Konceptet ”bring your own device” började bre ut sig på riktigt med lanseringen av iPad-en. Det är väldigt intressant att analysera varför just denna pryl blev så revolutionerande för (framför alt) män i ledande ställningar, men något som alla kan enas om är att Paddan skapade fruktansvärd huvudvärk för IT-enheter över hela världen.
Mycket har sagts kring varför egna surfplattor och smarta telefoner är ett hot för organisationens säkerhet och mycket av detta är ganska uppenbart. På sina håll lyckades IT-avdelningar få någorlunda koll på den nya fetischismen genom att konfigurera/säkra enheter som organisationen köpt in åt användarna. Problemet med denna lösning är att det inte är det användarna vill ha. Användarna vill använda samma pryl för privata och jobbrelaterade ändamål. Däri ligger problemet – hur säkrar man företagsdata på en enhet som är så osäker som den bara kan bli?
Jag önskar att jag hade svaret på denna fråga, men jag tror mig i alla fall ha hittat några av principerna. <disclaimer>Jag hävdar inte att jag har kommit på dessa koncept själv utan det här är de olika principerna som jag läst mig till som jag tror kan få en BYOD implementering att funka</disclaimer>
Det första och kanske mest uppenbara är att man måste skapa en säker miljö och utrymme på enheten. Detta kan lämpligen skapas genom en app som självfallet krypterar allt som den lagrar på enheten. Den ska också använda en sandlådeprincip där den försöker hålla sig borta från operativsystemet så mycket som möjligt. Ett eget interface (färgkoder, inloggningsfönster som dyker upp på olika ställen vid varje inloggning, osv) för inloggning kan, t.ex. komma en lång väg för att ”lura” vanliga key-loggers. Appen ska casha så lite som möjligt på själva enheten och istället jobba mot företagsinfrastrukturen. Uppkopplingen måste självklart ske på ett säkert sätt.
Och då har vi kommit fram till den nästa svåra biten. En av anledningarna varför folk vill använda sina privata prylar för jobbändamål är att de har ett busenkelt användargränssnitt. Om appens användargränssnitt inte håller samma nivå av användarvänlighet som de inbyggda funktionerna på enheten kommer ingen att använda den och då är vi tillbaka till ruta ett – användaren kommer att hitta alternativa lösningar för att komma åt företagsdata. Det är just därför virtualiseringslösningar inte funkar för t.ex. surfplattor. De erbjuder jättebra säkerhet, men att använda ett skrivbordsgränssnitt anpassat för datormöss som interface till pekplattor är hopplöst. Särskilt för användare som vill ha surfplattor just för att de är så enkla att använda.
Lösningen är därmed ett användarvänligt gränssnitt. En användarvänlig mail-klient, kalender, adressbok, dokumenthanterare osv (och självfallet, vid behov gränssnitt till andra företagsprogram). Poängen är att användarna vill ha surfplattor/smart mobiler för att de är enkla och smidiga. Om de hade varit ute efter säkerhet hade de valt andra lösningar. Slutsatsen är att säkra men oanvändbara appar/lösningar kommer att förbli oanvända.
Den tredje principen som organisationer bör börja använda är informationsklassificering. Det finns massor av olika modeller för hur organisationer kan gå igenom och klassificera sina tillgångar i form av data och information. Om organisationen går igenom en sådan process så blir det väldigt mycket enklare att skapa grupper och policys och styra tekniskt vilken typ av data som får användas var.
Det kräver engagemang från ledningen, beslut, planering, tid och resurser men om ledningen verkligen vill kunna använda sina privata handhållna prylar så går det faktiskt att fixa till det. Fördelen är också att har man väl gjort en informationsklassificering kan det visa sig att organisationen kan uppnå lämplig säkerhet genom vissa ganska enkla restriktioner och inte alls behöver en den säkra appen jag nämnde tidigare. Till exempel, det kan vara helt OK att synka kalenderns rubriker och adressboken med alla typer av privata mobila enheter. Det kanske också är OK att synka rubrikerna i e-posten till de anställdas privata telefoner/surfplattor/datorer. Har man ett system för att klassificera dokument kan man också fixa till det så att vissa dokument kan nås från privata enheter och andra inte. Organisationer med högre säkerhetsbehov kan kombinera detta med den säkra appen jag pratade om. Så att när användaren ser att han/hon fått mailet han/hon väntat på i den gemensamma/publika mailboxen i telefonen kan han/hon logga in i den säkra appen och läsa hela mailet.
Att genomföra informationsklassificering på en organisation är ingen lätt sak att göra och jag har fortfarande inte sätt någon app som har funktionerna jag nämnde. Men nu har principerna kring hur man kan implementera BYOD i en organisation börjat klarna, i alla fall i min lilla hjärna.