Ads 468x60px

perjantai 2. maaliskuuta 2012

BYOD eli lelupäivä toimistolla

BYOD, eli Bring Your Own Device (Tuo Oma Laite/Lelu töihin), on nyt kuuma peruna kaikkien tietoturvapäälliköiden ja -asiantuntijoiden lautasella. Perinteisestihän kaikenlaisten omien laitteiden tuominen töihin ja niillä työajalla leikkiminen on ollut kiellettyä, koska työnantajat ovat tarjonneet välineet TYÖN suorittamiseen. Kun työnantajan tarjoaman laitteen XP:n IE 7:ssa ei Facebookin aikajana toimi, gmail varoittelee tietoturvaongelmista, ja kotikoneen tekstinkäsittelyllä illalla kirjoitettu työraportti antaa avatessa 5 varoitusta (hukaten kuitenkin lopulta kaikki asettelut), on houkutus tuoda oma laite työpaikan verkkoon suuri. Se on myös helppoa perustella itselleen, kun "työraporttejahan tosiaan tulee kirjoiteltua ja sähköpostiakin käsiteltyä myös iltaisin".

Mitäs se sitten ketään haittaa? Itsekin olen käyttänyt omaa laitetta osittain työasioiden hoitoon jo toista vuotta. Asia ei kuitenkaan ole niin yksinkertainen, että kehoittaisin kaikkia tuomaan omat lelut töihin saman tien. Olen hakenut luvan laitteen käyttöön organisaatiomme tietoturvapäälliköltä ja vastaan itse laitteen ja sen sisältämien tietojen suojaamisesta sekä laitteen fyysisestä suojaamisesta. Mutta miten pitäisi suhtautua täällä jo aiemmin esiteltyyn Pekka Peruskäyttäjään, joka tietää vain miten kännykän näppäimistö lukitaan? Olisiko kuitenkin järkevämpää kieltää omien laitteiden käyttö kokonaan? Miten kieltoa sitten valvottaisiin?

Myös uusi työntekijäsukupolvi, joka on kasvanut tietokoneiden ja internetin kehityksen mukana, haastaa vanhan ajattelumallin työnantajan tarjoamista "työvälineistä". Nuoret työntekijät ovat kasvaneet erilaisten mobiililaitteiden ympäröiminä ja niiden käyttö ajasta ja paikasta riippumatta on niin luonnollista, että viraston osoittama työhuone ja kiinteä pöytäkone sekä työaika saattavat olla syy jättää työtarjous käyttämättä.

Älypuhelimien yleistyminen on saanut monet vanhemmatkin työntekijät siirtämään firman SIM-kortin omaan puhelimeensa. On todella kätevää kun mobiilitoimiston palveluntarjoajan www-sivuilta on ladattavissa Android ja iOS -versiot työpaikan mobiilimeilistä ja vaadittavien asetusten löytäminen ja siirtäminen omaan laitteeseen ei vaadi hakkerin taitoja. Oma vaaransa piilee siinä, että käyttäjä voi asentaa sovelluskaupasta mitä tahansa omalle laitteelleen. Hyväksytkö sovelluksen käyttöoikeudet? Hmm... Mihin Vihaiset Linnut tarvitsevat oikeutta lukea osoitekirjaani, kalenteriani, sijaintiani ja lähettää tekstiviestejä?

Koska lelupäivät toimistolla ovat jo täällä, on varmaan turhaa edes kuvitella, että paluu vanhaan malliin on edes mahdollista. Lisäksi, koska liiketoiminnan tehokkuus on kuitenkin vielä yleensä paljon tärkeämpää kuin tietoturvallisuus, lienee järkevämpää sallia omien laitteiden käyttö tietyin varauksin sen sijaan, että yritetään epätoivoisesti estää teknisesti omien laitteiden kytkeminen verkkoon ja työskentely omilla laitteilla.

Omien laitteiden käyttö työn tekemiseen kannattaa nähdä mahdollisuutena. Omien laitteiden käyttö on perusteltua, jos käyttäjät oikeasti tiedostavat käytön riskit ja mahdolliset seuraukset. Tuottavuus ja tehokkuus paranevat ja parhaimmat osaajat pysyvät myös tyytyväisinä, kun käytössä on ajantasaiset laitteet ja työvälineet, joilla voi hoitaa asioita silloin kun se itselle parhaiten sopii. Huomio tuleekin kieltojen ja valvonnan sijaan kohdistaa käyttäjien valistamiseen, ohjeiden ja politiikan laatimiseen sekä selkeiden pelisääntöjen määrittelyyn. Kannattaa muistaa, että myös tiedon luokittelulla, käyttöoikeuksien rajoituksilla ja tiedon jakelulla voidaan parantaa tietoturvallisuutta, huolimatta työntekijöiden käyttämistä laitteista.

3 kommenttia:

42d9bf72-66b8-11e1-a24c-000bcdcb5194 kirjoitti...

Huomionarvoista on muistaa se, että oman laitteen rikkoutuessa ei firman ole mikään pakko tulla vastaan, haukut sen sijaan saattaa saada paitsi laitteen rikkomisesta/hävittämisestä, myös siitä, että on säilyttänyt laitteella paikallisesti ainoaa versiota businesskriittisestä dokumentista.

Dokumenttiongelmaan ratkaisuna toimii omasta mielestäni tehokkaat pilvipalvelut sekä ohjeistus, jonka mukaan paikallista tallennusta ei tule käyttää. Laitteiden rikkoutumiseen ja häviämiseen en sen sijaan keksi mitään järkevää mallia, miten olisi firman maksama kaupan tarjoama lisätakuu laitteen rikkoutumisen varalle?

Er_nero kirjoitti...

Meilläkin on duunissa käyttäjillä Applen iPhonea,
on Samsungia, Lumiaa, HTC:ta, Nokiaa..
Voitte vaan arvata miten paljon nämä työllistävät kun
työntekijöitä on kohta parisen sataa,
ja useampaa eri ekosysteemiä löytyy puhelimista.

Jos käyttäjät tuovat jatkossa omat puhelimensa,
muuta ~pohtimisen~ arvoinen asia;

Jos ja kun puhelin tarvitsee huoltoa, mainittu Pekka Peruskäyttäjä
ei välttämättä osaa kuvata vikaa huollolle riittävän teknisesti
ja selvästi, varsinkin jos vika on piilevä. (vaikkapa puhelin
tippunut maahan ja vika esiintyy satunnaisesti)
Puhelin saapuu hänelle huollosta saatteella: ”vikaa ei havaittu
huollossa”, käyttäjä sen kuitenkin havaitsee ja se häiritsee
häntä kovasti. Kuka lähtee ajamaan hänen asiaansa
huollon kanssa?

Puhelimeen pesiytyykin haittaohjelma, peruskäyttäjät eivät
takuulla osaa itse siivota puhelinta.

Puhelin tarvitsee ohjelmistopäivitystä, ja käyttäjä
ei kuulemma E_H_D_I tai osaa sitä itse tehdä, asuukin
kokonaan toisella paikkakunnalla..

Loppukäyttäjän puhelin sitten vaihtuu, kuka suorittaa
numeroiden, kuvien ja viestien siirron ekosysteemistä
toiseen? (esim. tiedostot ja viestit Symbianista iPhoneen?)

Puhelin katoaa, varastetaan, puhelimen sulkeminen,
uusi kapula tilalle, kukas sen hankkii ja millaisella aikataululla,
pitääkö saada duunista kuitenkin perus lainapuhelin oman rikkinäisen
tai huollossa olevan taikka varastetun tilalle?

Tyttöystäväni iPhone ”viipyi” huollossa vaan 10 päivää, miten mahtaa
työntekijältä duunit sujua kun se oma lelu onkin huollossa?

Pekka Peruskäyttäjä ei saa ostamaansa Bluetooth handsfreetä
toimimaan omalla puhelimella, kukahan voisi auttaa,
se kun on vaikka ostettu jälkikäteen.

Android Marketistä lataamani ohjelmia ei meinaa poistua
puhelimesta, kuka voisi auttaa?

Kuka hallitsee kaikki erilaiset puhelimet ja niiden
ekosysteemit ja erityispiirteet?

Pelisääntöjä ja politiikkaa siis tarvitaan ;)

Vastaukseksi kun ei riitä: "nämä ovat kieltämättä haasteita".

Mika Iivari kirjoitti...

Hyviä kommentteja ja keskustelua, joka tosiaan pitää käydä kussakin firmassa. En nyt varmasti pysty antamaan tyhjentävää vastausta kaikkiin kysymyksiin tässä, mutta annan yhden mahdollisen toteutusmallin:

Firma tarjoaa työntekijöiden käyttöön peruslaitteet, jossa pitäisi toimia kaikki tarpeelliset työkalut, kuten mobiilimeili, kalenteri jne. Nämä laitteet ovat firman IT-osaston tukemia ja niistä hoidetaan keskitetysti varmistukset, tyhjennykset jne. Erilaisia laitemalleja ei tarvitse olla kuin yksi, jotta ylläpito on helpompaa. Jos työntekijälle tämä ei riitä, hän voi ottaa käyttöön omat laitteet, mutta ymmärtää vastuunsa ja sitoutuu siihen, että kaikki huolto- ja tukiasiat pitää hoitaa itse.

Lisäksi käyttäjän tulee tässä vaiheessa tiedostaa ja hyväksyä oman laitteen käyttöön liittyvät riskit ja seuraukset mahdollisissa laitteen katoamis- tai muissa tietovuototapauksissa. Käyttäjä sitoutuu myös suojaamaan laitteensa sekä huolehtimaan sen fyysisestä suojaamisesta.

Käyttäjällä on myös mahdollisuus aina palata firman peruslaitteen käyttäjäksi jos oma laite rikkoutuu ja joutuu huoltoon pitkäksi aikaa.

Pelisääntöjä, politiikkoja, ohjeistuksia ja koulutusta tarvitaan paljon. Tämä aiheuttaa luonnollisesti lisätöitä tietoturvavastaaville.

Lähetä kommentti