Werkgever eist beveiliging iPhone i.v.m. gebruik werkmail

Het is mij niet bekend of er een methode is om actief te controleren of je een codeslot hebt ingesteld. Wat ik wel ken (en wat heel gebruikelijk is) is dat het certificaat wat je op je iPhone moet installeren om contact te kunnen maken met de Exchange-server een beveiligingspolicy afdwingt op je toestel. Je kunt dan het certificaat alleen gebruiken als het codeslot aan staat (sommigen geven zelfs een maximum timeout op).

Mogelijk heeft jouw werkgever twee certificaten in omloop, eentje die wel een codeslot afdwingt en eentje die dat niet doet. Als dat zo is, dan kunnen ze ongetwijfeld zien dat jij de Exchange-server benadert met het oude certificaat, maar dat lijkt me onnodig ingewikkeld: als ze willen dat iedereen een codeslot gebruikt, dan kunnen ze het best dat oude certificaat ongeldig maken.

Men kan in Exchange instellen dat bepaalde beveiligingen geactiveerd moeten zijn, via certificaten zoals hierboven. Het netwerk maakt niet uit, het gaat om de verbinding met de server.

Echter, ze hebben groot gelijk. Het gaat hier om de beveiliging van de Exchange server. Als je geen cijferslot of fatsoenlijke beveiliging wilt instellen, dan hoor je geen mobiele toegang te krijgen tot de Exchange server. Dus waarom zo koppig?

Pff vind dat altijd zo overroepen. Een smartphone is plots een mega gevaar, terwijl er 100x meer laptops zijn en men daar nauwelijks een probleem van maakt. En als je fysieke toegang hebt tot een laptop, dan doen login etc er niks meer toe...

Maar hey, het is hún policy. Bevalt die je niet? Verwijder dan je exchange account van je iPhone!

[ Voor 17% gewijzigd door DieterVDW op 09-01-2013 01:34 ]

wees blij, sommige eisen niet enkel een code slot, maar ook de mogelijkheid tot remote copy, trace and full wipe van data op gsm, en geheugenkaart, encryptie van die mail, en ga zo maar door. (+ ondertekening van een policy dat je bij verlies van de gsm je hen binnen de zoveel uren iets laat weten of jij anders verantwoordelijk kunt gesteld worden voor eventuele schade)

Je hebt de keuze: geen werkmail op je eigen gsm, (en alleen via bv vpn op de laptop van het werk),
of luisteren naar de baas en de opgelegde beveiligingsvoorwaarden van de IT-dienst.

of is het een gsm van het werk: dan is en blijft je werkgever volledig baas over die gsm: jij hebt die maar in "bruikleen", en dan is het zeker "regeltjes van de baas volgen"

en zoals hierboven: 't is 't gaat over beveiliging, als je daar niet aan wilt voldoen dan moet je maar geen werkmail lezen op je gsm eh.
aan jou de keuze...

soulrider schreef op woensdag 09 januari 2013 @ 01:41:
wees blij, sommige eisen niet enkel een code slot, maar ook de mogelijkheid tot remote copy, trace and full wipe van data op gsm, en geheugenkaart, encryptie van die mail, en ga zo maar door. (+ ondertekening van een policy dat je bij verlies van de gsm je hen binnen de zoveel uren iets laat weten of jij anders verantwoordelijk kunt gesteld worden voor eventuele schade)

Idd. ging er eigenlijk vanuit dat bovenstaande ook enabled is.
Is wel even bevreemdend als je telefoon je vraagt om permissie voor full-wipe via remote triggered ...
(Heb me altijd al afgevraagd: wordt dan enkel de exchange-data gewist, of effectief de hele telefoon?)

De hele telefoon word compleet leeggehaald en hlemaal weer terug naar fabrieksinstellingen. Althans; bij de iPhone

Bloemstukje schreef op woensdag 09 januari 2013 @ 09:25:
De hele telefoon word compleet leeggehaald en hlemaal weer terug naar fabrieksinstellingen. Althans; bij de iPhone

Als je een jaibreak gebruikt moet je dus dubbel oppassen: resetten naar fabrieksinstellingen geeft dan grote problemen. Alle kans dat je je hele toestel moet restoren en opnieuw jailbreaken.

Ik zou het trouwens _nooit_ accepteren dat m'n werkgever mijn prive-toestel remote kan wipen. Daar gaat geheid vroeg of laat iets mee mis. Dan maar geen mail van het werk onderweg.

Of je moet gewoon een tweede telefoon gebruiken puur voor zakelijk gebruik, al is dat ook weer niet ideaal.

PhilipsFan schreef op woensdag 09 januari 2013 @ 12:33:
[...]
Ik zou het trouwens _nooit_ accepteren dat m'n werkgever mijn prive-toestel remote kan wipen. Daar gaat geheid vroeg of laat iets mee mis. Dan maar geen mail van het werk onderweg.

Ik kan me voorstellen dat mensen die een gezin dienen te onderhouden van hun salaris in deze economische crisis minder kritisch zijn

gambieter schreef op woensdag 09 januari 2013 @ 01:12:
Echter, ze hebben groot gelijk. Het gaat hier om de beveiliging van de Exchange server. Als je geen cijferslot of fatsoenlijke beveiliging wilt instellen, dan hoor je geen mobiele toegang te krijgen tot de Exchange server. Dus waarom zo koppig?

Dit is eerder de informatiebeveiliging dan de hardwarebeveiliging.

PhilipsFan schreef op woensdag 09 januari 2013 @ 01:10:
Het is mij niet bekend of er een methode is om actief te controleren of je een codeslot hebt ingesteld.

Logs van de firewall met (eventueel) een packet sniffer?

MJ23 schreef op woensdag 09 januari 2013 @ 12:48:
Of je moet gewoon een tweede telefoon gebruiken puur voor zakelijk gebruik, al is dat ook weer niet ideaal.

En hoeveel informatiebeveiliging geeft dat dan als de telefoon zélf niet beveiligd is of geen beveiligde verbindingen gebruikt?

Lijkt mij dus vrij 'standaard' (beveiliging) dat de telefoon een codeslot (zij het een wachtwoord of PIN-code) heeft om het toestel te ontgrendelen. Las of hoorde laatst dat er een onderzoek naar was geweest. Bijna 60% van de gebruikers met een codeslot heeft de "standaard" 0000 PIN-code ingesteld. Als vervolgens de e-mail synchroniseert middels een onbeveiligde verbinding, zegt dat ook voldoende.

De werkgever doet er dan ook slim aan om e-mailsynchronisatie via een beveiligde verbinding af te dwingen, om lekken van informatie te beperken. Het probleem lost zich dan ook vanzelf op; gebruikers die dan niet meer kunnen synchroniseren (want de niet meer in gebruik zijnde onbeveligde verbinding in gebruik) melden zich dan ook bij de service- of helpdesk.

[ Voor 70% gewijzigd door CH4OS op 09-01-2013 13:11 ]

CptChaos schreef op woensdag 09 januari 2013 @ 13:01:
En hoeveel informatiebeveiliging geeft dat dan als de telefoon zelf niet beveiligd is of geen beveiligde verbindingen gebruikt?

Hij bedoelt natuurlijk dat de zakelijke telefoon wél beveiligd zal zijn

Overigens is het volgens mij zo dat als de telefoon privé is ze niet mogen eisen dat je je telefoon moet beveiligen.

De kwestie moet andersom aangevlogen worden:
Het bedrijf mag eisen dat als jij mobile mail leest deze gedaan moet worden op een (met een passcode) beveiligde telefoon.
Het bedrijf mag vragen of je dit op je privé toestel wilt doen
Jij mag weigeren je privé telefoon hiervoor te gebruiken. Zeker gezien het feit dat zij mogelijk een remote wipe kunnen doen en mogelijk inzicht hebben in jouw persoonlijke contacten.
Als het bedrijf eist/wil dat jij je mail mobile moet kunnen lezen moeten zij jou de beschikking geven over een geschikt gemaakt toestel.

Mocht het bedrijf jou een vergoeding geven voor het gebruik van je (prive)telefoon, dan vervalt dat hier natuurlijk mee.

CptChaos schreef op woensdag 09 januari 2013 @ 13:01:
Dit is eerder de informatiebeveiliging dan de hardwarebeveiliging.

Mea culpa, ik had dat wat beter kunnen formuleren

De werkgever doet er dan ook slim aan om e-mailsynchronisatie via een beveiligde verbinding af te dwingen, om lekken van informatie te beperken. Het probleem lost zich dan ook vanzelf op; gebruikers die dan niet meer kunnen synchroniseren (want de niet meer in gebruik zijnde onbeveligde verbinding in gebruik) melden zich dan ook bij de service- of helpdesk.

Eensch.

CptChaos schreef op woensdag 09 januari 2013 @ 13:01:
Logs van de firewall met (eventueel) een packet sniffer?
[...]

En hoe zou je met een packet sniffer (ik neem aan dat je een firewall met packet inspection bedoeld) willen controleren dat een toestel lokaal is beveiligd met een codelock? Er wordt toch helemaal geen netwerkcommunicatie gedaan waaruit blijkt dat dit actief is op het toestel of niet.

Tip aan de TS: zet die codelock gewoon aan. Ik ben zelf ook sysadmin, als mijn gebruikers op het vlak van beveiliging niet doen wat er wordt gevraagd, dan wordt de toegang ontzegd, punt. Niet mee akkoord? Leg dat dan maar uit aan de IT directeur

[ Voor 20% gewijzigd door Darkstar op 09-01-2013 13:21 ]

CptChaos schreef op woensdag 09 januari 2013 @ 13:01:
[...]
Logs van de firewall met (eventueel) een packet sniffer?
[...]

Laten we het niet spannender maken dan het is. Als je een iOS device aan Exchange hangt, dan kan je vanuit exchange gewoon een heel basale vorm van mobile device management uitvoeren, waaronder inderdaad het pushen van een security policy. Daar zit ongetwijfeld een mogelijkheid bij om te zien of er devices verbinding maken die niet die policy volgen.

Daar is ook weinig mis mee verder. Het enige (wat hierboven ook al iemand zegt) is dat een werkgever dat soort impact op een prive device niet kan verplichten (al is de impact van een passcode natuurlijk erg gering, zodra de werkgever ook kan wipen en auto-wipe on password failure kan instellen wordt het een ander verhaal). Maar zo lang het verbinden met Exchange vrijwillig is, denk ik niet dat je er wat tegenin kan brengen dat je dan die passcode opgelegd krijgt.

Zie ook dit verhaaltje op security.nl: https://www.security.nl/a...%A9_iPhone_wissen%3F.html

Ik kreeg hetzelfde gedoe en heb aangegeven dat mijn werkgever dan maar een nieuwe telefoon voor mij moet aanschaffen. Ik ga niet van alles op m'n nek halen, hij heeft geen last van dat code slot ik wel.

Dan maar 2 telefoons, (zwarte en witte HTC one X).

Orion84 schreef op woensdag 09 januari 2013 @ 13:28:
Daar is ook weinig mis mee verder. Het enige (wat hierboven ook al iemand zegt) is dat een werkgever dat soort impact op een prive device niet kan verplichten (al is de impact van een passcode natuurlijk erg gering, zodra de werkgever ook kan wipen en auto-wipe on password failure kan instellen wordt het een ander verhaal). Maar zo lang het verbinden met Exchange vrijwillig is, denk ik niet dat je er wat tegenin kan brengen dat je dan die passcode opgelegd krijgt.

Beetje vreemd, want eigenlijk zeg je daarmee (indirect althans) dat een bedrijf niet een bepaald e-mail protocol kán verplichten omdat werknemer in kwestie weigert een beveiligde verbinding te gebruiken om de e-mail te kunnen synchroniseren.

prutser001 schreef op woensdag 09 januari 2013 @ 13:31:
Ik kreeg hetzelfde gedoe en heb aangegeven dat mijn werkgever dan maar een nieuwe telefoon voor mij moet aanschaffen. Ik ga niet van alles op m'n nek halen, hij heeft geen last van dat code slot ik wel.

Beetje naief. Maar ach, als jij ontslagen wordt door het lekken van (gevoelige) informatie, daar heb jij vast ook geen last van. /sarcasm.

[ Voor 21% gewijzigd door CH4OS op 09-01-2013 13:35 ]

prutser001 schreef op woensdag 09 januari 2013 @ 13:31:
hij heeft geen last van dat code slot ik wel.

Dat is een nogal naieve houding qua beveiliging, die niet meer past in de huidige tijd. Heb jij er geen last van als je telefoon gestolen wordt, staat er geen enkele prive-informatie op?

Ik heb ook mijn werkmail op mijn iPhone inclusief remote-wipe policy, en ik heb dit vrijwillig geaccepteerd.

Wat echter wel apart blijft natuurlijk is dat ik mijn werkgever zoveel rechten geef over mijn prive-apparatuur terwijl ik er zelf uiteindelijk niet direct iets mee opschiet. Eerder andersom aangezien ik nu regelmatig prive-tijd in mijn werk steek.

CptChaos schreef op woensdag 09 januari 2013 @ 13:33:
[...]
Beetje vreemd, want eigenlijk zeg je daarmee (indirect althans) dat een bedrijf niet een bepaald e-mail protocol kán verplichten omdat werknemer in kwestie weigert een beveiligde verbinding te gebruiken om de e-mail te kunnen synchroniseren.
[...]

Waar zeg ik dat? Het enige wat ik zeg is dat een werkgever binnen de grenzen van redelijkheid moet blijven met betrekking tot het verplichten van bepaalde beveiligingsmaatregelen (zeker op persoonlijke devices). Het moet immers niet zo zijn dat de werkgever met die maatregelen jouw privacy / persoonlijke levenssfeer aantast.

Een veilig protocol verplichten lijkt me prima binnen de grenzen van redelijkheid vallen, immers heb je daar als gebruiker niet echt last van, toch? Een passcode verplichten vind ik persoonlijk ook niet onredelijk. Remote/Auto-wipe verplichten wordt al een wat lastiger verhaal.

En daarbij: als jij het onredelijk vind, dan gebruik je je eigen smartphone toch gewoon niet voor zakelijke mail? Het wordt natuurlijk lastiger als de werkgever het verplicht of in elk geval heel sterk aanmoedigt, maar ondertussen wel onredelijke eisen stelt.

Wat mij betreft is dit een van de grote uitdagingen in heel dat BYOD gebeuren: hoe zorg je dat security gewaarborgd is, zonder dat dit onnodig impact heeft op de gebruiker en zijn privé gebruik van het device. Zo heb ik ook wel eens mensen zien weigeren hun eigen iPad te koppelen, omdat de verplichte passcode er voor zorgt dat ze hun kinderen geen spelletjes meer kunnen laten spelen.

[ Voor 25% gewijzigd door Orion84 op 09-01-2013 13:44 ]

heb je niet toevallig ook nog software moeten installeren om je mail te kunenn lezen op je telefoon? Wij maken gebruik van ironmobile. Hierdoor geef je de controle over je telefoon deels af. Ze kunnen dus policies toepassen (Pin code, certificaten, etc). Zo kunnen ze dus ook uitlezen wat er wel en niet enabled is. Hou er wel rekening mee dat als je telefoon gestolen wordt en je werkgever kan aantonen dat jij je niet aan de geldende policies hebt gehouden, zij jou aansprakelijk kunnen stellen voor de geleden schade. Dus als jij er specifiek voor kiest om de pincode niet te gebruiken, je verliest je telefoon en daardoor komt informatie in jou mail op de telefoon in verkeerde handen dat jij wel wat uit te leggen hebt. Een pincode is maar 4 cijfers, ik zie het probleem eerlijk gezegd niet. Jij kiest er voor om de mail uit te lezen op je telefoon, hou je dan ook aan de regels

Ik zou zweren dat er gewoon een policy beschikbaar is op Exchange (kan nu even niet bij onze server) waarmee je dat gewoon kan afdwingen. Als de beheerder dat aanzet is het toch gewoon take it or leave it?

Of ik moet helemaal abuis zijn hoor. Dat kan ook, mijn hersenen zijn door het vele niets doen vandaag in vegetative staat geschoten

[ Voor 24% gewijzigd door St@m op 09-01-2013 14:04 ]

bij mij (android, maar ook bij collega's met eigen iPhone/windows Phone) is het inderdaad take it or leave it: aanvaard je die policies niet, heb je geen toegang tot je mail via je privé-gsm en moet je maar telkens je laptop opstarten en via vpn connecteren voor je mail onderweg te controleren (laptop is ook encrypted).

voor de mensen hoger in de payroll is er de keuze om een iPhone/iPad van het werk te hebben, maar ook daar is het "akkoord met de policy of geen mail" - zelfs al moeten ze continu bereikbaar zijn wegens 24/7 - standby

Maar eigenlijk vind ik dat logisch in de sector waarin ik zit (en ik weet ook dat mijn werkgever zich aan de privacy-wetgeving dient te houden) - moet ik maar niet zo zot zijn om mijn werkmail op mijn eigen gsm te willen lezen.
Ik wil namelijk niet de rekening krijgen als er per ongeluk info van de werkgever of diens klanten lekt omdat ik mijn werkmail via eigen gsm nakijk en die bv kwijt speel tijdens het op stap gaan. (of dat gericht gestolen wordt)

Je moet zelf maar afwegen wat voor jou het belangrijkste is: steeds je mail kunnen nakijken onder de regeltjes van je werkgever maar beschermd zijn tegen ev. andere gevolgen als je die gsm kwijtspeelt
of die mail enkel tijdens de werkuren nakijken (of enkel mbv laptop van het werk)

[ Voor 15% gewijzigd door soulrider op 12-01-2013 17:20 ]

Waarschijnlijk heb je het zelf verteld, aan een collega die aan de baas heeft gesnitched:). Dat gebeurt...

Je baas heeft groot gelijk om dit te eisen...

KSH schreef op zondag 13 januari 2013 @ 13:02:
Sommige mensen zullen me misschien koppig vinden, doordat ik de volgende vraag stel:

Hoe kan ik ervoor zorgen dat ik op m'n iphone + ipad m'n werkmail (exchange) kan blijven gebruiken, zonder dat de werkgever achterhaalt dat ik geen beveiliging op mijn telefoon heb geïnstalleerd?

Bestaat er niet zoiets als een soort 'little snitch' (software waarmee je kan bepalen welke uitgaande verbindingen worden tegengehouden)?

Dat staat gelijk aan het proberen te omzeilen van beveiliging en daar is Tweakers.net niet voor bedoeld, dus dat zul je zelf op moeten lossen en ook zelf op eventuele blaren zitten. En nee, koppig is niet het juiste woord...

KSH schreef op zondag 13 januari 2013 @ 13:02:Sommige mensen zullen me misschien koppig vinden, doordat ik de volgende vraag stel:

Hoe kan ik ervoor zorgen dat ik op m'n iphone + ipad m'n werkmail (exchange) kan blijven gebruiken, zonder dat de werkgever achterhaalt dat ik geen beveiliging (codeslot) op mijn telefoon heb ingesteld?

Ik vind je niet koppig, maar wel oliedom! Weet niet voor wat voor een bedrijf je werkt, maar ik zou als ik jou was maar eens mijn arbeidscontract / arbeidsvoorwaarden en de IT security policy erbij pakken. Ikzelf werk voor een big four en als ik op mijn werktelefoon loop te klooien, waardoor ik niet aan de security policy voldoe en er treedt zogenaamd 'dataloss' op door mijn geklooi, dan kan ik een claim aan m'n broek krijgen. En ik kan je vertellen dat die claims niet misselijk zijn! Allicht iets voor jou om over na te denken, voordat je allerlei zaken gaat doen om de IT security policy te omzeilen.

Zo'n instelling zou in mijn ogen een ontslag op staande voet totaal rechtvaardigen. Verwijtbaar werkloos door schijt te hebben aan de regels binnen het bedrijf waardoor bedrijfsinformatie vrij makkelijk op straat zou kunnen komen liggen als de werknemer z'n telefoon gejat wordt of verliest.

Immers heb je die bedrijfsinformatie niet nodig als je gaat stappen of wat dan ook.

Het is immers opzettelijk roekeloos gedrag.

De werkgever mag eisen dat er zonder juiste beveiliging geen bedrijfsinformatie opgehaald wordt. Wil je dat niet op je prive toestel, is dat je goed recht. De werkgever mag dan een toestel leveren en het zo dicht timmeren als hij wil.

Een werknemer met zo'n instelling ben je liever kwijt dan rijk. Opzettelijk een risico vormen voor de informatie door nalatig te zijn... Dan snap je het echt niet....

Je kan natuurlijk ook een simpel Gmail accountje aanmaken, je werkmail daarnaar toe sturen en het Gmail account laten binnen komen op je iPhone.

Weg 'gezeik' van werkgever lijkt mij...?

De discussie was opzich vrij interessant, maar als het gaat uitdraaien op hoe je het beste een beveiliging kunt omzeilen, dan ben je hier op het verkeerde adres. Dit topic gaat daarom slot.

Voor verdere discussie over of een werkgever bepaalde beveiliging kan eisen of niet, kan een topic worden geopend in WI.