Sådan sikrer du dig mod BYOD-problemer

Hvis du åbner for medarbejdernes egne enheder til firmabrug, skal du have styr på både sikkerheden og juraen. Her kan du få gode råd fra to eksperter.

En medarbejder får stjålet sin telefon, som var fyldt med fortrolige firmadata. Nu gælder det om at sikre, at tyven ikke får adgang til følsomme oplysninger - uanset om det er en telefon, som firmaet har udleveret, eller om den er privat og en del af en bring your own device-ordning (BYOD).

Men hvordan får man samme kontrol over en privat telefon, som man har over firma-hardwaren? Det kræver først og fremmest nogle klare aftaler med medarbejderne om, hvad de går ind til i med en bring your own device-aftale.

»Som sikkerhedsmand er man jo født paranoid, og så føles det som en dårlig idé med virksomhedens data ude på private devices. Men i dag har brugerne en tendens til selv at tage udstyr med og kan indføre BYOD, uden at man har tilladt det, så det gælder om at finde en løsning, så it-afdelingen får kontrol og bestemmer. Så er det bare vigtigt, at reglerne bliver bredt forankret i organisationen, med hjælp fra HR, så politikken bliver kendt og respekteret,« siger Jacob Herbst, teknisk chef i sikkerhedsfirmaet Dubex.

Læs også: USB-hukommelsesnøgle stadig langt farligere end mobiltelefon og tablet

De ansvarlige for it-sikkerheden må definere, hvilken grad af sikkerhed, der er brug for - og måske er BYOD slet ikke en god idé.

»Man skal se på, hvor høje sikkerhedskrav, man vil stille, og hvilke data man vil tillade på enhederne. Udfordringen er at finde den rigtige balance mellem virksomhedsbrug og privat brug. Medarbejderne vil stadig gerne kunne spille Candy Crush og låne en tablet ud til børnene. Så man må overveje, hvad risikoen er og lave en risikoanalyse. Måske er bring your own device slet ikke relevant. Hvis man er en højsikkerhedsorganisation, skal man ikke kaste sig over bring your own device,« siger Jacob Herbst.

Afhængigt af, hvor høje sikkerhedskravene er, og hvor mange data de mobile enheder skal have adgang til, skal man beslutte, hvordan telefoner og tablets rent teknisk bliver beskyttet. Skal it-afdelingen have reel kontrol, kræver det mulighed for at slette data på telefonen og sikre adgangsbeskyttelse med kodeord.

Den typiske løsning til firmaets egne telefoner er mobile device management, som it-folkene styrer. Det kan man så stille krav om også bliver brugt på private enheder til firmabrug.

»Du kan bruge device management, og der er mange indbyggede funktioner på telefonerne allerede, så du behøver ikke gå ud og købe noget nyt, hvis du bare vil kunne klare det mest væsentlige. Apple og Google understøtter for eksempel begge ActiveSync-protokollen,« fortæller Lars Neupart, direktør for sikkerhedsfirmaet Neupart.

En anden mulighed er at installere et sikkert miljø på medarbejdernes enheder, som effektivt afskærmer alle firmadata fra resten af telefonen eller tabletten. Så skal brugeren åbne en app for at logge ind i det lukkede miljø for eksempelvis at tjekke sin firma-mail.

Sådan en løsning giver mulighed for kontrollere virksomhedens data meget præcist, samtidigt med at resten af telefonen er under brugerens egen kontrol. Bliver telefonen stjålet, kan it-chefen for eksempel slette hele det fortrolige miljø, mens det er op til brugeren selv at håndtere resten, et såkaldt selektivt wipe. Men selvom der er høj sikkerhed og rene linjer, er der også ulemper.

»Jeg er ikke helt fan af den slags separate sandbox-løsninger, for det ødelægger lidt idéen i at bruge en smartphone, hvor der er gjort meget ud af at binde alting sammen. Det er sikkerhedsmæssigt godt, men brugervenligheden er ikke så god,« siger Lars Neupart.

Læs også: Netværk håndterer 20.000 studerende med egne enheder

Krav om at medarbejderne installere antivirus på deres telefoner og tablets er han heller ikke tilhænger af.

»Laver man en risikovurdering af malware på mobile devices, er risikoen ret lille. Vi har ikke set store malware-udbrud endnu, og det er mest ondsindede apps, som laver privacy-krænkelser, der har været problemer. Det altoverskyggende problem er, at de mobile device bliver stjålet eller tabt. Så den situation skal man være helt skarp på,« siger Lars Neupart.

Uanset hvor omfattende en teknisk sikring, man vælger, skal der bruges nogle kræfter på at få styr på politikken omkring det hele. For det er opskriften på ballade, hvis medarbejderne ikke er klar over, hvad it-folkene kan tilgå eller slette på telefonen.

»Du skal træffe nogle valg. Hvad sker der, hvis en medarbejder mister en privat telefon - skal medarbejderen give besked til it-afdelingen? Det vil man for eksempel nok gerne have,« siger Lars Neupart.

Det skal også være klart, hvilken brugerkonto medarbejderne skal logge på med, når de tager deres enhed i brug for første gang. Når den er købt privat - men som oftest med et tilskud fra firmaet - er det nærliggende at bruge sin private e-mailadresse, men det kan give problemer.

»Jeg vil anbefale, at man beslutter, at det skal være arbejds-e-mail, man anvender som brugerkonto. Så har man adgang til data i for eksempel iCloud, hvis medarbejderen skifter firma,« siger Lars Neupart.

Enheder fra Apple giver også mulighed for lokal backup til en computer, og det er måske heller ikke ønskeligt, hvis firmaets data på den måde ender på computere uden for firmaets kontrol, pointerer han.

Helt lavpraktisk skal man også klart definere, hvem der har ansvaret for at holde enheden kørende.

»Er det virksomhedens eller brugerens ansvar, hvis noget ikke fungerer? Hvem står for supporten. Det skal man også se på,« siger Jacob Herbst.

Mange andre problemstillinger er de samme som med firma-telefoner, men som måske bliver sværere at håndhæve på medbragte enheder, med mindre man ruller mobile device management ud. For eksempel at sikre et password af en vis kvalitet på telefonen. Afhængigt af sikkerhedsniveauet kan det være en fire-cifret kode eller et regulært password.

Brugerne er også blevet vant til at bruge Dropbox og lignende tjenester privat, så de er også hurtige til at smække Excel-ark og præsentationer ud i deres private sky, fordi det oftest er det mest fleksible. Uanset om det er medarbejderens medbragte telefon eller firma-hardware, er det også en situation, it-afdelingen skal tænke over og lave regler om.

»Nu taler man om ’bring your own cloud’, fordi medarbejderne bruger det, for at få det hele til at hænge sammen. Så er data uden for virksomhedens kontrol og kun beskyttet af et simpelt password. Hvis man vil forhindre brugerne i at lægge firmaets data i deres Dropbox, kan man kigge på container-løsninger, der spærrer data inde på telefonen,« siger Jacob Herbst.
Uanset hvad man ender med for en løsning i sidste ende, bør man i god tid tage diskussionen og gennemgå firmaets politik for mobile enheder. Ellers bliver man lynhurtigt overhalet inden om af virkeligheden, pointerer han.

»Brugerne har en tendens til bare at tage udstyr med og bruge det på arbejdet. Hvis man ikke har en helt klar politik om det, kan de hurtigt indføre BYOD, uden man egentligt har tilladt det. Den typiske situation, vi hører fra vores kunder, er at man åbner for mail-synkronisering, uden at gøre det klart, at det kun er firma-devices, som må sættes op til det. Så har man pludseligt hundredevis af private enheder, der synkroniserer fra Exchange-serveren. Det kan være, at man ender med at beslutte, at det er i orden - men det skal være en bevidst beslutning,« siger Jacob Herbst.

Spørgsmål, du skal finde svar på:

  • Hvilke af virksomhedens data må havne på enhederne?
  • Bliver disse data gemt andre steder, som lokal backup eller i skyen?
  • Hvilke private data kan virksomheden tilgå på enhederne? Hvad med juraen?
  • Skal it-afdelingen kunne slette alle data på telefonen? Hvordan?
  • Hvem har supportansvaret for medbragte enheder?
  • Hvad er konsekvenserne, hvis medarbejderen bryder reglerne?
  • Skal firmaet kunne inddrage en telefon, som er købt privat, men til dels betalt af firmaet?
  • Har it-afdelingen kontrol over firma-data, hvis medarbejderen siger op?
  • Er der bred opbakning til og bredt kendskab til politikken om BOYD?
  • Hvilke medarbejdere skal med i ordningen?

Kilde: Neupart og Dubex.

Denne artikel har været bragt i Version2 download-magasin Version2 Insight om DDOS angreb. Find dette og flere Insights og whitepapers her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Thomsen

Det er lidt kedeligt at alle tanker handler om kontrol, sikkerhed osv. Uden at tage reel stilling til grunden til at medarbejderne tager egne devices med. Der bliver kun snakket om at beskytte data, men på intet tidspunkt om at servicere de ansatte og sørge for at firmaets alternativt er lige så nemt og tilgængeligt som f.eks. Dropbox.

  • 2
  • 0
Helge Svendsen

Efter min erfaring, så er den aller aller største grund til, at folk har eget grej med netop "sikkerhedsafdelingen".

Man får udleveret udstyr, der er så begrænset i funktionalitet og fleksibilitet, at det stort set er ubrugeligt.

Derfor er man nogle gange bare nødt til at bruge sit eget udstyr, hvis man også skal have noget arbejde fra hånden.

  • 1
  • 1
Palle Simonsen

Et godt kompromis er Choose Your Own Device, hvor 1) brugerne får et reelt valg mellem de relevante økosystemer og 2) it-afdelingen kan stille nogle kvalitets / sikkerhedskrav til den device man anskaffer og udleverer.

Argumentet mod CYOD er ofte at vi (it) ikke vil/kan understøtte for mange forskellige devices. Dette argument holder dog sjældent vand. For det første er det stadig forvindende få virksomheder, der har andet end mail og kalender på de mobile enheder og for det andet er der flere udmærkede servicevirksomheder, der kan servicerer et heterogent klient miljø til samme økonomi og kvalitet som et homogent.

Hvis man skulle få brug for at udvikle egne apps er der frameworks der muliggør cross-platform udvikling, så man ikke (igen) binder sig til en bestemt platform. De fleste af disse frameworks er brugbare til interne apps og nogle ganske få også til apps, man vil sælge.

  • 0
  • 0
Jakob Dahl

Man får udleveret udstyr, der er så begrænset i funktionalitet og fleksibilitet, at det stort set er ubrugeligt.

Derfor er man nogle gange bare nødt til at bruge sit eget udstyr, hvis man også skal have noget arbejde fra hånden.

Det er sjældent sådan et sikkerhedsfolk går rundt og opfinder regler for at genere deres kolleger.
Som regel er det deres ansvar at udmønte ledelsens krav til sikkerhed i praksis. Ofte sker der endda det at de siger til ledelsen at man må skære ned på nogen ting for at undgå mytteri.
Dit argument er de facto at du er ret ligeglad med din ledelses krav til sikkerhed

  • 2
  • 2
Mogens Hansen

"Det er sjældent sådan et sikkerhedsfolk går rundt og opfinder regler for at genere deres kolleger."

Hmm sikkerhedsfolk vil næsten pr definitation genere deres kollegaer. Fordi de kun er ansvarlig for virksomhedens sikkerhed og ikke kollegaernes produktivitet.

  • 1
  • 2
Maciej Szeliga

Hmm sikkerhedsfolk vil næsten pr definitation genere deres kollegaer. Fordi de kun er ansvarlig for virksomhedens sikkerhed og ikke kollegaernes produktivitet.


Det er fuldkommen korrekt og det skyldes at virksomhedens sikkerhed er vigtigere end medarbejdernes produktivitet efter den simple regel at hvis fundamentet er råddent så vælter resten af huset.
Hvis din leders krav til dig gør at du må underminere virksomhedens sikkerhed så er der noget galt med kravene, ikke sikkerheden.

  • 3
  • 0
Michael Hansen

Her får folk valget mellem en lille let og handy bærbar, eller en mere kraftig og tungere bærbar med større skærm, eller hvis de ikke har behov for at tage den med rundt, en stationær.

Så folk får et valg, men ikke om hvad mærker og modeller etc. de kan vælge, køber ikke helt den med folk ikke kan arbejde på udleveret udstyr, ihvertfald ikke her, det er top of the line pc'ere folk får udleveret. (folk er ikke lokal administrator på pc'erne, men de er omvendt heller ikke overfyldt med en masse ligegyldige/langsomme GPOs, og folk har mulighed for at installere published applikationer selv.)

Men det meste bunder i, at vi ønsker at samtlige laptops skal være bitlocker krypteret (via TPM med key escrow til AD), samt login skal være med smartcard, plus diverse andre interne krav til pc'erne.

Det er det samme for mobiler, der er en top end Android, eller en iPhone, folk må gerne bruge deres egen private, men så må de acceptere at den skal følge samme guidelines som hvis det var en firma udleveret mobil (ret til at wipe etc).

Det kan lyde lidt kedeligt, men når vi er 6 personer i IT (2 supportere, og 4 af os sysadmins/driftfolk) til >1000 brugere bliver man simpelthen nødt til at standardisere så meget som muligt ([1]).

Vi har som sådan intet problem med folk tager deres eget udstyr med, de kommer dog ikke på vores internet netværk, men må køre det igennem de forskellige remote løsninger vi har.

Synes tit folk siger IT afdelingen er fjenden, men vi prøver da alt hvad vi kan for at gøre oplevelsen for brugerne så god som muligt inden for de grænser der nu er sat oppefra, et eksempel kan være Direct Access til VPN, så brugernes pc automatisk er på vores netværk uden for huset, bare der er internet.

Dropbox er også et kæmpe problem her, men det er delvist vores egen skyld, vi har været for langsomme med en løsning til deling af filer med eksterne folk, og nu har brugerne vænnet sig sig så meget til Dropbox, at selv alternativer der kan det samme bliver blankt afvist pga. det ikke er det officielle Dropbox.

[1] Vi bruger alm. F12 SCCM OS Deployment, så det er ikke pga. vi ikke kan tilføje drivere etc. til forskellige pc'ere, vi har simpelthen ikke tiden til at supportere og teste mere end en håndfuld modeller.

Og ved at holde os til nogle få modeller har vi netop mulighed for at gennemteste det hele, så bruger oplevelsen bliver det bedre, et simpelt eksempel kunne være automatisk deaktivering af wifi når en pc bliver dock'et (sat via bios config der bliver pushed ud).

  • 3
  • 0
Brian Hansen

Lyder alt sammen meget bekendt :)
Men det er vel ikke op til jeres brugere at bestemme hvorvidt Dropbox er go eller no-go, hvis I har et alternativ der kan det samme? Det må være op til IT afdelingen og de respektive ledere af de forskellige afdelinger?

  • 0
  • 0
Thomas Hedberg

....men de er omvendt heller ikke overfyldt med en masse ligegyldige/langsomme GPOs"

Hvorfor mener du GPO'er er langsomme og har du konkrete eksempler der ikke skyldes fejlkonfiguration?

Hvordan løser I så at indstille settings på en ensartet måde ligeså nemt (og hurtigere)?

  • 0
  • 0
Michael Hansen

Hvorfor mener du GPO'er er langsomme og har du konkrete eksempler der ikke skyldes fejlkonfiguration?

Mente ikke at GPO's per definition er langsomme, men har været flere steder hvor man ikke overholder best practices hvad GPOs angår, så login ender med at tage flere minutter, der er mange ting man kan optimere, der er flere sessions fra TechEd om det:
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2014

WMI filters er generelt en dårlig ide, det kan hurtig sløve ting ned f.eks, men der er mange flere ting man skal være opmærksom på, printer mapping / folder redirection kan også hurtigt give slow downs hvis det ikke er gjort korrekt.

Men det er vel ikke op til jeres brugere at bestemme hvorvidt Dropbox er go eller no-go, hvis I har et alternativ der kan det samme? Det må være op til IT afdelingen og de respektive ledere af de forskellige afdelinger?


Det er der problemer er, det er lidt en hot potato, når halvdelen af mgmt mener en ting, og den anden noget andet, så det er uden for vores bord :)

  • 0
  • 0
Brian Hansen

Det er der problemer er, det er lidt en hot potato, når halvdelen af mgmt mener en ting, og den anden noget andet, så det er uden for vores bord :)


Tell me about it :) Når vi står i den situation, laver vi en kort powerpoint med hvorfor vi død og kritte skal væk fra produkt X / anskaffe produkt Y. Hvis I med fordel kan vende og dreje det på en måde så der enten er penge at spare, eller forklare på en måde så management kan forstå at det er et gigantisk sikkerheds hul, så plejer der er være gevinst. Jeg har normalt ikke de store udfordringer med at få bevilliget midler til noget, bare man har noget sagligt eller forretnings mæssigt vigtigt at bakke det op med.

  • 0
  • 0
Claus Jacobsen

Det er ikke et problem. Problemet er at IT-afdelingen ikke kan sætte ord på værdien af forandringen. Derved får man problemer med divergerende holdninger i ledelsen. Owncloud er så absolut ikke Enterprise ready. Der er godt nok stadig mange bugs i, men der er rigtigt mange enterpriseløsninger på markedet hvor man selv styrer data. Rushfiles (dansk) vmware horizon suiten har det indbygget. Citrix sharefile. MS Sharepoint workfolder. for bare at nævne nogle stykker som alle kan styres af IT-afdelingen og som giver mening i den strategi som virksomheden nu har lagt omkring deling af viden/filer/kollaboration, og som vil kunne tilfredsstille de muligheder omkring datasikkerhed som man efterhånden er nødt til at bygge ind i sine strategier også.

BYOD startede ikke som et oprør mod IT-afdelingen overhovedet BYOD startede som fryns for ledelsen som stille og roligt kravler ned gennem rækkerne. Og den udfordring at IT-afdelingerne desværre ofte glemmer at de skal levere en service overfor resten af virksomheden. Hvis de skal bidrage til noget som helst i virksomheden og vil være andet end "en udgift" i CFO'en øjne, så er de nødt til at bidrage med kontante besparelser. Men det er pisse svært for dem hvis de ikke er ude omkring brugerne og finder ud af hvad det er de har brug for.

BYOD er ene og alene et Gartner budskab for at retfærdiggøre ledelsens fryns. Der skal jo være en fordel ved at være direktør. Men modsat resten af virksomheden så SKAL IT-afdelingen understøtte direktionens IT, mens alle andre står uden support. Den positive effekt som budskabet har medført er selvfølgelig at blandt andet supporten nu også siver ned i rækkerne, men det har også medført en hulens masse tanker om hvordan man rent faktisk laver deployment og administration af et heterogent IT-miljø på langt mere intelligent vis.

I en virksomhed er BYOD egentlig død. (man vil ALTID have folk bringer nye værktøjer ind. Det er faktisk sådan man udvikler sig som virksomhed - det er ikke på "eksisterende" værktøjer) Men tankerne om at verden ikke er ensartet og at forskellige opgaver har brug for forskellige værktøjer vil bestå. Derfor er CYOD også en langt bedre løsning. Og IT-afdelingen kan få lov at styre tingene både administrativt og sikkerhedsmæssigt. Men det kræver at IT-afdelingerne hele tiden kravler forrest når det kommer til udvikling af værktøjer. Gør de det, så bidrager de også med rigtigt meget til virksomhedens udvikling og Ledelserne vil have langt lettere ved at investere i de værktøjer. Men er man en 100% reaktiv organisation, så vil de aldrig blive andet end "en udgift" for virksomheden. - Man vælger selv!! både på den ene og den anden måde. Men jeg er også godt klar over at det er ENORMT svært at få lov at være proaktiv altid. Den slags kræver overskud og ressourcer. Og det er så absolut ikke altid der er nogen ledige i en travl hverdag hvor der er skåret helt ind til benet.

  • 0
  • 0
Gert Madsen

Det er sjældent sådan et sikkerhedsfolk går rundt og opfinder regler for at genere deres kolleger.


Det er sjældent at brugerne omgår reglerne for at stjæle fra firmaet.

Desværre ser man ofte at når organisationer begynder at have seperate sikkerhedsfolk, så forsvinder hjælpsomheden.

Hvis man har behov for at udveksle filer med kunder/samarbejdspartnere, (og det har de fleste) så er det bedre at der peges på en god/rigtig måde at gøre det på, i stedet for at der bare stikkes forbud ud.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize