Har du overvejet at tillade medarbejderne at bruge private mobile enheder i din virksomhed?
Bring Your Own Device (BYOD) er blevet begrebet, der dækker den strategi og de tanker, man bør gøre sig i en tid, hvor flere og flere IT-brugere tager deres egne enheder med, hvor vi alle er blevet mere mobile, og hvor arbejdspladsen eller studiepladsen ikke længere er lænket fast til et skrivebord. BYOD er en stigende tendens som bliver talt om og diskuteret på alle niveauer både inden for og uden for virksomhederne –ja helt op til bestyrelseslokalet. Mange organisationer er påvirket af denne BYOD-trend, og der er mange aspekter at overveje.
Her fremhæves nogle af de fordele og ulemper ud fra et forretningsmæssigt synspunkt, samt de sikkerhedsmæssige aspekter denne tendens indebærer.
Fordele ved BYOD:
Produktivitet:
Ideen bag BYOD er, at medarbejderne kan få adgang til virksomhedens informationer, når og hvor som helst fra deres private mobile enheder. Dette vil naturligvis tilskynde til en øget produktivitet. Hvis medarbejderen for eksempel har adgang til arbejdets infrastruktur, vil de ofte falde for fristelsen til at undersøge, om der er kommet nye e-mails, eller blot reagere hurtigere på e-mails.
Praktisk:
I stedet for at skulle håndtere to mobile enheder (firma- og personlig enhed), kan medarbejderne nøjes med én enhed. Det er ofte meget belejligt for den ansatte at udføre alle deres daglige opgaver, både personlige og arbejdsrelaterede fra den samme enhed.
Positivt for medarbejdere
På et konkurrencepræget marked, er det ikke bare lønsedlen, der betyder noget. Både små og store fordele kan tiltrække gode medarbejdere. Virksomheder, der gør det muligt for medarbejderne at medbringe deres egne ”værktøjer”, kan holde på de ansatte længere.
Omkostningsbesparelser:
I stedet for, at virksomheden skal betale for en ekstra enhed, og ofte en service- / support-kontrakt, vil omkostningerne ligge hos medarbejderne. Virksomheden kan derefter frit vælge, om de ønsker at betale for en sådan tjeneste og brug. Uanset hvad, giver en BYOD-løsning en besparelse på virksomhedernes udgifter til udstyr.
Fordelene er mange, men der er også andre elementer, der skal overvejes i virksomheden. For det første kan der ikke tilføres nye enheder til virksomhedens netværk , uden at der er en reel risiko. En risikovurdering bør indeholde følgende:
1. Identificere associerede BYOD-risici, der gælder for din organisation
2. Udvikle en strategi for at mindske eventuelle identificerede risici
3. Afgøre om de identificerede risici er nogle, du er villig til at acceptere
Ulemper ved BYOD?
BYOD kan i mange virksomheder direkte oversættes til “Bring Your Own Disaster”.
Selv om mange virksomheder vil drage stor nytte af fordelene ved brugerdreven og selvbestemt valg af mobile enheder – der er et lille antal brugere uden for teknologivirksomheder, vil være i stand til at administrere og vedligeholde sin enhed, eller mere kritisk, lave en sikkerhedsrisiko før købet. Den offentlige sektor vil fortsætte med at vise varians, hvor brugerne er mange og alternative enheder på netværket i overensstemmelse hermed.
Med begrænset eller ingen evne til at administrere og vedligeholde de forskellige enheder – de mange generationer af hardware og / eller software – vil være en næsten umulig opgave for en centraliseret it-afdeling. Endnu vigtigere er, om brugerne selv vil være i stand til at håndtere dette og hvem der er ansvarlig for driften (SNA?)?
En risikovurdering skal identificere de områder af miljøet, der kræver ekstra opmærksomhed, når du diskuterer BYOD. Her er nogle af de punkter, der bør overvejes:
1. Hvilken software skal du bruge?
Fra et sikkerhedsmæssigt synspunkt er eksekveringen af uhensigtsmæssige programmer ekstremt vigtigt – både på server-og brugerniveau.
2. Hvilke ressourcer vil du give adgang til?
Vil du give adgang til kalendere, kontakter og e-mail? har medarbejderne ikke også adgang til kundeinformationer?
3. Ønsker du at skelne mellem mobil adgang og hvad?
Når du har klassificeret de forskellige typer af data, som man giver mobil adgang til, vil du så adskille data fra resten af virksomhedens ressourcer og begrænse unødvendig eksponering? Vil information kun være tilgængelig via en sikker side. Har du et “in-house” eller et tredjepart-program, der kan give adgang?
4. Hvordan vil du levere data til mobile enheder?
Som nævnt tidligere, er valget af en sikker leveringsmetode kritisk. Uanset hvilken metode du vælger, er det vigtigt, at leverings-processen omfatter kryptering af data, både på enheden, på serveren og i forbindelsesfasen. En løsning er at installere et program på din smartphone eller tablet, som sikrer krypteret forbindelse til virksomhedens servere.
5. Hvem er ansvarlig for enhederne?
Et punkt, der er let at glemme, er at overveje, hvem der er ansvarlig for udstyret. Hvis brugerne bruger deres egen enhed til arbejde, og der sker noget med den , hvem er så ansvarlig for udgifterne til reparation eller udskiftning af den?
6. Databeskyttelse på de tabte enheder.
Hvordan vil du sikre beskyttelsen af virksomhedernes oplysninger på enheden, hvis den bliver tabt eller stjålet? Nogle virksomheder har en plan, der giver dem mulighed for at udføre en fjernsletning af enheden, så snart de opdager eller underrettes om en tabt eller stjålet enhed. Begrænsningerne af en sådan fjernsletning vises, hvis enheden løber tør for batteri eller ikke modtager (?) signaler. Hvis tyven fjerner SIM-kortet eller sætter enheden i “flytilstand”, vil fjernsletning være temmelig ubrugelig.
7. Hvilke enheder vil du supportere?
En af de største sikkerhedsrisici ved at lade ansatte bruge deres egne enheder, er, at det er næsten umuligt for it-afdelingen at holde styr på alle de enheder og mobile platforme, der er tilgængelige på markedet i dag. Det betyder, at håndtering af f.eks. opdateringer af antivirus-software på mobile enheder er svært – ud over at yde support på enhederne.
8. Ejendomsretten til data og retningslinjer.
Selv om virksomheden beslutter at indføre BYOD, er der ingen garanti for, at brugerne forstår ansvaret. Det er det selskab, der ejer data i enheden, der er forpligtet til at have en vis kontrol over dets anvendelse. Hvis en medarbejder forlader virksomheden, vil det være naturligt, at virksomheden er i gang med en revision af enheden og fjerner information relateret til forretningen. Det samme gælder, hvis en enhed rapporteres tabt eller stålet. Det er vigtigt at definere sikkerhedspolitikker og retningslinjer for anvendelse og forvaltning af perifere enheder. Vær sikker på at få loven på din side, for at sikre, at virksomheds-relaterede oplysninger ikke falder i de forkerte hænder. Sørg for, at medarbejderne er bekendt med reglerne, har læst, forstået og underskrevet relevante dokumenter.
9. Kontrol af de enheder, oprette forbindelse til netværket.
BYOD bør ikke betragtes som om, det er “oplagt” for alle. Der skal være visse regler, procedurer og kontroller for at sikre de enheder, der kan og skal oprette forbindelse til virksomheden.
Skønt man ikke lige frem kan sige, at private ejet smartphone længere er nye i de danske virksomheder, medfører den stigende anvendelse af dem en række udfordringer i gråzonen mellem private og arbejdsmæssige fora.
