Trådløst netværk er kommet for at blive. Selvom man kan ønske sig tilbage til dengang, hvor virksomhedens it-sikkerhed var sikret med et kabel, er der nok alligevel ikke nogen, der ønsker de mobile enheder helt afskaffet fra arbejdspladsen.
I denne artikel zoomer vi ind på medarbejdernes smartphones, så du får et indblik i, hvordan din it-afdeling kan sikre jeres data på de små håndholdte supercomputere.
To risikotyper
For at forstå, hvordan du sikrer medarbejdernes mobiltelefoner, skal du kende de to risikotyper, der lurer bag skærmene.
- Kontrolrisikoen. Mobiltelefoner er i dag så avancerede, at de faktisk er at regne for supercomputere. Som bekendt kommer de ofte med store indbyggede harddiske med plads til rigtigt mange dokumenter og data. Dertil kan du lægge, at mange telefoner automatisk synkroniserer med skyen (f.eks. iCloud, som for få år siden led et kæmpe datalæk). Vi har altså ikke kontrol over, hvor vores data lagres.
- App-risikoen. Dine medarbejderes smartphones bruges også til private sager. Det kan være, at de vil installere en vin-app, eller at børnene selv får lov til at gå på jagt efter det nyeste spil i App Store. Problematikken er naturligvis, at de mange trejdeparts-apps ligger uden for din kontrol og kan udgøre en sikkerhedstrussel.
Som it-ansvarlig kan du dog lave foranstaltninger, som modarbejder disse sikkerhedsbrister.
Første skridt: Begrænsning
Første skridt er at beslutte, hvilke data og applikationer jeres medarbejdere skal have adgang til fra deres telefon. Skal det kun være e-mail, eller skal der også være adgang til CRM-systemet? Og hvad med databasen? Til at styre dette anbefaler vi, at bruge et såkaldt Mobile Device Management (MDM) system.
Balancen, som I bør sigte efter, ligger mellem, hvornår en begrænsning bliver unødvendigt irriterende for medarbejderen, og hvornår noget udgør en uacceptabel sikkerhedsrisiko.
Andet skridt: App-styring
App-risikoen er ikke ubetydelig. Og selvom mange tror, at Apples kontrol af App Store er sikkerhed nok i sig selv, er det desværre ikke tilfældet. Mest af alt fordi brugere ofte vil godkende alle adgangstilladelser, de forskellige apps spørger om, og altså være ukritisk over for, hvad der tillades.
Du kan komme omkring app-risikoen ved at lægge en begrænsning på virksomhedens mobile enheder. Simpelthen kun tillade telefonerne at hente applikationer fra jeres egen virksomheds app-portal. I kan altså lukke for muligheden for at hente offentlige apps.
Er dette jeres løsning, kræver det god kommunikation med medarbejderne, for at de vil acceptere de irritationer, den lukkede tilgang medfører.
Sidste skridt: Læring og opfølgning
Mange sikkerhedspolitikker ender desværre som skuffedokumenter. Alligevel er det faktisk vigtigt at have nedskrevne aftaler omkring brugen af mobile enheder og den sikkerhedsrisiko, det indebærer. Problemet er bare, at et skuffedokument ikke løser sikkerhedsproblemet.
For at få sikkerhedspolitikkerne til at leve i jeres organisation anbefaler vi, at I løbende involverer jeres medarbejdere i, hvordan man opretholder god smartphone-sikkerhed. Få medarbejderne til at byde ind med løsninger, så de også på den måde får en tilbundsgående forståelse for kompleksiteten.
Auditering forpligter
Vi anbefaler også, at I løbende auditerer jeres arbejdsprocesser, og hvordan smartphones og mobile enheder bruges i arbejdet. Auditering understreger vigtigheden over for medarbejderne og gør, at alle løbende holder sig opdateret – ingen har lyst til at dumpe en auditering.
Giv medarbejderne træning, følg op og gentag. Løbende sikkerhed klares ikke på en eftermiddags-workshop.
Så selvom du indimellem kan ønske dig tilbage til de simple dage uden mobile enheder, er der altså meget, du kan gøre, for at opretholde et stærkt virksomhedsforsvar. Og hvis du involverer medarbejdere fra hele jeres organisation, vil du også vinde accept af begrænsende løsninger.