Sådan håndterer du BYOD og sikkerhed

Transkript

1 Whitepaper Sådan håndterer du BYOD og sikkerhed Bring your own device (BYOD) og mobile arbejdspladser bliver mange steder håndteret som en rent teknisk udfordring, og det er en risiko. Mobilitet og BYOD er en ledelsesmæssig beslutning, fordi det har konsekvenser for sikkerhed, produktivitet, omkostninger, medarbejdertilfredshed osv. Denne artikel giver et bud på, hvordan du ledelsesmæssigt håndterer mobile arbejdspladser og de til hørende udfordringer, og hvordan du udarbejder en politik på området, der involverer både medarbejderne og virksomhedsledelsen.

2 Whitepaper side 2 INDHOLD side 3 side 3 side 4 side 5 side 7 side 8 side 9 side 9 Indledning Udfordringerne ved BYOD Sårbar i hænderne på de forkerte Politik sådan gør du Aftaler sådan gør du Teknik her er mulighederne BYO everything Om forfatteren

3 Whitepaper side 3 INDLEDNING En søgning på BYOD på Google Trends viser, at BYOD er en relativt ny term, som først for alvor vandt udbredelse omkring Det var indtoget af Apples iphone i 2009, der satte gang i BYOD-tendensen, som kan siges at være en del af den generelle tendens consumerisation of IT. Medarbejderne begyndte at tage deres iphone med på arbejde og foretrak at anvende den frem for de mobile enheder, virksomheden måske stillede til rådighed. Vi har som privatpersoner over hele verden med stor iver taget smartphones og tablets til os som personlige værktøjer, og vi er generelt meget dygtige til at anvende værktøjerne og har på mange måder overhalet virksomhedernes indsats for at indføre mobile løsninger indenom. It-chefer og -afdelinger har hurtigt indset, at BYOD er kommet for at blive, og størstedelen af virksomhederne byder i dag BYOD velkommen, idet de tror på, at det forbedrer medarbejdernes produktivitet. Gartner forventer, at halvdelen af verdens virksomheder vil praktisere BYOD i Udbredelsen, populariteten og anvendelsen af mobile enheder har nået så højt et niveau, at alle virksomheder skal indstille sig på, at de fleste medarbejdere vil have flere mobile enheder til rådighed og vil gøre brug af personlige enheder i arbejdsmæssig sammenhæng. Når jeg kommer rundt i danske it-afdelinger, er det dog min oplevelse, at mange it-chefer ikke forholder sig aktivt til udviklingen. Dermed risikerer BYOD-strategien at blive styret af udefrakommende ønsker og ikke af en bevidst ledelsesmæssig strategi. Det mener jeg er et problem, fordi det giver en dårlig praksis for et område, som har store konsekvenser for både sikkerhed, produktivitet, medarbejdertilfredshed og omkostninger til indkøb og vedligeholdelse af hardware og software. UDFORDRINGERNE VED BYOD BYOD åbner en bagdør til virksomhedens data og udgør dermed en alvorlig sikkerhedsmæssig risiko. Den risiko skal håndteres på en systematisk måde, og det kræver, at it-chefen sørger for, at topledelsen bliver inddraget og accepterer de løsninger, der skal garantere sikkerheden. It-chefens vigtigste opgave er at afstemme risici med strategi, aftaler og løsninger i en eksplicit formuleret BYOD-politik, der breder ansvaret ud til hele organisationen. Medarbejdernes ønske om selv at bestemme og styre giver sikkerhedsrisici og en øget supportbyrde. Kortlægning og synliggørelse af disse sammenhænge er et led i at formulere en klar politik for, hvordan virksomheden vil håndtere brug af egne mobile enheder en politik, som er godkendt af topledelsen og understøttet af en detaljeret og underskrevet aftale med medarbejderne. It-chefens tre væsentligste opmærksomhedspunkter er følgende: Sikkerhedsrisici Ansvarsfordeling Supportbyrde. Der er mange detaljer at forholde sig til, men det vigtigste er, at der foregår en dialog og proces mellem topledelse og medarbejdere, som munder ud i en fælles forståelse af området.

4 Whitepaper side 4 SÅRBAR I HÆNDERNE PÅ DE FORKERTE Vi har endnu ikke set de store overskrifter i aviserne om angreb eller sårbarheder alene på den mobile platform, men det kan blot være et spørgsmål om tid. Jeg har i min dagligdag oplevet et par utilsigtede konsekvenser eller ikke-gennemtænkte løsninger, om man vil. Det gælder for eksempel en administrerende direktør i en stor virksomhed, som blev ringet op af en samarbejdspartner, der spurgte, om han måtte foreslå et alternativt tidspunkt til det møde, den administrerende direktør lige havde aflyst. Direktøren var forbavset, for han havde da ikke aflyst noget møde. Efter lidt arbejde fandt vi ud af, at hans fireårige datter havde lånt fars tablet til at spille på, da de var ude at spise. Her havde datteren ved et uheld slettet alle aftaler i farens kalender, og da disse bliver synkroniseret med virksomhedens backendsystemer, var alle aftaler aflyst. Det var ikke i sig selv en katastrofe eller et sikkerhedsbrud, men det var klart en udfordring for direktøren. Han kunne gendanne sine mails via backuppen, men alle de personer, han havde aftaler med, havde modtaget en afvisning af møderne, og han måtte manuelt tage kontakt til dem igen og kommunikere, at møderne ikke var aflyst alligevel. En anden situation var en kunde, der er advokat. Han havde fået designet en app til at tilgå firmaets klientsystem. Denne app giver mulighed for at opdatere sager og stamdata, når han og hans kolleger har en pause på landevejen eller i retten. Under et møde med kunden spurgte jeg, om jeg måtte vise ham noget. Jeg kender ham ret godt og kunne ved at observere ham over tid og ved at kigge på touchskærmen på hans telefon på ganske få forsøg gætte koden til at låse hans telefon op. På få sekunder opnåede jeg adgang til personfølsomme oplysninger om hans klienter og samarbejdspartnere. Her kan man sige, at jeg i forvejen havde let ved at gætte koden, men er man i en situation, hvor man har telefonen og har tid til at åbne den ved hjælp af diverse applikationer, som er tilgængelige via internettet, kan man skaffe sig adgang til data på en mobil enhed relativt hurtigt og nemt. Har man som virksomhed ikke overblik over, hvilke enheder der tilgår hvilke data, og har man heller ikke et system og en proces til at slette data på enhederne, kan risikoen for utilsigtet tilgang til følsomme data være ganske stor. Et tredje tænkt eksempel kunne være et fiktivt dansk rederi, hvor man som ansat kunne koble sin egen enhed på netværket. Rederiet kunne have adskillige aftaler med diverse NATO-lande om transport af materiel og personel, som kunne være meget interessante for udenlandske parter at overvåge, fordi der ligger kapacitetsplaner og transportplaner frem i tiden og ikke blot passiv overvågning af noget, der er sket. Så har vi lige pludselig et sikkerhedspolitisk scenarie i en privat dansk virksomhed. De to første eksempler er måske trivielle, men de synliggør, at BYOD kan skabe sårbarheder og derfor kræver opmærksomhed ikke kun fra it-afdelingen, men fra hele virksomheden. En god håndtering af BYOD består af treenigheden politik, aftaler og teknik, så lad os i de følgende afsnit se nærmere på de tre elementer.

5 Whitepaper side 5 POLITIK SÅDAN GØR I De overordnede formål med politikken er: 1. Gennem formuleringsprocessen at sikre, at it-chefen og virksomheden gennemtænker konsekvenserne af BYOD 2. At angive retningslinjer, principper og beslutninger for eksekveringen. Følgende fire områder er centrale i en politik: 1. 1 Afklaring af, hvad en mobil medarbejder er 2 1. Præcisering af, hvad en mobil medarbejder må og skal 3 1. Beslutning om, hvorvidt og hvordan lokationer skal styre mulighederne 4 1. Beskrivelse af, hvordan virksomheden vil håndtere mobilitet Et af it-chefens mål skal være at få topledelsens engagement i en politik for området, så topledelsen eksplicit har forholdt sig til de muligheder, begrænsninger og ikke mindst sikkerhedsrisici, området indeholder. Det første mål med politikken er at signalere, at BYOD er seriøst. En god måde at understrege seriøsiteten og vigtigheden på er at fremhæve de risici, virksomheden og medarbejderne løber uden en bevidst BYOD-politik (se mere om dette i forrige afsnit). I politikken kan det være en god idé at fremhæve BYOD som et gode for medarbejderne, der understøtter fleksibilitet i form af distancearbejde og større geografisk uafhængighed. BYOD-politikken skal også understøtte medarbejdernes roller og muligheder for at bidrage til virksomhedens forretningsmål. Det kan for eksempel ske ved, at sælgere i marken får bedre mulighed for at gå i dialog med kunder og emner, og at medarbejderne får 24/7-adgang til virksomhedens systemer, hvilket gør samarbejde på tværs af tidszoner lettere. Jeg vil anbefale, at virksomheder i forbindelse med en BYOD-politik og i den tilhørende aftale med medarbejderne som udgangspunkt forholder sig til følgende områder:

6 Whitepaper side 6 1 Afklaring af, hvad en mobil medarbejder er Hvem må anvende egne mobile enheder? Er brugen af egne mobile enheder begrænset til en udvalgt gruppe, eller skal den omfatte alle medarbejdere? 2 Præcisering af, hvad en mobil medarbejder må og skal Hvilken form for tilgang skal de mobile medarbejdere have? Skal det være en eksplicit del af aftalen, at virksomheden har nultolerance over for sms er under kørsel? Kræver virksomheden håndfri betjening af den mobile enhed under kørsel? Er enheder med kamera og videooptager tilladt på arbejdspladsen (i nogle tilfælde er det muligt at frakoble disse funktioner via fjernbetjening)? Vil virksomheden udarbejde en liste over tilladte og forbudte apps, så medarbejderne ved, hvad de kan og ikke kan installere? 3 4 Beslutning om, hvorvidt og hvordan lokationer skal styre mulighederne Skal der være forskel på, om medarbejderne befinder sig inden for eller uden for arbejdspladsens grænser? Skal medarbejderne for eksempel kunne tilgå deres bank fra en pc derhjemme eller i en lufthavn? Hvad er acceptabel brug på arbejde og derhjemme? Hvilke hjemmesider er for eksempel ikke acceptable at besøge, når medarbejderne er på arbejde? Beskrivelse af, hvordan virksomheden vil håndtere mobilitet Hvem betaler for adgangen virksomheden eller medarbejderne? Skal medarbejderne modtage et månedligt bidrag? Hvornår skal medarbejderne kontakte virksomheden for at få support, og hvornår er det leverandøren af enheden eller netadgangen, der skal yde support? Hvad er henholdsvis it-afdelingens og medarbejdernes ansvar, når det gælder om at sikre, at sikkerhedsreglerne bliver overholdt? Hvad er proceduren for at rapportere tab eller tyveri af en mobil enhed? Hvad gør virksomheden, hvis en mobil enhed bliver stjålet eller bortkommer? Vil itafdelingen for eksempel gøre brug af muligheden for at låse eller slette indholdet på en mobil enhed via fjernbetjening? Hvad er konsekvenserne af ikke at overholde politikken? Skal brugere, der går på virksomhedens netværk med en kompromitteret mobil enhed, for eksempel nægtes adgang til netværket og/eller ekskluderes fra BYOD-programmet? Kan overtrædelse af politikken medføre ophør af ansættelsesforholdet?

7 Whitepaper side 7 Underspørgsmålene til de fire områder er blot eksempler til inspiration. Der kan være mange andre overvejelser, som giver mening i netop din virksomhed. Et godt råd er at starte med at formulere en basispolitik, der senere kan udvides til også at omfatte forhold for medarbejdere i forskellige funktioner med forskellige arbejdsvilkår. Medarbejdere, der rejser meget, vil for eksempel have behov for afklaring af, hvordan de kobler op på nettet uden for store omkostninger og sikkerhedsrisici. Nøglen er at få topledelse og medarbejdere til at tage aktivt stilling til og ejerskab for den politik, der besluttes. Beslutningen ligger i sidste ende hos topledelsen. Det er it-chefens naturlige ansvar at drive processen med at få udarbejdet en politik på området. Det kan være en svær opgave, da man skal udfordre sin egen ledelse. Det er også nødvendigt at have gjort sig klart, hvilke udfordringer og risici der er i netop din virksomhed. Det er min opfattelse, at man med fordel kan få en ekstern partner til at facilitere processen, dels for at få stillet de rigtige spørgsmål og dels for at få ledelsen til at forstå alvoren i BYOD, som udgør en risiko i alle virksomheder. AFTALER SÅDAN GØR DU Det er ikke tilstrækkeligt at publicere politikken og uddele en kopi til alle medarbejdere. Det vil være en god idé også at gennemføre dialogmøder, hvor virksomheden gennemgår politikken sammen med medarbejderne og giver plads til spørgsmål og afklaring. Politikken skal bakkes op af en aftale mellem virksomheden og medarbejderne. Det sikrer engagement og seriøsitet på området, det skaber en entydig ansvarsfordeling mellem topledelse, it-afdeling og medarbejdere, og det sender et signal til organisationen om, at overtrædelse af politikken kan have alvorlige konsekvenser. Sørg også for løbende at opdatere politikken, efterhånden som der sker ændringer på området. Opmærksomhed og regelmæssig opfølgning er nøglen til at sikre, at medarbejderne overholder aftalen og dermed politikken. Der er masser af skabeloner til aftaler på nettet, som man med fordel kan anvende som udgangspunkt for en aftale til sin egen virksomhed. Gartner, Vox Mobile og TechRepublic har gode eksempler på aftaleskabeloner. Inddrag jeres juridiske afdeling eller rådgiver i arbejdet med aftalen. Det er en fordel at holde aftalen kort og klar, så det er nemmere for medarbejderne at forholde sig til den. Hvis virksomheden har valgt at styre sine mobile enheder med MDM-software (MDM = mobile device management), kan det være en fordel at indbygge aftalen i MDM-softwaren, så medarbejderne skal acceptere aftalen, første gang de tilgår netværket med en BYOD-enhed.

8 Whitepaper side 8 TEKNIK HER ER MULIGHEDERNE BYOD er ikke en teknisk udfordring. Der er mange løsninger, som kan understøtte politikken, så alt er i princippet muligt, både i form af cloudløsninger og i form af on premise-løsninger. Det er for eksempel muligt at indføre lokationsstyret segmentering, så medarbejdernes adgang til data og mulighed for at afvikle applikationer er styret af den lokation, de befinder sig på. Det betyder, at adgangen vil være forskellig på arbejdspladsen og i hjemmet eller for den sags skyld i en lufthavn eller lignende. Teknikken er ikke et problem. It-afdelingen skal forberede infrastrukturen på øget trådløs trafik, så der ikke opstår bredbåndsproblemer. Afhængigt af virksomhedens størrelse, antallet af berørte medarbejdere og virksomhedens eksisterende værktøjer kan det være en god idé at investere i MDM-software, der kan bidrage til effektiv styring og vedligeholdelse af porteføljen af mobile enheder. Mange virksomheder har allerede eksisterende værktøjer, der understøtter MDM. Hvis MDM er ønskeligt og relevant, skal der først dannes et overblik over omfanget af virksomhedens mobile aktivitet, hvilket danner grundlag for at anskaffe den rette MDM-applikation. Ud over basale spørgsmål om håndtering af , dokumenter, rapportering osv. er følgende fem spørgsmål gode at stille, når I vurderer en MDM-applikation: 1. Er der forskel på, hvilke data man må tilgå, alt efter hvor man befinder sig? 2. Kan man adskille virksomhedsdata fra personlige data på enheden? 3. Kan man låse/slette virksomhedsdata via fjernbetjening? 4. Hvilke krypteringsmetoder og -protokoller gør applikationen brug af? 5. Kan I skalere og opdatere løsningen i takt med den tempofyldte udvikling af nye hardware- og softwareløsninger på det mobile område? Politik Angiver retningen Skal skabe medejerskab og involvering Spreder ansvaret Teknikken findes og er afprøvet Kan I bruge eksisterende værktøjer? MDM kan være en god støtte til driften Teknik BYOD Aftaler Involvering Tydelighed Engagement og seriøsitet

9 Whitepaper side 9 BYO EVERYTHING Den måde, vi arbejder på, forandrer sig. Det gælder ikke kun unge mennesker. Det gælder alle typer, aldersgrupper, niveauer og generationer. Udviklingen inden for mobilitet sætter nye regler for forretningsdrift. Det er allerede i dag vanskeligt for os at forestille os ikke at være udstyret med en eller flere mobile enheder som fundamentale arbejdsredskaber, men der er mere på vej. Der ser ud til at dukke et nyt netværksforbundet instrument op dagligt i disse år, og vi vil snart opleve, at mange af disse nye instrumenter, enheder og redskaber vil spille en lige så naturlig og fundamental rolle, som vores smartphone eller tablet gør i dag. The Internet of Things åbner for uanede muligheder og store potentialer for at revolutionere forretningsprocesser, men det åbner samtidig for en masse nye udfordringer og sikkerhedstrusler. Virksomheden skal forholde sig aktivt til disse muligheder og udfordringer, og det skal hellere ske i dag end i morgen. Implementering af en solid BYOD-platform kan være en glimrende start på processen med at forberede sig til fremtidens hyperforbundne verden. Det er samtidig en gylden mulighed for, at it-afdelinger kan understrege deres forretningsmæssige værdi. Den mobile revolution giver dem en unik chance for at komme ud af skyggetilværelsen i teknikrummet og spille en central rolle for forretningsstrategien. OM FORFATTEREN Kim Møller Jensen er direktør for EG Infrastructure. Han har læst it og økonomi på Syddansk Universitet, har en diplomuddannelse i ledelse og har gennemført Executive Management Programme på INSEAD. Kim har tidligere været CIO i flere danske virksomheder både dengang og nu med et mantra om, at it-afdelingerne skal transformere sig selv fra it-nørder til business enablers, der udnytter teknologiens muligheder.