Ads 468x60px

maanantai 28. tammikuuta 2013

BYOD – pitäisikö niissäkin muuten olla privacy filterit käytössä?

Viime aikoina olen törmännyt useisiin eri organisaatioihin, jotka tuskailevat käyttäjien omien laitteiden kanssa. Pitäisikö omat laitteet sallia vai pitäisikö kuitenkin yrittää ”pakottaa” käyttäjät käyttämään vain organisaation hallitsemia laitteita? Entä sallimmeko käyttäjien käyttää omia puhelimia mutta kiellämmekö käyttäjiltä omat tabletit? Vai sallimmeko tablettien käytön mutta puhelin tulee olla firmanluuri? Mielenkiintoisia kysymyksiä.

Ohessa muutamia ajatuksia tuskaan: Itse en tee ensinnäkään eroa puhelimien ja tablettien välille. Mielestäni tiedon suojaamisen kannalta ei merkitystä voiko laitteella soittaa perinteisiä GSM-puheluita. Sekä puhelimista että tableteista löytyvät samat käyttöjärjestelmät, molempiin pystyy asentamaan uusia sovelluksia ja molemmilla pystyy käsittelemään yleensä jossain muodossa organisaation tietoa. Ainoa erottava tekijä onkin monesti oikeastaan vain näytön koko.

Netistä löytyy pienellä hakemisella valtavasti erilaisia periaatteita BYOD-käyttösääntöjä varten. Tyypillisesti mallisäännöissä, tai politiikoissa, suositellaan hallintasovelluksen käyttöä (MDM), käsketään määrittämään sallitut / kielletyt laitteet, sallitut / kielletyt sovellukset, käytettävät turva-asetukset (yleensä tosin edellytetään vain pin-koodin käyttöä), kenen vastuulla on laitteen päivittäminen ja varmuuskopioiden ottaminenn ja miten laitteen käytön lopettaminen. Edellä mainittuja asioita on kieltämättä hyvä miettiä. Toisaalta, omasta mielestäni ennen BYOD-käyttösääntöjen (tai politiikan) määrittämistä tulee löytää vastaukset seuraaviin kysymyksiin:

  1. mitä haluamme suojella (mitä tietoa laitteella käsitellään, mitä tietoa laitteeseen tallentuu tai mitä tietoa laitteella tuotetaan) ja
  2. keneltä haluamme suojella ensimmäisessä kohdassa tunnistettuja asioita?
Esimerkiksi organisaatiossa voidaan tunnistaa, että mobiililaitteissa halutaan suojella laitteeseen tulevia sähköposteja (ja niiden liitteitä), kalenterimerkintöjä ja kontaktitietoja. Näiden lisäksi voidaan haluta varautua ”ylisuuriin” puhelinlaskuihin mutta kuvista, videoista ja esimerkiksi paikkatiedoista ei olla huolissaan. Jälkimmäisen kysymyksen vastaus taas voi olla, että kaikilta ei-organisaatioon kuuluvilta (näin ollen esimerkiksi kalenterimerkinnät saavat näkyä kollegoille). Tämän jälkeen onkin huomattavasti helpompi valita soveltuvat kontrollit BYOD-riskien hallitsemiseksi.

Ja sitten pienenä yksityiskohtana privacy filtteriiin: Jos omien laitteiden käyttö on sallittu, niin monesti omalla laitteella voi käyttää yrityksen tiedoista missä tahansa. Kuitenkaan jostain syystä missään näkemässäni esimerkkisäännöissä ei edellytä privacy filterin käyttöä, vaan tämä on jätetty puhtaasi käyttäjien itsensä valistuneisuuden varaan. Jotenkin siis tuntuu siltä, ettei omia tabletteja (tai älypuhelimia) käytettäisi esimerkiksi busseissa, junissa, julkisissa kahviloissa ja niin edelleen... ja missä niitä omia laitteita siis käytettiinkään eniten?

Leppoisin terveisin
Antti

Ei kommentteja:

Lähetä kommentti