Technisch beheerders en omgang met BYOD

Zo dan ...
Wat wil je horen dan ?
Want nu komt er een opsomming van een hele waslijst ...

Waarom heb je hier interesse in ?
Wat heb je er tegen, of vind je juist een voordeel ?

Technisch beheer, van schroefbitje tot aan .... ( sky is the limit )
Misschien is een wat duidelijkere insteek handiger

Bij ons (overheidsinstelling) mag dat maar je moet wel inloggen via Citrix en het erop zetten van overheidsdata is ten strengste verboden.

Het beleid is aangepast aan de organisatie en afdeling. Er is geen één beleid die je overal hetzelfde kan toepassen.

Ben geen technisch beheerder, formeel zou je me dev in een devOps team kunnen noemen, en o.a. distributeur van zeer gevoelige data. Hangt van de gebruiker/applicatie/data af. Doorgaans enrollment via Intune, waardoor o.a. Knox-stijl partities ontstaan die haast niet meer BYOD zijn. Zelfde voor laptops, wel eisen aan OS stellen uiteraard, maar dat kan je afdwingen. Er valt genoeg via policies te pushen, ons GIS systeem ondersteund ook intune appconfigs daarvoor.

Valt samen te vatten als 'welwillend maar voorzichtig'. Zaken zoals onze OT staan bewust gescheiden van de KA-netten, daar valt BYOD niet binnen te passen, bijvoorbeeld.

Horen dit soort vragen bij je (lopende) studie?

Want het is wel redelijk basaal; er zijn ook organisaties die een BYOD-mogelijkheid bieden maar dan ben je "verplicht" om deze op te laten nemen in iets als MobileIron om zaken af te dwingen.

Ik mis de discussiewaarde hier. Ik heb gewerkt bij bedrijven waar BYOD geen probleem was, en ook waar ik niet eens mijn eigen telefoon op mijn bureau mocht hebben. En vanuit de bedrijfspolitiek van beiden was daar iets voor te zeggen.

Ik ben systeem/netwerkbeheerder samen met nog een collega en BOYD mag maar is niet nodig hier.
Enige device die ik altijd zelf meeneem is mijn telefoon, maar dat is meer om bereikbaar te zijn voor de mensen die ik ken in mijn persoonlijke leven.

Het verschilt echt per bedrijf of BYOD nuttig en/of mag meenemen. Sowieso zie ik mezelf niet mijn PC toren steeds naar kantoor te slepen (Nogal heavy) is nogal nutteloos.

Joker22 schreef op vrijdag 21 juni 2019 @ 09:29:
Bedankt iedereen voor de reacties.

Ik ben zelf HBO ICT student en dit staat eigenlijk een beetje los van mijn studie. Er wordt mij dus geleerd dat BYOD allerlei risico's voor de integriteit en vertrouwelijkheid van bedrijfsgegevens meebrengt.

Om duidelijker te zijn: zijn er gevallen geweest waar BYOD tot iets kwetsbaars heeft geleid voor jullie organisatie? Theoretisch (zoals mij geleerd) is dat mogelijk, maar gebeurt dat in de praktijk ook dan vraag ik me af ..

In principe is een telefoon met alleen de mail al ingelogd een potentieel risico. (Om maar te zwijgen van notities met wachtwoorden) Daar kan je op verschillende manieren mee om gaan. Een PIN of wachtwoord afdwingen (dit werkt via outlook, maar vaak niet via andere mail apps) of de gebruiker verplichten zoals eerder genoemd mobile iron of meraki etc te installeren. Daarmee kan je ook een PIN/wachtwoord afdwingen en de telefoon op afstand wissen (Dat laatste is misschien ook een wassen neus, alle gejatte iphones/ipads komen echt niet meer op het internet nadat ze gejat zijn maar goed in principe zijn ze dan wel locked en niet te unlocken tenzij je diep in de buidel tast)
Dan alsnog ben je afhankelijk van de gebruiker die aan moet geven dat zijn apparaat gejat is.
BYOD laptops kan je ook wat over zeggen. Als de gebruiker citrix gebruikt is dat niet echt een probleem (zolang de wachtwoorden niet lokaal opgeslagen worden.) Dan kan je ook afdwingen in te loggen met SMS code of Authenticator als ze buiten het bedrijfsnetwerk zitten.

Mensen met hun BYODS willen ook het internet op, telefoons lekker op het gastennetwerk. (je kan evt ook een wifi wachtwoord pushen via Meraki) valt ook wat voor te zeggen wat je wel of niet wil. Eigenlijk heel bedrijfsspecifiek en een beetje een voordeel/nadeel/risico verhaal.


Tot nu toe, ben ik alleen gestolen maar encrypted apparaten tegen gekomen. En persoonlijk vind ik dat BYODs prima moeten kunnen zolang er een duidelijk beleid voor is. Risico van een post-it met wachtwoord op het scherm, of account delende medewerkers vind ik zwaarder wegen.

[ Voor 6% gewijzigd door Itrme op 21-06-2019 09:40 ]

Joker22 schreef op vrijdag 21 juni 2019 @ 09:29:
Bedankt iedereen voor de reacties.

Ik ben zelf HBO ICT student en dit staat eigenlijk een beetje los van mijn studie. Er wordt mij dus geleerd dat BYOD allerlei risico's voor de integriteit en vertrouwelijkheid van bedrijfsgegevens meebrengt.

Om duidelijker te zijn: zijn er gevallen geweest waar BYOD tot iets kwetsbaars heeft geleid voor jullie organisatie? Theoretisch (zoals mij geleerd) is dat mogelijk, maar gebeurt dat in de praktijk ook dan vraag ik me af ..

Volgende keer mag je deze informatie wel even meenemen in je startpost, als er niet al veel inhoudelijke reacties waren geweest dan was je topic nu al op slot geweest. Verder pas ik de titel van het topic nog even aan want "Voor degenen die werken in technisch beheer.." zegt niets over het onderwerp van de discussie. Laat me even per PB weten als je liever een andere titel wilt, dan pas ik hem aan.

Neem voor het plaatsen van je volgende topic nog even Het algemeen beleid #quickstart door.

[ Voor 3% gewijzigd door Jazzy op 21-06-2019 09:45 ]

Bij ons (overheid) hebben we een proof of concept gedaan met BYOD, in eerste instantie alleen met iPhones/iPads icm MobileIron. Er is een strak beleid op, bepaalde apps zijn niet toegestaan, en daar word op gecontroleerd (whatsapp is bijv al 1 van). Wanneer zo'n verboden app ontdekt word, dan wipen ze het device van afstand.

Dus BYOD is het bij ons niet geworden, omdat veel mensen het niet zagen zitten om ineens met een gewiped privé device te zitten.

Hangt dus af van het beveiligingsbeleid van het bedrijf, wat bij ons dus erg strak is.

Wij krijgen nu een iPhone/iPad van de zaak en hebben nu ook Samsung Galaxy S9 met Knox.

Zelf heb ik een dual Sim android telefoon zodat ik maar 1 telefoon heb voor het bellen en gebeld worden, de iPhone van de zaak ligt in de la en gebruik de iPad voor mail e.d.

Joker22 schreef op vrijdag 21 juni 2019 @ 09:29:
Er wordt mij dus geleerd dat BYOD allerlei risico's voor de integriteit en vertrouwelijkheid van bedrijfsgegevens meebrengt.

Dat is niet anders dan bij niet goed ingerichte door een werkgever geleverde werkplek

Elke organisatie moet deze risico's gaan inschatten, en kijken hoe deze risico's gemitigeerd kunnen worden. Uit deze analyse volgt een beleid en een inrichting. En die is voor elke organisatie verschillend.

Wat is concreet je vraag nu? Als je een discussie hierover wilt starten, ben ik wel benieuwd welke ricico's jij inschat, en hoe jij deze zou willen voorkomen.

Joker22 schreef op vrijdag 21 juni 2019 @ 09:29:
Bedankt iedereen voor de reacties.

Ik ben zelf HBO ICT student en dit staat eigenlijk een beetje los van mijn studie. Er wordt mij dus geleerd dat BYOD allerlei risico's voor de integriteit en vertrouwelijkheid van bedrijfsgegevens meebrengt.

Om duidelijker te zijn: zijn er gevallen geweest waar BYOD tot iets kwetsbaars heeft geleid voor jullie organisatie? Theoretisch (zoals mij geleerd) is dat mogelijk, maar gebeurt dat in de praktijk ook dan vraag ik me af ..

Misschien moet je wat meer 'echte' inzet tonen, dan je huiswerkvragen iets te verdraaien

BYOD is ook "eigen usbstick gebruiken"
Google maar eens op 'verloren usb'

Joker22 schreef op vrijdag 21 juni 2019 @ 09:29:
Bedankt iedereen voor de reacties.

Ik ben zelf HBO ICT student en dit staat eigenlijk een beetje los van mijn studie. Er wordt mij dus geleerd dat BYOD allerlei risico's voor de integriteit en vertrouwelijkheid van bedrijfsgegevens meebrengt.

Om duidelijker te zijn: zijn er gevallen geweest waar BYOD tot iets kwetsbaars heeft geleid voor jullie organisatie? Theoretisch (zoals mij geleerd) is dat mogelijk, maar gebeurt dat in de praktijk ook dan vraag ik me af ..

Voor de stiching waar ik werk (1000+ medewerkers) heb ik een MDM oplossing ingevoerd. Medewerkers mogen in principe hun eigen apparaten gebruiken nadat ze deze hebben ingeschreven in MDM. De toestellen moeten aan voorwaarden voldoen zoals encryptie om toegang te krijgen. Daarnaast gaan we het binnenkort zo aanpassen dat je uit bedrijfs applicaties geen data kunt halen, knippen/plakken/screenshot/downloaden etc. wordt dan geblokkeerd behalve binnen applicaties die voor werk gebruikt worden. Daar komt nog bij dat MFA gebruikt wordt om toegang te krijgen tot office365 waar de applicaties beschikbaar gemaakt zijn.

Lijkt me toch redelijk veilig.

Als je als bedrijf zelf een tablet/laptop uitgeeft dan neemt de medewerker die ook mee naar huis en worden er ook prive handelingen uitgevoerd op het apparaat.

Om nog antwoord op je vraag te geven, met enige regelmaat wordt een apparaat gestolen of verliest iemand deze. Gelukkig zijn deze dus beveiligd met encryptie en zal de medewerker aangifte moeten doen.

[ Voor 8% gewijzigd door Nopheros op 21-06-2019 13:43 ]

Glashelder schreef op vrijdag 21 juni 2019 @ 07:39:
Bij ons (overheidsinstelling) mag dat maar je moet wel inloggen via Citrix en het erop zetten van overheidsdata is ten strengste verboden.

Hier ook een overheidsinstelling. BYOD is alleen mogelijk voor smartphones en tablets. Installatie van Xenmobile is verplicht, in verband met remote wipe bij verlies/diefstal. Gebruik van laptops is mogelijk, maar alleen via het extern wifi netwerk en via de telewerkclient (Citrix). Dus zero footprint.

Bij ons (Overheid ZBO) hebben we CYOD en BYOD. Momenteel nog beheerd met BlackBerry Dynamics maar gaan nu overschakelen naar VMware Workspace One.

BYOD's kunnen op zijn hoogst een container krijgen waarin ze mail en agenda kunnen checken. Géén fileshare of andere toegang tot data. Alleen mail en agenda.

CYOD's krijgen een volledige behandeling. Dit zijn dus volledig managed devices. De directie kan ook bij bepaalde fileshares itt de rest van het personeel. De rest van het personeel kan alleen mail en agenda checken. Verder kunnen deze telefoons uiteraard van afstand gewhiped worden en kan er beleid worden gevoerd door middel van policies.

Techno Overlord schreef op vrijdag 21 juni 2019 @ 13:48:
CYOD's krijgen een volledige behandeling. Dit zijn dus volledig managed devices. De directie kan ook bij bepaalde fileshares itt de rest van het personeel.

Vind dat altijd typisch. Alsof het risico daar lager is.

Genoeg troep gezien op computers van de ‘directie’ om beter te weten

Glashelder schreef op vrijdag 21 juni 2019 @ 14:36:
[...]

Vind dat altijd typisch. Alsof het risico daar lager is.

Genoeg troep gezien op computers van de ‘directie’ om beter te weten

Helemaal mee eensch! Maar als zei er hier om vragen (eisen) dan moet het maar zo. Onze CISO is het er ook niet mee eens geloof ik.

Glashelder schreef op vrijdag 21 juni 2019 @ 07:39:
Bij ons (overheidsinstelling) mag dat maar je moet wel inloggen via Citrix en het erop zetten van overheidsdata is ten strengste verboden.

Hoe wordt zoiets gecontroleerd? Aangezien je vaak genoeg berichten voorbij ziet komen over een (overheids)medewerker die alsnog werkgerelateerde data op een privé apparaat heeft en die dan ergens verliest. Het is wat mooi om te zeggen "ja het mag niet", maar je gaat natuurlijk altijd mensen hebben die het doen/proberen omdat de normale manier "zo omslachtig is".

Ja daar kan ik hier niets over zeggen helaas

stuiterveer schreef op vrijdag 21 juni 2019 @ 15:34:
[...]


Hoe wordt zoiets gecontroleerd? Aangezien je vaak genoeg berichten voorbij ziet komen over een (overheids)medewerker die alsnog werkgerelateerde data op een privé apparaat heeft en die dan ergens verliest. Het is wat mooi om te zeggen "ja het mag niet", maar je gaat natuurlijk altijd mensen hebben die het doen/proberen omdat de normale manier "zo omslachtig is".

Sommige dingen zullen vast nog af te sluiten zijn, maar uiteindelijk kan je het nooit geheel controleren als mensen ook nog zelf dingen erop mogen doen.

Zie het leuke voorbeeld hierboven, iemand dat zaken beter te gaan beveiligen door screenshots te blokkeren. Prima idee toch? Even los van dat screenshots vaak best handig zijn, maar ik geef het precies vijf minuten tot de eerste medewerker bedenkt dat hij gewoon een foto maakt met zijn privé telefoon, die dan het upload naar zijn privé Google drive. En omdat het naar vier mensen moet gooit hij het maar ook meteen in de groeps Whatsapp, waar Henk ook in zit die er al drie jaar niet meer werkt.

Wij hebben hier intern het volgende beleid voor:

• Onderteken een formulier dat je akkoord gaat met het wissen van het device bij verlies/diefstal/verkoop
• BYOD is toegestaan
• installeer op je werkplek een kleine mdm agent
• Zonder agent wordt toegang tot het netwerk automatisch geblokkeerd
• installeer de nodige hulpprogramma's zoals teams, citrix client, onedrive en andere applicaties die je nodig hebt.
• Support is alleen op de bedrijfsapplicaties
• Support op de hardware kan wel tegen gereduceerd uurtarief welke direct (of gespreid) van je salaris wordt ingehouden.

[ Voor 6% gewijzigd door eagle00789 op 21-06-2019 16:53 ]

stuiterveer schreef op vrijdag 21 juni 2019 @ 15:34:
[...]


Hoe wordt zoiets gecontroleerd? Aangezien je vaak genoeg berichten voorbij ziet komen over een (overheids)medewerker die alsnog werkgerelateerde data op een privé apparaat heeft en die dan ergens verliest. Het is wat mooi om te zeggen "ja het mag niet", maar je gaat natuurlijk altijd mensen hebben die het doen/proberen omdat de normale manier "zo omslachtig is".

Citrix kan zo opgezet worden dat bestandsuitwisseling niet wordt toegestaan. Bij ons is het zo dat als je een eigen apparaat op het netwerk zet je enkel maar toegang tot het internet hebt en de enige manier van werken op dat moment Citrix is. Natuurlijk kan je nooit uitsluiten dat er bestanden verdwijnen, maar daar is het meebrengen van een eigen laptop al niet de bepalende factor. Zoals aangehaald door anderen kan je evengoed een USB stick/drive gebruiken. Of je kan bestanden naar jezelf beginnen doormailen. Ook daar gaan we weer op zoek naar hit&run op bijv. ons documentsysteem. Teveel documenten downloaden op een dag en je wordt opgenomen in een rapport. Veel data geupload op een dag? Je zit weer in een rapport. Alle gaten afdichten? Niet aan te raden. Security team heeft pogingen gedaan meer is telkens teruggefloten omdat werken voor onze mensen te moeilijk werd. Het is steeds zoeken naar een goede balans.

Wij passen alleen thuis BYOD toe. (Dat is voor thuiswerkers ook de enige optie. Ze krijgen van ons een VoIP telefoon mee naar huis maar de Citrix Receiver moeten ze op eigen hardware installeren. Om hun werkplek thuis in te richten krijgen ze €250 per 5 jaar vergoed.)

Op kantoor mag er *niets* aan ons netwerk gehangen worden. Punt. Het enige dat ze mogen, is privé gebruik maken van het gasten WiFi.

Wel staan we bijvoorbeeld laptops van leveranciers toe. (Of meer, stonden, want we zijn verhuisd waarbij nu het netwerk in kantoor niet meer onder ons beheer valt. Krijgen wij leveranciers over de vloer, moeten ze gebruik maken van het gasten WiFi en via dat, verbinding leggen met onze ICT omgeving die wél volledig onder ons beheer in het datacenter draait.)

Je *moet* hier als bedrijf serieus mee om gaan, beleid voor hebben en dat naleven.

In de tijd dat wij het gasten WiFi (toen we dat nog zelf beheerden) niet open mochten stellen voor privé apparatuur (het was letterlijk alleen bedoeld voor gasten, niet voor eigen personeel, don't ask, ik was er fel op tegen), controleerde ik regelmatig welke MAC adressen er op het gasten WiFi zaten en blokkeerde keihard alles dat ik niet kon herleiden naar een bezoeker.

Dat ik het oneens was met de regels, betekende niet dat ik ze niet naleefde.

Eigen apparatuur is notoir slecht onderhouden, slecht beveiligd en wemelt niet zelden van de virussen en andere ellende. Dat wil ik echt NIET in mijn netwerk hebben. De Citrix receiver is acceptabel en bestandsuitwisseling is mogelijk, maar de virtuele W7 desktop is wél beveiligd met een virusscanner die direct in grijpt. Ook niet 100% veilig, maar een heel stuk beter dan helemal geen AV oplossing.

Verder leveren trouwens net als @eagle00789 geen support op eigen apparatuur. Ook niet thuis. De omgeivng werkt, als wij op kantoor en via een externe verbinding kunnen inloggen op de omgeving en alle applicaties werken. Kan een thuiswerker niet werken en hebben wij ook maar het kleinste vermoeden dat het NIET ligt aan onze omgeving (dat kunnen we uiteraard testen), jammer, kom maar naar kantoor en zorg er zelf maar voor dat je er weer bij kunt.

Een zekere mate van best-effort is er wel, maar het is ook niet meer dan dat. We zijn op geen enkele manier verplicht iemand te helpen met zijn/haar eigen apparatuur. Het is puur uit goodwill dat we het af en toe wel doen en ook dan zijn we selectief. W7 ondersteunen we bijvoorbeeld al niet meer op hun thuis desktops. W8 of hoger, geen mac.

Ook eisen we dat mensen bedraad werken thuis. WiFi? Sorry, geen support. (Ook al weet ik uit ervaring dat dat prima kan werken maar IK weet redelijk hoe ik mijn WiFi stabiel en snel moet houden thuis, de gemiddelde eindgebruiker heeft echt geen idee. Daarbij werkt telefonie over WiFi niet.) Powerline same shit. Horen we dat ze daar gebruik van maken, heel jammer, prik je spul maar direct in je router.

Thuiswerken mag en daar is dus BYOD (op de telefoon na) verplicht, geen PC, geen thuiswerken, maar het blijft wel een privilege. Ze mogen 50% van de tijd thuis werken, het is alleen geen recht en de regel is keihard: Werkt het niet, kom je op kantoor werken. Dáár zorgen we er voor dat alles werkt.

Ik werk op dit moment voor een bank, ik zou daar op mijn eigen laptop kunnen werken maar kan dan alleen op het gasten netwerk. De laptop die verstrekt is kun je wel wat tooling installeren maar dat is slechts een selecte keuze. Aangezien ik wel zelf VM's kan opspinnen in de cloud werkt dat voor mij beter, je kunt ook een soort van Dev machine in een citrix omgeving krijgen maar de aanvraag verloopt niet bepaald vlot.

Wij hebben een vast netwerk en een draadloos netwerk. Op het vaste netwerk wordt alleen apparatuur van de organisatie aangesloten. Op WIFI is BYOD toegestaan. Gezien het soort organisatie dat we zijn moet jan en alleman zonder al te veel gedoe op het netwerk kunnen, of ze nu "medewerker", "klant" of "gast" zijn.

Ik zie wel een interessant grijs gebied ontstaan rond BYOD en MFA. We proberen steeds meer gebruik te maken van Multi Factor Authenticatie en typisch is een mobiele telefoon één van die factoren. Daarbij wil je eigenlijk gebruik maken van de privé-telefoon van de gebruiker omdat de meeste mensen die altijd bij zich hebben en er (relatief) zorgvuldig mee om gaan.

Een deel van de gebruikers wil echter geen gebruik maken van privé-hardware; dan ben je er immers ook verantwoordelijk voor als het stuk gaat. Andersom willen de IT-beheerders eigenlijk weten dat er geen virus of andere malware op die telefoon zit en de mogelijkheid hebben om zo'n telefoon snel te blokkeren bij diefstal. Er is software die dat mogelijk maakt maar gebruikers willen (terecht) niet dat hun werkgever admin-rechten heeft op hun privé-telefoon.

Een ander deel van de gebruikers zit er echter niet op te wachten om een aparte telefoon-van-de-baas mee te slepen, die zouden hun telefoon gewoon altijd op hun bureau laten liggen. Een dedicated token op sleutelhangerformaat zou het wellicht beter doen, maar ook daar zou niet iedereen gelukkig mee zijn.

Natuurlijk kunnen we wel stellen dat "regels zijn regels, leer er maar mee om gaan", maar regels werken beter als ze een beetje in overeenstemming zijn met wat mensen toch al willen en doen.