En medarbejder får stjålet sin telefon, som var fyldt med fortrolige firmadata. Nu gælder det om at sikre, at tyven ikke får adgang til følsomme oplysninger – uanset om det er en telefon, som firmaet har udleveret, eller om den er privat og en del af en bring your own device-ordning (BYOD).
Men hvordan får man samme kontrol over en privat telefon, som man har over firma-hardwaren? Det kræver først og fremmest nogle klare aftaler med medarbejderne om, hvad de går ind til i med en bring your own device-aftale.
»Som sikkerhedsmand er man jo født paranoid, og så føles det som en dårlig idé med virksomhedens data ude på private devices. Men i dag har brugerne en tendens til selv at tage udstyr med og kan indføre BYOD, uden at man har tilladt det, så det gælder om at finde en løsning, så it-afdelingen får kontrol og bestemmer. Så er det bare vigtigt, at reglerne bliver bredt forankret i organisationen, med hjælp fra HR, så politikken bliver kendt og respekteret,« siger Jacob Herbst, teknisk chef i sikkerhedsfirmaet Dubex.
De ansvarlige for it-sikkerheden må definere, hvilken grad af sikkerhed, der er brug for – og måske er BYOD slet ikke en god idé.
»Man skal se på, hvor høje sikkerhedskrav, man vil stille, og hvilke data man vil tillade på enhederne. Udfordringen er at finde den rigtige balance mellem virksomhedsbrug og privat brug. Medarbejderne vil stadig gerne kunne spille Candy Crush og låne en tablet ud til børnene. Så man må overveje, hvad risikoen er og lave en risikoanalyse. Måske er bring your own device slet ikke relevant. Hvis man er en højsikkerhedsorganisation, skal man ikke kaste sig over bring your own device,« siger Jacob Herbst.
Afhængigt af, hvor høje sikkerhedskravene er, og hvor mange data de mobile enheder skal have adgang til, skal man beslutte, hvordan telefoner og tablets rent teknisk bliver beskyttet. Skal it-afdelingen have reel kontrol, kræver det mulighed for at slette data på telefonen og sikre adgangsbeskyttelse med kodeord.
Den typiske løsning til firmaets egne telefoner er mobile device management, som it-folkene styrer. Det kan man så stille krav om også bliver brugt på private enheder til firmabrug.
»Du kan bruge device management, og der er mange indbyggede funktioner på telefonerne allerede, så du behøver ikke gå ud og købe noget nyt, hvis du bare vil kunne klare det mest væsentlige. Apple og Google understøtter for eksempel begge ActiveSync-protokollen,« fortæller Lars Neupart, direktør for sikkerhedsfirmaet Neupart.
En anden mulighed er at installere et sikkert miljø på medarbejdernes enheder, som effektivt afskærmer alle firmadata fra resten af telefonen eller tabletten. Så skal brugeren åbne en app for at logge ind i det lukkede miljø for eksempelvis at tjekke sin firma-mail.
Sådan en løsning giver mulighed for kontrollere virksomhedens data meget præcist, samtidigt med at resten af telefonen er under brugerens egen kontrol. Bliver telefonen stjålet, kan it-chefen for eksempel slette hele det fortrolige miljø, mens det er op til brugeren selv at håndtere resten, et såkaldt selektivt wipe. Men selvom der er høj sikkerhed og rene linjer, er der også ulemper.
»Jeg er ikke helt fan af den slags separate sandbox-løsninger, for det ødelægger lidt idéen i at bruge en smartphone, hvor der er gjort meget ud af at binde alting sammen. Det er sikkerhedsmæssigt godt, men brugervenligheden er ikke så god,« siger Lars Neupart.
Krav om at medarbejderne installere antivirus på deres telefoner og tablets er han heller ikke tilhænger af.
»Laver man en risikovurdering af malware på mobile devices, er risikoen ret lille. Vi har ikke set store malware-udbrud endnu, og det er mest ondsindede apps, som laver privacy-krænkelser, der har været problemer. Det altoverskyggende problem er, at de mobile device bliver stjålet eller tabt. Så den situation skal man være helt skarp på,« siger Lars Neupart.
Uanset hvor omfattende en teknisk sikring, man vælger, skal der bruges nogle kræfter på at få styr på politikken omkring det hele. For det er opskriften på ballade, hvis medarbejderne ikke er klar over, hvad it-folkene kan tilgå eller slette på telefonen.
»Du skal træffe nogle valg. Hvad sker der, hvis en medarbejder mister en privat telefon – skal medarbejderen give besked til it-afdelingen? Det vil man for eksempel nok gerne have,« siger Lars Neupart.
Det skal også være klart, hvilken brugerkonto medarbejderne skal logge på med, når de tager deres enhed i brug for første gang. Når den er købt privat – men som oftest med et tilskud fra firmaet – er det nærliggende at bruge sin private e-mailadresse, men det kan give problemer.
»Jeg vil anbefale, at man beslutter, at det skal være arbejds-e-mail, man anvender som brugerkonto. Så har man adgang til data i for eksempel iCloud, hvis medarbejderen skifter firma,« siger Lars Neupart.
Enheder fra Apple giver også mulighed for lokal backup til en computer, og det er måske heller ikke ønskeligt, hvis firmaets data på den måde ender på computere uden for firmaets kontrol, pointerer han.
Helt lavpraktisk skal man også klart definere, hvem der har ansvaret for at holde enheden kørende.
»Er det virksomhedens eller brugerens ansvar, hvis noget ikke fungerer? Hvem står for supporten. Det skal man også se på,« siger Jacob Herbst.
Mange andre problemstillinger er de samme som med firma-telefoner, men som måske bliver sværere at håndhæve på medbragte enheder, med mindre man ruller mobile device management ud. For eksempel at sikre et password af en vis kvalitet på telefonen. Afhængigt af sikkerhedsniveauet kan det være en fire-cifret kode eller et regulært password.
Brugerne er også blevet vant til at bruge Dropbox og lignende tjenester privat, så de er også hurtige til at smække Excel-ark og præsentationer ud i deres private sky, fordi det oftest er det mest fleksible. Uanset om det er medarbejderens medbragte telefon eller firma-hardware, er det også en situation, it-afdelingen skal tænke over og lave regler om.
»Nu taler man om ’bring your own cloud’, fordi medarbejderne bruger det, for at få det hele til at hænge sammen. Så er data uden for virksomhedens kontrol og kun beskyttet af et simpelt password. Hvis man vil forhindre brugerne i at lægge firmaets data i deres Dropbox, kan man kigge på container-løsninger, der spærrer data inde på telefonen,« siger Jacob Herbst.
Uanset hvad man ender med for en løsning i sidste ende, bør man i god tid tage diskussionen og gennemgå firmaets politik for mobile enheder. Ellers bliver man lynhurtigt overhalet inden om af virkeligheden, pointerer han.
»Brugerne har en tendens til bare at tage udstyr med og bruge det på arbejdet. Hvis man ikke har en helt klar politik om det, kan de hurtigt indføre BYOD, uden man egentligt har tilladt det. Den typiske situation, vi hører fra vores kunder, er at man åbner for mail-synkronisering, uden at gøre det klart, at det kun er firma-devices, som må sættes op til det. Så har man pludseligt hundredevis af private enheder, der synkroniserer fra Exchange-serveren. Det kan være, at man ender med at beslutte, at det er i orden – men det skal være en bevidst beslutning,« siger Jacob Herbst.
Spørgsmål, du skal finde svar på:
- Hvilke af virksomhedens data må havne på enhederne?
- Bliver disse data gemt andre steder, som lokal backup eller i skyen?
- Hvilke private data kan virksomheden tilgå på enhederne? Hvad med juraen?
- Skal it-afdelingen kunne slette alle data på telefonen? Hvordan?
- Hvem har supportansvaret for medbragte enheder?
- Hvad er konsekvenserne, hvis medarbejderen bryder reglerne?
- Skal firmaet kunne inddrage en telefon, som er købt privat, men til dels betalt af firmaet?
- Har it-afdelingen kontrol over firma-data, hvis medarbejderen siger op?
- Er der bred opbakning til og bredt kendskab til politikken om BOYD?
- Hvilke medarbejdere skal med i ordningen?
Kilde: Neupart og Dubex.
Denne artikel har været bragt i Version2 download-magasin Version2 Insight om DDOS angreb. Find dette og flere Insights og whitepapers her
Leave a Reply