Michael Covington van Jamf over de impact van security en MDM op Apple in de zakelijke markt

Hoe duidelijk is de groei van Apple in het bedrijfsleven?

“Uit cijfers van vorig jaar blijkt dat Apple met meer dan 20 procent is gegroeid ten opzichte van het jaar daarvoor. Dat is echt een opmerkelijk groeicijfer, als je ziet dat de totale PC-markt in diezelfde periode met slechts ongeveer drie procent is gegroeid. Dit is een trend die we wereldwijd zien en zeker ook in Europa. Steeds meer organisaties bieden medewerkers inmiddels de keuze tussen Windows en Mac als werkdevice.”

Volgens Covington ligt de motivatie voor de keuze voor Apple of voor het implementeren van een employee choice-programma vooral in het gebruiksgemak en de beleving, waarbij uit evaluaties telkens weer blijkt dat medewerkers met een Mac hun devices een hogere tevredenheidsscore geven dan medewerkers met een Windows-laptop. Dit vertaalt zich vervolgens vaak in een hogere productiviteit. Covington: “De Mac is ontworpen met het oog op gebruiksgemak, zodat mensen makkelijker en sneller hun werk kunnen doen. Aanvankelijk beschikte de Mac nog niet over alle functies en mogelijkheden die bedrijven nodig hebben om ze op een goede manier te integreren in hun bestaande IT-omgeving. De afgelopen drie tot vijf jaar heeft Apple hun besturingssysteem bedrijfsklaar gemaakt en verbeterd, bijvoorbeeld met meer security- en beheerfuncties.”

Een essentiële stap daarin is volgens Covington dat Apple nu raamwerken biedt en ondersteunt op het gebied van enterprise management via tools en applicaties van derden. Dit is belangrijk omdat vendors hun beheer- en compliance-oplossingen nu kunnen integreren met het Apple-ecosysteem voor de benodigde inzichten en meer beheermogelijkheden. “Dit zorgt er vervolgens voor dat Macs door organisaties steeds vaker worden gezien als een geschikt werkdevice. Dat is een belangrijke ontwikkeling”, vervolgt Covington.

Security van mobiele devices

Met de groeiende populariteit van Apple in het bedrijfsleven worden deze devices ook interessanter voor aanvallers. Wat betekent dit voor de securityaanpak van organisaties?

“Apple is en blijft een van de veiligste platforms voor organisaties. Dat wil echter niet zeggen dat organisaties niet de nodige stappen moeten nemen om deze devices verder te beschermen en te monitoren op verdachte activiteit. Daarnaast zijn er bijvoorbeeld specifieke policies die afgedwongen en beheerd moeten worden om ervoor te zorgen dat zowel de devices als de gebruikers voldoen aan het bedrijfsbeleid. Daar komt bij dat er de nodige informatie centraal verzameld moet worden, bijvoorbeeld in het kader van wet- en regelgeving zoals NIS2. Dat zijn allemaal zaken waar de IT- en securityteams bij organisaties over moeten nadenken en oplossingen voor moeten zoeken, ook voor Apple devices.”

“Een van de belangrijkste uitdagingen is dat veel organisaties nog steeds niet begrijpen hoe afhankelijk ze zijn van hun mobiele devices, totdat er iets misgaat. Smartphones en andere mobiele devices zijn heel geleidelijk belangrijk geworden voor ons dagelijks werk. Toch worden ze vaak niet als ‘bedrijfskritisch’ gezien. Maar het feit dat deze devices er nog steeds uitzien als consumentendevices betekent niet dat ze geen essentiële rol spelen voor organisaties, zowel voor medewerkers als voor leidinggevenden.”

Volgens Covington is die misvatting over het belang van mobiele devices overal te zien, zelfs in sterk gereguleerde sectoren zoals de zorg of de luchtvaart. Deze sectoren zich richten zich vaak op het voldoen aan de wettelijke checkboxen voor device compliance, maar houden niet altijd specifiek rekening met cyberkwetsbaarheden. Dat betekent dat ze misschien wel voldoen aan de richtlijnen voor het doel waarvoor ze gebruikt worden, zoals vluchtnavigatie of het invoeren van medische gegevens, maar niet dat ze ook goed beveiligd zijn tegen malware. “Vaak wordt aangenomen dat een device met beperkte toegang standaard veilig is, maar dat is zelden het geval, vooral in scenario's waarin het werkdevice ook voor privédoeleinden kan worden gebruikt. Mijn ervaring is dat organisaties deze scenario’s beter moeten herkennen, kijken wat de risico’s zijn en vervolgens gepaste maatregelen moeten nemen.”

Wat moet er gebeuren om mobiele devices veiliger te maken?

“Om hun mobiele devices beter te beschermen, moeten organisaties dezelfde best practices hanteren die ook worden toegepast op andere soorten computers: bouw meerdere verdedigingslagen op die elkaar aanvullen en versterken. Dat begint met een complete inventarisatie van alle devices die toegang hebben tot gevoelige bedrijfsgegevens. Welke devices worden er gebruikt binnen de organisatie en waar bevinden ze zich? Maar ook: tot welke bedrijfskritische applicaties en informatie hebben die devices toegang? Op basis van die inventarisatie kan je vervolgens bepalen welke devices essentiële functies vervullen binnen de organisatie en kan je plannen voor de mogelijke gevolgen als ze onbruikbaar worden door een cyberaanval of een ander probleem. Dit maakt ook duidelijk welke devices de sterkste beveiliging nodig hebben. Het verbaast me telkens weer hoeveel organisaties deze stap overslaan. Maar als je dit niet doet, is het bijna onmogelijk om de security van die devices effectief te beheren.”

“De tweede prioriteit is een goede balans vinden tussen cyberhygiëne en gebruiksvriendelijkheid. Die cyberhygiëne is essentieel, maar er moet wel goed over worden nagedacht. Automatische updates zijn bijvoorbeeld essentieel, maar met bedrijfskritische devices moet je er wel voor zorgen dat hun eigenaars ze altijd kunnen gebruiken wanneer dat nodig is. Een retailer met hoge volumes kan het zich niet veroorloven dat kassasystemen enige tijd niet toegankelijk zijn omdat er updates worden toegepast. Dat vraagt dus om een goede planning en bijvoorbeeld het gebruik van policies om de installatie van updates automatisch te doen op de momenten dat dit geen problemen oplevert, bijvoorbeeld ’s avonds of ’s nachts. Verder zouden devices ‘vergrendeld’ moeten worden zodra ze geactiveerd worden, waarbij de organisatie bepaalt hoe ze kunnen worden gebruikt, welke applicaties geïnstalleerd mogen worden en hoe updates worden beheerd. Tot slot is proactieve preventie van dreigingen cruciaal. Organisaties moeten schadelijke activiteiten of de toegang tot bedrijfskritische devices kunnen detecteren en zo nodig blokkeren.”

“Het is die combinatie van het beheren én het beveiligen van mobiele devices waar wij op inzetten met ons platform. Want zonder goed mobile device management kan je die devices ook niet goed beveiligen, omdat je niet weet wat de status is en in hoeverre ze compliant zijn.”

De voors en tegens van regulering

De Europese techmarkt heeft te maken met toenemende wet- en regelgeving, op tal van vlakken. De techsector is vaak kritisch over deze ontwikkeling en stelt dat innovatie in Europa hierdoor wordt geremd. Covington heeft hier een meer genuanceerde mening over: “Mijn persoonlijke mening is dat regelgeving in het algemeen goed kan zijn. De ontwikkeling van technologie gaat nu zo ontzettend snel en te snelle adoptie van innovaties kan potentieel risico's introduceren die later heel moeilijk terug te draaien zijn. Ik denk dat de regelgeving die we de afgelopen tijd hebben gezien, of het nu gaat om de AVG of NIS2 of specifieke regelgeving in de VS, allemaal zijn gericht zijn op het verbeteren van de privacy van de consument of op het versterken van de security van organisaties.”

“En ja, al die regels brengen kosten en extra processen met zich mee die bedrijven van bepaalde omvang of in een bepaalde sector op zich moeten nemen. Maar over het algemeen denk ik dat ze zorgen voor een beter fundament voor veel van de technologische beslissingen die we nemen. Het maakt duidelijk wat er nodig is voor organisaties van een bepaalde omvang die klanten in bepaalde regio’s bedienen en waar ze zich aan moeten houden als ze verantwoordelijke deelnemers aan deze gemeenschap willen zijn.”

Het Nederlandse partnerlandschap

Jamf is een channel-focused organisatie. Wat is uw indruk van het Nederlandse partnerlandschap?

“Ik ben erg onder de indruk van de partners die we hier in Nederland hebben. Wat het meeste indruk op me heeft gemaakt, is de volwassenheid op het gebied van security binnen het partner ecosysteem hier. Ik denk dat wat de channelpartners hier doen vanuit technologisch perspectief en de manier waarop ze die mogelijkheden aanbieden, bijzonder is en ook goed wordt opgepakt door gezamenlijke klanten.”

“Het gaat partners niet alleen om het leveren van devices, ze gaan ook echt de volgende uitdaging aan, namelijk het beveiligen van die devices. Het zijn echt adviseurs waar klanten op vertrouwen”, concludeert Covington.