Egen mobil på jobb? Dette må du vite
Gartner har tre gode råd til bedrifter som vil tillate at ansatte bruker egen mobiltelefon.
Innhold
Det at ansatte kan bruke sine egne mobiltelefoner til å få tilgang til jobbens systemer, som for eksempel e-postløsning, er snart mer regelen enn unntaket i norske bedrifter. Denne trenden kalles gjerne "Bring Your Own Device" – eller bare "BYOD".
En undersøkelse gjort av Avanade viser at ansatte i seks av ti norske bedrifter bruker private enheter, som mobil og nettbrett, for å løse arbeidsoppgaver. Ansatte forventer å kunne bruke den samme teknologien de er vant til privat, også på jobben – og det å nekte dette blir av mange eksperter sett på som en ulempe i konkurransen om de dyktigste medarbeiderne.
Det å la ansatte bruke egne enheter til jobbformål kan imidlertid være et sikkerhetsmessig mareritt, og analyseselskapet Gartner har derfor satt opp tre punkter de mener er viktige for alle bedrifter å vurdere før de går over til BYOD.
1: Konflikt med retningslinjer for sikkerhet
Det at ansatte kan ta i bruk alle mulighetene i sine personlige enheter er i konflikt med sikkerhetsretningslinjer for mobile enheter i bedrifter, og øker risikoen for at informasjon kommer på avveie, eller at sikkerhetshull på enhetene utnyttes.
Gartner mener det kan være en risiko for at brukere installerer skadelige apper eller besøker nettsteder som kan utnytte sikkerhetshull til å infisere enhetene med skadelig programvare – for eksempel spionprogramvare. Det er brukerne selv som bestemmer hvor sikre enhetene skal være, og hvis bedriftene tillater at bedriftsintern informasjon befinner seg på enhetene øker risikoen for bedriften.
Det er ikke bare skadelig programvare som virus og spionprogrammer som er risikabelt – men også helt legitime apper, spesielt om enheten skulle komme på avveie.
Anbefaling: Gartner sier i sine anbefalinger at et verktøy for administrasjon av mobile enheter (Mobile Device Management - MDM) kan være en god måte å håndtere dette problemet på. Brukere bør kun få tilgang til bedriftsintern informasjon på sine enheter etter at de har akseptert å installere programvare som lar bedriften fjernadministrere enheten. Et URL-filtreringsverktøy kan også være nyttig, både for å unngå surfing på usikre nettsider og for å sørge for at bedriftens retningslinjer for internett-trafikk blir opprettholdt.
"Svartelisting" og "hvitelisting" av hvilke apper som skal forbys eller tillates er et annet tiltak, og det er også mulig å sette opp en egen app-butikk eller -katalog hvor ansatte kan finne apper som bedriften har flagget som trygge.
2: Fritt valg gjør det vanskelig å sikre alle enhetene og holde oversikt
Det å gi brukerne muligheten til å fritt velge både mobiltelefon og mobiloperativsystem gjør at bedriften risikerer at det tas i bruk enheter som ikke har god nok sikkerhet.
Anbefaling: En helt grunnleggende sikkerhetspolicy bør kreve god passordsikkerhet på enheten, at det er mulig å tvinge gjennom låsing av skjermen etter en gitt tid, at enheten låses etter for mange forsøk på å taste passord, at det er mulig å kryptere dataene på enhetene, og at det er mulig å fjernlåse og fjernslette enheter som har kommet på avveie.
Retningslinjene må også si noe om minimumskrav for både maskinvaren og programvaren. Det må også være systemer på plass for å nekte enheter som ikke følger minimumskravene tilgang til bedriftens systemer, som e-post og bedriftsinterne apper. Ved hjelp av administrasjonløsninger kan advarsler sendes ut til enheter som ikke tilfredsstiller kravene.
Gartner er imidlertid klar på at det å lage for store begrensninger i hvilke enheter man kan bruke, gjør at nytteverdien av BYOD begrenses mye. Derfor bør man forsøke å administrere og sikre nye enheter når de kommer, hvis det er mulig – men uten å gå på kompromiss med sikkerheten. Bedrifter som håndterer svært sensitive data bør vurdere en strengere sikkerhet enn andre.
3: At brukeren eier enheten gjør fjernsletting problematisk
De fleste ser på informasjonen som ligger lagret på sin egen mobiltelefon, som sin personlige eiendom. Dermed vil nok mange protestere hvis bedriften skulle finne på å gjøre endringer på sin telefon, uten at de har gitt tillatelse til det.
Det å kunne fjernslette mobiltelefoner som er kommet på avveie er en helt fundamental funksjon i en mobil sikkerhetspolicy, og det har vist seg at det i praksis er vanskelig å slette kun bedriftsinformasjon på enheter – og være sikker på at ikke også privat informasjon har blitt slettet.
Anbefaling: Gartner anbefaler at man undersøker hvilke lover og regler som gjelder. Det kan oppstå problemer hvis en bruker nekter fjernsletting av sin enhet, og i tilfeller hvor enheter kommer på avveie er det om å gjøre å få slettet informasjonen på enheten så fort som mulig. Det å måtte innhente tillatelse fra eieren av telefonen tar rett og slett for mye tid.
Derfor kan det lønne seg å få skriftlig tillatelse fra brukerne, om at bedriften har lov til å slette informasjon – enten den er blitt infisert av spionprogrammer, eller om den er stjålet eller mistet.
(Kilde: Gartner)
Les også: Her er de perfekte mobilene å gi til jul
