabrikanten dat moeten doen, want ook daar en bij leveranciers van beheerservices werken mensen die fouten kunnen maken – vooral wanneer ze de gevolgen van bepaalde acties niet overzien of belangrijke acties niet ondernemen’, waarschuwt Comer. ‘En ze hanteren misschien niet dezelfde beleidsregels en normen als een eindgebruiker en zijn medewerkers.’
Het is daarom cruciaal dat bedrijven begrijpen welke rol verschillende mensen spelen bij de ontwikkeling en beveiliging van apparaten in de productiefase, en in de meer algemene fases van ontwerp, implementatie, beheer en het buiten gebruik stellen. ‘Een mobiele computer, tablet of wearable kan op elk moment kwetsbaar worden wanneer een fabrikant of beheerpartner een fout maakt. Of als niemand weet hoe ze veilig met het apparaat en de bijbehorende software moeten omgaan.’
Technologiefabrikanten zouden een productbeveiligingsbeleid moeten implementeren voor een veilige levenscyclus op het gebied van ontwikkelen, vindt Comer. ‘Dit zou betekenen dat bijvoorbeeld ontwikkelaars, productmanagers en zakelijke leiders al vroeg in het ontwikkelproces zorgen over veiligheid kunnen aanpakken, maar ook tijdens de volledige service- en supportcyclus. Securityprincipes van begin tot eind integreren in de gehele ontwikkelingscyclus is van cruciaal belang.’
Daarnaast moeten fabrikanten en partners er niet van uitgaan dat beveiligingssystemen die effectief zijn voor de ene klant, voor alle klanten werken, waarschuwt de Zebra-ingenieur. ‘Je zult use cases moeten opstellen op het moment van de productie, de opstart en de volledige ingebruikname. Gezien de lange levensduur van mobiele apparaten van toonaangevende bedrijven, kunnen technologiefabrikanten goed volgen hoe use cases zich ontwikkelen. Ze kunnen beveiligingstools voor apparaat- en gegevensbeveiliging continu bijstellen.’
Niet alle fabrikanten van mobiele apparaten hebben een beleid voor productbeveiliging, hebben de rol van mensen in productbeveiliging vastgelegd of hebben een beleid gericht op voortdurende beveiligingsondersteuning. De fabrikanten die wel zo’n beleid hebben, kunnen daarin verschillende richtlijnen volgen. ‘Het is daarom belangrijk om voor de aankoop van een product bij fabrikanten te informeren naar het securitybeleid rondom productontwikkeling’, zegt Comer. ‘Volgen ze een industriestandaard om beveiligingssystemen en maturiteit van software te meten? Want beveiliging van mobiele apparaten draait niet alleen om multifactorauthenticatie of security rating van een gedownloade app. Veel software draait op de achtergrond, zoals het besturingssysteem en apparaatbeheer. Als je alleen zou vragen naar beveiligingsmechanismen op basisniveau, kun je kwetsbaarheden over het hoofd zien die achter de schermen op de loer liggen.’
Het Open Worldwide Application Security Project (OWASP) Software Assurance Maturity Model (SAMM) is een erkende standaard die vijf functionele gebieden omvat: beleid, ontwerp, implementatie, verificatie en uitvoer. Het kan worden gebruikt om bedrijfsonderdelen binnen de organisatie van een fabrikant te evalueren, waarbij de resultaten elk kwartaal aan de raad van bestuur worden gepresenteerd. Positieve resultaten geven klanten de zekerheid dat de fabrikant van hun apparaat zich inzet om het beveiligingsrisico voor de klant te minimaliseren.
Hoge normen voor het beperken van veiligheidsrisico’s moeten zich ook uitbreiden tot de partners en leveranciers van de fabrikant. ‘In overeenkomsten waarbij technologiegerelateerde diensten worden uitgevoerd voor een fabrikant, software wordt ontwikkeld of licenties worden uitgegeven, moeten leveranciers garanderen dat ze de rechten hebben om dit te doen voor deze fabrikant’, legt Comer uit. ‘De software moet voldoen aan open-sourceverplichtingen en geldende wetten, en geen illegale code bevatten.’ Dit geldt niet alleen voor ingebouwde software in mobiele computers of apparaten, maar ook voor apps op apparaten die de workflow van een klant ondersteunen.
‘Daarnaast zouden leveranciers verplicht kunnen worden om verzekeringen, bedrijfscontinuïteitsprogramma’s, privacyprogramma’s en andere interne systemen te hebben zodat het security-beleid wordt nageleefd en risico’s voor klanten worden beperkt. Net zoals de klant willen ook fabrikanten en partners niet verantwoordelijk worden gesteld voor een beveiligingsincident waarbij mobiele apparaten van klanten betrokken zijn.’
Comer vervolgt: ‘Wanneer je een mobiel apparaat gebruikt, vertrouw je erop dat de fabrikant jou en je gegevens beschermt, maar verifieer wel of dit echt zo is. Ga er nooit van uit dat ze alle beveiligingsrisico’s waar jouw bedrijf elke dag mee te maken heeft, hebben ingeperkt. Zorg er voor dat je weet wat de beveiligingsclaims van fabrikanten echt betekenen en zorg ervoor dat je alle beschikbare beveiligingstools gebruikt, zodat je kwetsbaarheden minimaliseert en je organisatie minder risico loopt.’