Kolme pointtia onnistuneeseen BYOD-ohjelmaan

Jotkin aiheet pysyvät klassikoina, kuten BYOD. On kaksi asiaa, joista menestyvän yrityksen on tähän liittyen huolehdittava: joustava työnteko ja arvokkaan tiedon suojaaminen.

Ilman huolellista omien laitteiden hallintastrategiaa ei tietoturvariskejä voida kontrolloida. Aihe vilahti taannoin myös uudessa Ponemon-tutkimuksessa, jonka mukaan yli puolella tutkittavista organisaatioista ei ole vakiintunutta linjausta, joka määrittelisi mobiilisovellusten sopivaa käyttöä työpaikalla. Voin tunnustaa olevani huolestunut.

Mikäli työnantaja haluaa tukea työntekijöidensä omien laitteiden käyttöä tietoverkossaan, on tietoturvallisuuden suunnitteluun ja toteutukseen panostettava. Ovathan modernit kyberuhat ja toistuvat tietovuodot arkipäivää. Tavoitteena on joustava työnteko yhdistettynä riittävään tietoturvallisuuteen. Oikein toteutettuna omien laitteiden käyttö pienentää kustannuksia ja lisää työntekijöiden tehokkuutta ja työtyytyväisyyttä.

Tyypillinen etätyön tietoturvaratkaisu on VPN. Mobiililaitteille, joita käytetään toistuvasti sekä henkilökohtaiseen asiointiin että työtehtäviin, VPN:n käyttö voi kuitenkin osoittautua liian jäykäksi. Onneksi työskentelyä voi helpottaa sovelluskohtaisilla VPN-ratkaisuilla. Myös niin sanotun mikro-VPN:n käyttö lisäisi joustavuutta. Tällöin yrityksen verkkoon kytkeytyvä VPN otetaan automaattisesti käyttöön tiettyjen sovellusten kanssa. Älkääpä huoliko, tämä ei edellytä käyttäjältä toimenpiteitä. Tilannetta voidaan edelleen parantaa niin kutsutuilla turvallisilla selaimilla, jotka sallivat käyttäjien läpinäkyvän kytkeytymisen intranetiin tai yritysverkon sisäisiin web-palvelimiin.

Otetaanpa kertauksen vuoksi kolme kovaa perusasiaa, jotta ei totuus unohtuisi.

1. Säilytä läpinäkyvyys ja huolehdi käyttäjien yksityisyydestä: Kerro avoimesti myös seikoista, jotka työntekijät saattavat kokea epämiellyttäviksi kuten mahdollisesta sijaintitietojen keräämisestä. Käytä ratkaisuja, jotka hyvän tietoturvallisuuden lisäksi suojaavat myös työntekijöiden yksityisyyttä. Samalla rakentuu myös luottamuksen ilmapiiri. Omien laitteiden käytön salliminen edellyttää työnantajan luottamusta työntekijöihin. Toisaalta se edellyttää käyttäjiltä tietoturvauhkien tiedostamista ja vastuullista toimintaa. Liiketoiminnan jatkuvuus on etusijalla. Siksi myös teknisten tietoturvakontrollien kiristämisen on oltava mahdollista tilanteen näin vaatiessa.

Omien laitteiden käytön salliminen edellyttää työnantajalta riittävää tiedottamista, ohjeistamista ja kouluttamista. Työntekijöillä on oltava kristallinkirkas käsitys siitä mitä he voivat ja saavat tehdä ja mitä eivät käyttäessään omia laitteita. Toki näin on myös työnantajien tarjoamien laitteiden osalta. Ei ole soveliasta lähettää luottamuksellisia työdokumentteja omaan henkilökohtaiseen sähköpostiin tai ladata kännykällä kuvattuja kokousmuistiinpanoja julkiseen pilveen.

2. Huolehdi omien laitteiden riittävästä tietoturvallisuudesta: Käytettyjen ratkaisujen on taattava joustavuus. Työntekijöiden on pystyttävä tekemään työnsä jouheasti. Samalla työnantajan on kuitenkin pystyttävä varmistamaan riittävä tietoturvallisuus. Esimerkiksi kadonneen mobiililaitteen tiedot on kyettävä tuhoamaan verkon yli. Samoin esimerkiksi tiedon kopioimisen (copy) estäminen sähköpostista tai kalenterista ja liittäminen (paste) tiettyihin sovelluksiin voi joskus olla tarpeen vahinkojen välttämiseksi. On suositeltavaa erotella omalla laitteella olevat henkilökohtaiset tiedot ja tiedostot työn tekemiseen liittyvistä tiedoista ja tiedostoista.

3. Tiedä missä arvokas tieto liikkuu. Tietoturvaongelmat ja tietovuodot edellyttävät välitöntä reagointia. Työnantajan kannattaakin harkita automaattisten hälytysten käyttöönottoa esimerkiksi, mikäli tiettyä laitetta käytetään maantieteellisesti oudosta paikasta. Samoin esimerkiksi kiellettyjen sovellusten asentamisen tai liian suuren mobiililaitteelle tallennetun tietomäärän tallennuksen valvominen auttaa nopeassa reagoinnissa tietoturvaongelmiin.

Näin. Yllä mainitut kolme asiaa huomioimalla yritys edesauttaa joustavaa omien laitteiden käyttöönottoa ja samalla hallitsee siihen liittyviä tietoturvariskejä.

Ehkäpä BYOD-keskustelun pinnalla pysyminen on edelleen tärkeää ja klassikko-leima on ansaittu.

Kirjoittaja:

Tietoturva-arkkitehti, IBM