Bring your own device-dilemmaet: Sikkerhed vs. medarbejdertilfredshed

Hvis man vil tiltrække de bedste medarbejdere, må man hoppe med på 'bring your own device'-bølgen. Det mener Lars Hillerup, som er sikkerhedskonsulent i Region Midtjylland.

'Bring your own device' er navnet på tendensen, hvor medarbejderne tager deres egne foretrukne enheder, såsom laptops, tablets og telefoner, med på arbejdet for at udføre jobbet på favorit-enheden.

»En anden ting er, hvad virksomheden får ud af det. Den helt store faktor ligger i, at medarbejderne har en stor frihedsgrad og tilfredshed i forhold til, hvad de ønsker at bruge,« siger Lars Hillerup.

Lige nu handler problematikken mest om mobiltelefoner og til en vis grad tablets. Men princippet gælder også pc'er. Det er ikke rigtigt kommet til Danmark endnu, men tendensen ligger lige forude.

»Når vi begynder at tage fat på tablets i forbindelse med behandling på hospitaler, tror jeg, at 80 procent af vores medarbejdere vil rende rundt med en tablet i lommen. I visse arbejdsfunktioner bliver det måske en erstatning for pc'er,« siger Lars Hillerup.

Og mange af de enheder kunne sagtens være medarbejdernes egne, som de har taget med hjemmefra:

»Det kunne være naturligt, at en kontormedarbejder medbringer sit værktøj ligesom en håndværker på byggepladsen.«

E-mailpolitik skal overvejes

Det vil kræve omlægninger, formentlig til virtualiserede arbejdspladser, for at skabe en fornuftig sikkerhedsplatform. Lige nu handler det om de populære mobile enheder såsom iPhone.

»Spørgsmålet er, hvor mange forskellige typer enheder virksomheden skal godkende og understøtte. Hvad er medarbejdernes behov? Det er typisk at få kalender og adressebog synkroniseret, og det ser jeg ikke nogen sikkerhedsmæssig fare i,« siger Lars Hillerup.

Men det bliver lidt mere vanskeligt, når e-mails, som kan indeholde fortrolige, kritiske oplysninger, kommer ind i billedet. Det skal overvejes, hvilken e-mail-politik virksomheden ønsker at have, og hvordan privat og virksomhedskorrespondance adskilles.

På den juridiske side er der også spørgsmål om abonnementet: Hvem har ansvaret, hvis abonnementet løber løbsk?

»Vi har set nogle grimme eksempler på fejlbrug i udlandet eller personer, der har kørt rundt i grænseområdet, hvor de ikke har været klar over, at de har været på udenlandske master.«

Det kan ende med en regning på 15.000 kroner på et enkelt døgn på grund af datasynkronisering.

»Så der er også et uddannelsesmæssigt aspekt ved at indføre 'bring your own device' i en virksomhed. Hos os er 'bring your own device' en frivillig ordning, hvor medarbejderen skal tiltræde en tilslutningserklæring. Hvis man ikke er enig i vilkårene, så kan man sige nej til at bruge sin egen enhed.«

Regler skal der til

Det er helt centralt at se på regler for anvendelsen, mener Jacob Herbst fra sikkerhedsvirksomheden Dubex:

»Grundlæggende skal man lave politikker og retningslinjer på en struktureret måde og få fortalt medarbejderne, hvad de må. Når folk kommer slæbende med alt muligt udstyr, er man i en situation, hvor man ikke ønsker, at de har adgang til alle servere og systemer.«

Det kan løses ved at skabe et område på virksomhedens trådløse netværk til medarbejdernes enheder, hvor det sikres, at andre holdes ude fra netværket. Det kan også betyde, at netværket skal opdateres til større kapacitet. Et andet problem er suspekte apps, som medarbejderne kan downloade.

»Som virksomhed må man spørge sig selv: Hvordan håndterer vi, at denne enhed kan bruges af alle mulige andre end medarbejderen?« siger Jacob Herbst.

Data er ikke bare data

Eksterne datatjenester som Dropbox og Skydrive betyder også, at data kan ende uden for virksomheden. Der er grundlæggende to måder at løse problemet på: Enten kan man helt undgå, at data downloades via virtuelle desktops, eller man kan beskytte data på enhederne. Hvis e-mails og kontakter synkroniseres, kan virksomheden sikre sig retten og muligheden for via fjernkontrol at slette data på enheden, for eksempel i forbindelse med tyveri eller jobskifte. Man kan også benytte en slags bankboks-app på enheden, hvor virksomhedens data er beskyttet med kryptering.

Michael Skovsgaard fra it-virksomheden C2IT peger i den forbindelse på, at nogle data er mere følsomme end andre:

»Hvilke data er det, virksomheden har, og hvor kritiske er de? Er der data, vi har brug for at beskytte ekstra meget, og er der data, vi slet ikke har brug for at beskytte?«

Det handler om at identificere, hvilke systemer der kræver beskyttelse.

»Mange tager i dag deres iPhone med på arbejde og finder selv ud af, hvordan de kan synkronisere med arbejdspladsens mailserver. Så begynder data at flyde frem og tilbage til medarbejdernes egne enheder. Og hvordan beskytter man så det? Man skal forholde sig til, om man skal tillade det, og hvis man tillader det, skal man sikre sig, at man kan slette data, hvis enheden eksempelvis bliver stjålet,« siger Michael Skovsgaard.

Det skal være klart for medarbejderne, hvad de går ind til, hvis de vælger at bruge deres egen enhed.

Den anden del af problemstillingen handler om at finde tekniske løsninger som for eksempel 'mobile device management', der benyttes til at styre og identificere medarbejdernes enheder. Et andet aspekt er den indbyggede sikkerhed på enheden. Kan enheden krypteres eller wipes, hvor alle data kan slettes via fjernkontrol i forbindelse med tyveri? Kan enheden holdes opdateret, og kan data backes up? Kan medarbejderne pålægges at holde deres enheder opdateret, for eksempel via personalepolitikker?

»Det er kendt, at man i iPhones iOS 4 ret nemt kunne udlæse kodeord i klartekst. Det skulle være bedre i version 5,« fortæller Lars Hillerup fra Region Midtjylland.

Support på de ansattes enheder

På den tidligere Android-version 2.2, som findes på mange smartphones, virker krypteringen slet ikke. Samtidig kan opdatering være en bøvlet affære på mange telefoner.

»Jeg er ikke sikker på, at jeg ville skrive en vejledning til en almindelig bruger om, hvordan kryptering og alt muligt andet virker. Det er de spørgsmål, virksomheden er nødt til at stille sig selv: Vil du yde support til dine medarbejdere på deres egne enheder, eller er det medarbejderens eget ansvar? Vil du indføre en containerløsning, som beskytter og indkapsler virksomhedens data, og være ligeglad med, om telefonen er usikker?«

Når man opsummerer alle forholdene, er det ikke økonomien, der driver tendensen frem, men medarbejdertilfredsheden. Virksomhedens helt store gevinst er, at medarbejderne er i kontakt med e-mails og anden kommunikation alle steder og på alle tidspunkter. Ulempen er, at sikkerheden på enhederne endnu ikke er helt i top, så indtil videre må virksomhederne tage stilling til den indbyggede risiko.