Index A-Z
Nyhetsbrev
RSSKonceptet ”bring your own device” började bre ut sig på riktigt med lanseringen av iPad-en. Det är väldigt intressant att analysera varför just denna pryl blev så revolutionerande för (framför alt) män i ledande ställningar, men något som alla kan enas om är att Paddan skapade fruktansvärd huvudvärk för IT-enheter över hela världen.
Mycket har sagts kring varför egna surfplattor och smarta telefoner är ett hot för organisationens säkerhet och mycket av detta är ganska uppenbart. På sina håll lyckades IT-avdelningar få någorlunda koll på den nya fetischismen genom att konfigurera/säkra enheter som organisationen köpt in åt användarna. Problemet med denna lösning är att det inte är det användarna vill ha. Användarna vill använda samma pryl för privata och jobbrelaterade ändamål. Däri ligger problemet – hur säkrar man företagsdata på en enhet som är så osäker som den bara kan bli?
Jag önskar att jag hade svaret på denna fråga, men jag tror mig i alla fall ha hittat några av principerna. <disclaimer>Jag hävdar inte att jag har kommit på dessa koncept själv utan det här är de olika principerna som jag läst mig till som jag tror kan få en BYOD implementering att funka</disclaimer>
Det första och kanske mest uppenbara är att man måste skapa en säker miljö och utrymme på enheten. Detta kan lämpligen skapas genom en app som självfallet krypterar allt som den lagrar på enheten. Den ska också använda en sandlådeprincip där den försöker hålla sig borta från operativsystemet så mycket som möjligt. Ett eget interface (färgkoder, inloggningsfönster som dyker upp på olika ställen vid varje inloggning, osv) för inloggning kan, t.ex. komma en lång väg för att ”lura” vanliga key-loggers. Appen ska casha så lite som möjligt på själva enheten och istället jobba mot företagsinfrastrukturen. Uppkopplingen måste självklart ske på ett säkert sätt.
Och då har vi kommit fram till den nästa svåra biten. En av anledningarna varför folk vill använda sina privata prylar för jobbändamål är att de har ett busenkelt användargränssnitt. Om appens användargränssnitt inte håller samma nivå av användarvänlighet som de inbyggda funktionerna på enheten kommer ingen att använda den och då är vi tillbaka till ruta ett – användaren kommer att hitta alternativa lösningar för att komma åt företagsdata. Det är just därför virtualiseringslösningar inte funkar för t.ex. surfplattor. De erbjuder jättebra säkerhet, men att använda ett skrivbordsgränssnitt anpassat för datormöss som interface till pekplattor är hopplöst. Särskilt för användare som vill ha surfplattor just för att de är så enkla att använda.
Lösningen är därmed ett användarvänligt gränssnitt. En användarvänlig mail-klient, kalender, adressbok, dokumenthanterare osv (och självfallet, vid behov gränssnitt till andra företagsprogram). Poängen är att användarna vill ha surfplattor/smart mobiler för att de är enkla och smidiga. Om de hade varit ute efter säkerhet hade de valt andra lösningar. Slutsatsen är att säkra men oanvändbara appar/lösningar kommer att förbli oanvända.
Den tredje principen som organisationer bör börja använda är informationsklassificering. Det finns massor av olika modeller för hur organisationer kan gå igenom och klassificera sina tillgångar i form av data och information. Om organisationen går igenom en sådan process så blir det väldigt mycket enklare att skapa grupper och policys och styra tekniskt vilken typ av data som får användas var.
Det kräver engagemang från ledningen, beslut, planering, tid och resurser men om ledningen verkligen vill kunna använda sina privata handhållna prylar så går det faktiskt att fixa till det. Fördelen är också att har man väl gjort en informationsklassificering kan det visa sig att organisationen kan uppnå lämplig säkerhet genom vissa ganska enkla restriktioner och inte alls behöver en den säkra appen jag nämnde tidigare. Till exempel, det kan vara helt OK att synka kalenderns rubriker och adressboken med alla typer av privata mobila enheter. Det kanske också är OK att synka rubrikerna i e-posten till de anställdas privata telefoner/surfplattor/datorer. Har man ett system för att klassificera dokument kan man också fixa till det så att vissa dokument kan nås från privata enheter och andra inte. Organisationer med högre säkerhetsbehov kan kombinera detta med den säkra appen jag pratade om. Så att när användaren ser att han/hon fått mailet han/hon väntat på i den gemensamma/publika mailboxen i telefonen kan han/hon logga in i den säkra appen och läsa hela mailet.
Att genomföra informationsklassificering på en organisation är ingen lätt sak att göra och jag har fortfarande inte sätt någon app som har funktionerna jag nämnde. Men nu har principerna kring hur man kan implementera BYOD i en organisation börjat klarna, i alla fall i min lilla hjärna.
Jag vill introducera ett nytt begrepp… BYOG – Bring Your Own Grandmother… eller BYOWR – Bring Your Own Wireless Router… Helt plötsligt står sig alla policies, inritkningsbeslut, etc. helt slätt. Man står handfallna och är helt tomma på argument bara för att en ny device dykt upp på marknaden. ”Hur ska vi göra? Vi kan inte stoppa dem?” etc. etc. Varför denna handfallenhet när man i åratal lyckats standardisera hårt på PC, tunna klienter, eller vad det nu kan vara och utan stora problem fjärmat sig kraftfullt från att Mac ens får visas på bild på jobbet och mjukvarufloran lagts under hård granskning och rensning på löpande basis. Återigen… varför står man helt plötsligt som en försvarslös kanin utan motargument och lägger sig utan motstånd på rygg på golvet? Amazing, för att ta engelska till hjälp. OK, om det fanns genomtänkta appar som jackade in i verksamhetssystem med en genomtänkt utvecklings- och säkerhetsmodell i botten, men det tänket skulle förvåna mig om någon app-utvecklare idag har i bakhuvudet och än mindre i kravspecen när en flashig app tas fram. Jag vet inte ens om ramverken för de utvecklingsmetoder som finns tillgängliga adresserar detta på ett helt tillfredsställande sätt. De har fullt upp att rätta och utveckla befintliga verksamhetskritiska system. Därtill, den som har den minsta ambition att sälla sig till kvalitetsstandards (främst informationssäkerhet) som redan tidigare hade huvudbry kring att forma om organisation, system och arbetssätt för att kunna möta kraven kommer numera även ha tortyr-lika mardrömmar och gråta blod. ”Som om det inte redan var ett h-vete och nu detta!” Likaså de som ansvarar för IT-säkerhet. ”Jaaa, vi öppnar upp för en total lekstuga som är som ett julbord för alla som vill nå företaget med orent mjöl i påsen!!” Så… åter till mormor igen… varför kan vi inte ta med mormor och låta henne jobba på firman utan anställningskontrakt, det funkar ju lika bra, eller hur? Vi gör en liten justering i personalpolicyn och sedan är saken biff! Enkelt, visst?! Eller… kanske inte… Think twice! Krocktesta innan bilarna släpps ut på vägarna inte på vägen bland andra trafikanter… Släpp inte efter därför en ledande chef eller styrelseledamot vill ha en leksak och visa på att de minsann ”har det senaste” + att de kan sticka devicen i näven på ungarna när de blir för bråkiga någon regnig dag i sommarstugan. Visst, sådana här enheter och de användningsområden som de erbjuder ska tas till vara. Likaså de anställdas kreativitet och möjlighet att se nya vägar att hantera saker och ting på firman, MEN… det ska göras på ett strukturerat och kontrollerat samt kvalitetssäkrat sätt. Det är få andra vitala delar i en verksamhet som lämnas åt slumpen i en organisation och detta ska inte vara ett avsteg från detta. Ta en TREO, sov några timmar så att ruset går över, ta bakfyllan och ångesten och börja se nyktert på det hela…
Jonas, om du läser mitt inlägg igen inser du att det inte handlar om en diskussion huruvida det är motiverat att införa den senaste teknikhajpen på företag eller inte. Utan det handlar om att om vad som skulle krävas principiellt för att göra surfplattor säkra.
För att svara på din kommentar – jag håller principiellt med dig. Jag tror ljuset i tunneln består utav att man rent juridiskt börjar hålla CEO-er ansvariga även för säkerheten och informationssäkerheten på företag. I alla fall så tror jag att det är så för börsnoterade företag i USA. I Europa kommer trenden med incidentrapportering att leda till ökat krav på säkerhetsinsyn bland chefer. Efter den första VDn blir uthängd i media för att lösenorden på hans stulna (och olåsta) iPad användes för att hacka företaget och 100,000 kunders personuppgifter så kommer kanske de andra att börja tänka efter.
Men nyckelfrågan är ansvar. Behöver man inte ansvara för säkerheten så är det klart att man vill ha mail i vpn uppkoppling i mobilen som inte ens är skyddat med skärmlås.
BYOD handlar inte bara om surfplattor och smarta mobiler. Det handlar också om utvecklingsmiljöer.
De allra flesta utvecklare jag känner har kraftfullare eller mycket kraftfullare arbetsverktyg hemma än på jobbet. Orsaken verkar vara att många arbetsgivare lever kvar i att en bra dator är en leksak. Lite som att säga till en snickare att han/hon bara vill ha en bra hammare för att leka. ”Du får spika med en träsko på jobbet.”
Frågan är då hur vi får in utvecklarnas privata muskelmaskiner på arbetsplatserna? Snacka om besparing. Effektivare projekt och gladare medarbetare genom att köpa mindre utrustning.