Sign up to save your podcasts
Or
Share Beveiliging en beheer van moderne werkplekken en collaboratie-tools
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Beveiliging en beheer van moderne werkplekken en collaboratie-tools
Het gebruik van webversies boven standalone (native) applicaties op onbeheerde BYOD-apparaten (Bring Your Own Device) is een strategische keuze die direct voortvloeit uit de noodzaak om gegevenspersistentie te minimaliseren en de controle over bedrijfsdata te behouden zonder de privacy van de werknemer te schenden.
Hieronder volgen de belangrijkste redenen waarom webversies veiliger zijn voor onbeheerde apparaten:
1. Voorkomen van Lokale Gegevensresiduen (Data Residue)
Standalone applicaties zijn ontworpen voor prestaties en offline gebruik, wat leidt tot een aanzienlijke lokale gegevensvoetafdruk die de organisatie niet kan beheren op een privéapparaat.
- Outlook: Slaat volledige mailboxen en bijlagen op in lokale .ost-bestanden.
- Microsoft Teams: Bewaart chats, mediabestanden en metadata in lokale mappen (zoals %appdata%\Microsoft\Teams), wat toegankelijk kan blijven na deactivatie van een account.
- Slack: Hoewel de desktop-app een 'browser-wrapper' (Electron) is, is deze geoptimaliseerd voor persistentie en kan deze meer dan 1 GB aan lokale opslag gebruiken voor metadata en berichten.
- Webversies: Werken in de vluchtige context van de browser. Data is meestal tijdelijk en wordt vaak gewist bij het beëindigen van een sessie, waardoor er geen "tijdbom" van data op de harde schijf achterblijft.
2. Controle via de Browser ('Containerization')
Op een unmanaged apparaat heeft de IT-afdeling geen controle over het besturingssysteem, maar wel over de toegang tot de webomgeving.
- Browser-based DLP: Organisaties kunnen controles toepassen op het moment van interactie, zoals het blokkeren van de downloadknop of het verhinderen van kopiëren/plakken binnen de browserinterface.
- Managed Browser: Via tools zoals Microsoft Edge met MAM (Mobile Application Management) kunnen beveiligingsrichtlijnen direct in de browser worden afgedwongen (bijv. pincode vereisen of versleuteling), zonder dat het hele apparaat hoeft te worden beheerd.
- Sessiebeheer: Toegang kan centraal worden ingetrokken door sessie-tokens ongeldig te maken. Omdat er geen native app-data is gesynchroniseerd, is de data direct onbereikbaar voor de gebruiker.
3. Juridische en Privacyoverwegingen (GDPR/AVG)
Het beheren van standalone applicaties op privéapparaten leidt vaak tot een conflict tussen bedrijfsbeveiliging en de privacy van werknemers.
- Disproportionele maatregelen: Een volledige 'remote wipe' van een apparaat bij verlies kan ook persoonlijke foto's en data van de werknemer verwijderen, wat onder de GDPR vaak als disproportioneel wordt beschouwd.
- Dataminimalisatie: Webtoegang ondersteunt het principe van dataminimalisatie; de medewerker krijgt alleen toegang tot wat nodig is voor de taak, zonder dat de data het door de organisatie gecontroleerde domein fysiek verlaat.
4. Beperking van Shadow IT en Trackers
Native apps bevatten vaak trackers die gedragsdata verzamelen en delen met derden of buitenlandse overheden.
- Zichtbaarheid: In een browseromgeving kan een organisatie deze telemetrie en tracking beter beperken via browserinstellingen en ad-blockers.
- Gecentraliseerde opslag: Het NCSC adviseert om bedrijfsgegevens centraal op te slaan en het eindpunt slechts als 'viewer' te laten fungeren om te voorkomen dat data in onbeheerde back-ups (zoals persoonlijke iCloud of Google Drive) terechtkomt.
View all episodes
By Don RamónHet gebruik van webversies boven standalone (native) applicaties op onbeheerde BYOD-apparaten (Bring Your Own Device) is een strategische keuze die direct voortvloeit uit de noodzaak om gegevenspersistentie te minimaliseren en de controle over bedrijfsdata te behouden zonder de privacy van de werknemer te schenden.
Hieronder volgen de belangrijkste redenen waarom webversies veiliger zijn voor onbeheerde apparaten:
1. Voorkomen van Lokale Gegevensresiduen (Data Residue)
Standalone applicaties zijn ontworpen voor prestaties en offline gebruik, wat leidt tot een aanzienlijke lokale gegevensvoetafdruk die de organisatie niet kan beheren op een privéapparaat.
- Outlook: Slaat volledige mailboxen en bijlagen op in lokale .ost-bestanden.
- Microsoft Teams: Bewaart chats, mediabestanden en metadata in lokale mappen (zoals %appdata%\Microsoft\Teams), wat toegankelijk kan blijven na deactivatie van een account.
- Slack: Hoewel de desktop-app een 'browser-wrapper' (Electron) is, is deze geoptimaliseerd voor persistentie en kan deze meer dan 1 GB aan lokale opslag gebruiken voor metadata en berichten.
- Webversies: Werken in de vluchtige context van de browser. Data is meestal tijdelijk en wordt vaak gewist bij het beëindigen van een sessie, waardoor er geen "tijdbom" van data op de harde schijf achterblijft.
2. Controle via de Browser ('Containerization')
Op een unmanaged apparaat heeft de IT-afdeling geen controle over het besturingssysteem, maar wel over de toegang tot de webomgeving.
- Browser-based DLP: Organisaties kunnen controles toepassen op het moment van interactie, zoals het blokkeren van de downloadknop of het verhinderen van kopiëren/plakken binnen de browserinterface.
- Managed Browser: Via tools zoals Microsoft Edge met MAM (Mobile Application Management) kunnen beveiligingsrichtlijnen direct in de browser worden afgedwongen (bijv. pincode vereisen of versleuteling), zonder dat het hele apparaat hoeft te worden beheerd.
- Sessiebeheer: Toegang kan centraal worden ingetrokken door sessie-tokens ongeldig te maken. Omdat er geen native app-data is gesynchroniseerd, is de data direct onbereikbaar voor de gebruiker.
3. Juridische en Privacyoverwegingen (GDPR/AVG)
Het beheren van standalone applicaties op privéapparaten leidt vaak tot een conflict tussen bedrijfsbeveiliging en de privacy van werknemers.
- Disproportionele maatregelen: Een volledige 'remote wipe' van een apparaat bij verlies kan ook persoonlijke foto's en data van de werknemer verwijderen, wat onder de GDPR vaak als disproportioneel wordt beschouwd.
- Dataminimalisatie: Webtoegang ondersteunt het principe van dataminimalisatie; de medewerker krijgt alleen toegang tot wat nodig is voor de taak, zonder dat de data het door de organisatie gecontroleerde domein fysiek verlaat.
4. Beperking van Shadow IT en Trackers
Native apps bevatten vaak trackers die gedragsdata verzamelen en delen met derden of buitenlandse overheden.
- Zichtbaarheid: In een browseromgeving kan een organisatie deze telemetrie en tracking beter beperken via browserinstellingen en ad-blockers.
- Gecentraliseerde opslag: Het NCSC adviseert om bedrijfsgegevens centraal op te slaan en het eindpunt slechts als 'viewer' te laten fungeren om te voorkomen dat data in onbeheerde back-ups (zoals persoonlijke iCloud of Google Drive) terechtkomt.