Bring Your Own Device, eller blot BYOD, er opstået som en accept af, at medarbejderne gerne selv ville vælge, især hvilke smartphones de kunne benytte til deres arbejde. Siden har mange virksomheder forsøgt at sætte brugen af privat it-udstyr i system. Mange er imidlertid stødt på modstand fra brugerne, som ønsker mere frihed, end virksomheden tillader.
Set fra virksomhedens synspunkt er medarbejderens private smartphone, tablet eller pc en sikkerhedsrisiko. Virksomheden har ingen garanti for, at udstyret ikke er inficeret med virus, eller at fortrolig information bliver slettet, når enheden kasseres, eller medarbejderen forlader virksomheden. Ifølge analysefirmaet Gartner angiver it-cheferne da også sikkerhed som den største bekymring ved BYOD.
Gartner peger blandt andet på, at de fleste smartphones i dag som standard er sat op til at synkronisere lokale filer på telefonen med en lagertjeneste i skyen. Det kan være en tjeneste som iCloud eller Google Drev, og hvis den er knyttet til brugerens private konto, har arbejdsgiveren ingen kontrol med de data, som kopieres til den.
Foreløbig ser det dog ud til, at it-cheferne ikke behøver være så bekymrede, hvis man ser på teleselskabet Verizons opgørelse over datatab i 2013. Ud af de sager, hvor medarbejdere eller andre med privilegeret adgang til virksomheden har været skyld i tab eller tyveri af fortrolige data, så har uautoriseret hardware blot været benyttet i 11 procent af sagerne. Og her er hverken smartphones eller en Dropbox på en tablet synderen.
»Uautoriseret hardware er én måde, hvorpå medarbejdere kan stjæle information, men det er mest med en USB-hukommelsesnøgle,« siger sikkerhedsanalytiker Jay Jacobs fra Verizon til Version2.
Tyveri sker ofte fra arbejdspladsen
Det dækker imidlertid kun over de tilfælde, hvor en ‘insider’ med ondsindede intentioner stjæler data fra virksomheden. BYOD kan også være med til at øge risikoen for, at medarbejderens udstyr bliver stjålet, mens der ligger fortrolige data på telefonen eller pc’en. Denne type tyveri findes der færre detaljerede data på, og de data, som Verizon har med i sin opgørelse, kommer især fra særlige brancher, som er pålagt at oplyse om tyverierne. Målt i antal er hændelserne imidlertid lige så hyppigt rapporteret som de bevidste datatyverier.
Den klassiske anekdote for datatab er den bærbare pc, som bliver glemt på bagsædet i en taxa. Men det er faktisk ofte, når udstyret befinder sig inden for virksomhedens vægge, at udstyret bliver mistet eller stjålet.
»Det mest almindelige viste sig at være fra folks umiddelbare arbejdsplads,« fortæller Jay Jacobs.
Næsthyppigst var medarbejdernes bil fulgt af deres bopæl, som åbenlyst er steder, hvor virksomhedens data kun de seneste år er blevet udsat for at falde i forkerte hænder som følge af skiftet fra desktop-pc’er til bærbare pc’er, tablets og smartphones.
Rådet fra Verizons sikkerhedsafdeling til at mindske problemet med tyverier vil dog næppe falde i god jord hos brugerne. Logikken er, at en klodset firma-tablet vil friste indbrudstyven mindre end en iPad Air, så hvis man vil undgå tilfældige tyverier, så skal man ikke investere i det udstyr, som ser mest moderne ud eller er lettest at sælge brugt.
Oprør over solide tyverisikrede tablets
Medarbejdere, som fra virksomhedens side udstyres med en solid, tyverisikret tablet, vil dog være mere tilbøjelige til at gøre oprør, vurderer analysefirmaet Forrester i en rapport fra december 2013. Heraf fremgår det, at 58 procent af brugerne vil foretrække at bruge deres private tablet til arbejdet og angiver utilfredshed med det udstyr, virksomheden stiller til rådighed som den primære årsag.
Mens BYOD har fået fodfæste mange steder i verden, så halter Europa bagefter. Det handler ifølge Forrester om en konflikt mellem brugernes ønsker, og det udstyr og de vilkår, virksomheden tilbyder. Når man oveni lægger udfordringen med sikkerhed, så er der stor risiko for, at virksomhedens BYOD-projekt ender som en fiasko, hvor brugerne ikke benytter sig af det udstyr, virksomheden har godkendt, men i stedet sniger sig til at benytte privat udstyr. Ifølge Gartner falder hvert femte BYOD-projekt til jorden på grund af for stram regulering fra virksomhedens side.
»Vi er endelig nået dertil, hvor it-afdelingen anerkender, dét, der altid er foregået: Folk bruger deres arbejdsudstyr til privat brug. Og de bruger ofte personligt udstyr til arbejdet. Når først du indser det, så forstår du også, at du er nødt til at beskytte data på en anden måde en blot at låse hele enheden ned. Det er afgørende at specificere, hvilke enheder der er supporteret og hvordan, og hvilket serviceniveau brugeren kan forvente. Samt hvilket ansvar brugeren selv har,« skriver chefanalytiker David Willis i en rapport fra 2013 om BYOD.
Gartner anbefaler, at virksomhederne ikke kun ser på risikoen for tyveri af data, men også på, hvordan det kan påvirke sikkerheden på netværket, hvis en enhed, som it-afdelingen ikke har fuld kontrol over, får adgang til netværket.
Mange virksomheder i Danmark tilbyder et kompromis i form af ‘Choose your own device’, hvor medarbejderne kan vælge mellem et udvalg af enheder og eventuelt betale en del af anskaffelsesprisen gennem en bruttolønsordning. Det betyder imidlertid ikke, at alle medarbejdere vil være tilfredse med de platforme, der er valgt, ligesom de kan ønske at udskifte enhederne hyppigere, end ordningen tillader.
Ifølge Forrester kan der dog være lidt hjælp at hente til virksomhederne, fordi meget få europæiske vidensarbejdere ønsker selv at betale for udstyr, som de skal bruge på arbejdet. Det er blot 6 procent, der er villige til selv at betale for en smartphone, mens 18 procent er villige til at give et bidrag. Endnu færre ønsker selv at betale for en tablet.
Dermed kan en virksomhed altså stå i en situation, hvor der på den ene side er nogle få medarbejdere, som vil gå meget langt for at få lov til at bruge udstyr, de selv har valgt, mens der på den anden side er medarbejdere, som forventer fuld service fra it-afdelingen. Ifølge Forrester er de europæiske vidensarbejdere generelt mere tilfredse med det it-udstyr, de bruger privat, end med det udstyr, de får stillet til rådighed på arbejdet.
Ægte BYOD løber også ind i problemer, selvom virksomheden er klar over og accepterer, at en medarbejder benytter sit private udstyr. Hvis it-afdelingen eksempelvis insisterer på at kunne slette data fra en mobiltelefon, så skal det kunne ske, uden det påvirker brugerens private data. Der er både flere af smartphone-platformene og de forskellige Mobile Device Management-løsninger imidlertid efterhånden på vej til at understøtte fuld adskillelse mellem private og arbejdsrelaterede data, applikationer og tilladelser.
Omvendt kan virksomheden også få problemer, hvis enheden deles med andre personer, som dermed i princippet kan få adgang til virksomhedens dokumenter eller medarbejderens e-mails. Det er næsten garanteret, at en firmasponsoreret iPad vil blive benyttet af andre medlemmer af husstanden end medarbejderen selv. Yderligere sikkerhedslag kan komme i konflikt med det ønske om let tilgængelighed, der ofte er drivkraften bag BYOD-krav fra medarbejderne.
Ekstra tid på support
I sidste ende kan det betyde, at medarbejderne reelt kommer til at bære hovedparten af byrden for at opretholde it-sikkerheden på BYOD-enhederne. Det er de færreste, der kan varetage den opgave på et niveau, som kræves af en moderne virksomhed, og det er dermed virksomheden, der løber en risiko. Tilsvarende risikerer både virksomheden og medarbejderen at skulle bruge ekstra tid på support, når en enhed, som it-afdelingen ikke kan supportere, har brug for service.
Analysefirmaet IDC peger på, at en såkaldt containerization-løsning kan være en mulighed, hvor arbejdsfunktionerne foregår i et adskilt miljø på enheden. Det kræver selvsagt medarbejdernes accept af lidt mindre brugervenlighed og kontrol, men til gengæld mere frihed til at vælge enhed og bruge den privat.
En anden mulighed er Choose your own device-modellen, hvor det ifølge Forrester gælder om at være i dialog med brugerne om betingelserne og udvalget af enheder. Man skal også være opmærksom på, at virksomheden sidder med det fulde ansvar for support og sikkerhed på en enhed, der stilles til rådighed på denne måde.
Denne artikel har været bragt i Version2 download-magasin Version2 Insight om DDOS angreb. Find dette og flere Insights og whitepapers her
Leave a Reply