3 (nej, faktisk 4!) gode råd til at øge sikkerheden på mobile enheder

13-06-2019
Det er blevet en selvfølge, at vi har vores mobiltelefoner, tablets, Macs og PC'er med os overalt. Samtidig flyder arbejde og fritid mere og mere sammen for mange af os, så vi bruger vores enheder på kryds og tværs mellem privatlivet og jobbet. Det stiller store og nye krav til virksomhedens håndtering af sikkerheden.


Af: Bo Grandahl, Sales Executive

Stærke password der skiftes med jævne mellemrum har længe været mantraet for sikkerhed – og det skal absolut også være på plads. Men i dag tilråder man faktisk at benytte 2-faktor sikkerhed ved passwords, for at sikkerhedsniveauet er tilstrækkeligt, så det er en af de allervigtigste ting at få på plads, hvis I ikke allerede bruger 2-faktor sikkerhed.

Når jeres 2-faktor sikkerhed er i orden, så kommer her 3 gode råd til, hvordan I med nogle af de nye produkter fra Microsoft kan øge sikkerheden endnu mere!

Sikkerhedsrisiko nr. 1: Stjålne enheder og data på stjålne enheder
Ved tyveri er det sjældent den stjålne hardware, der er problemet, den kan erstattes. Langt værre er det med de stjålne data på enheden, typisk Outlook, Sharepoint og Onedrive, og risikoen for, at uvedkommende via den stjålne enhed får adgang til virksomhedens systemer og data.

Hvis uheldet er ude, og fx en mobil er blevet stjålet, kan man via Exchange lukke for den stjålne enhed, så den ikke længere har adgang til Exchange – men ulempen er, at der stadig ligger en lokal kopi af mailboks, adressebog med kontakter osv. på brugerens mobil. (Virksomheden kan selvfølgelig opsætte politikker om, at der ikke må ligge lokale kopier på medarbejdernes enheder, men det gør jo samtidig anvendeligheden mere begrænset i forhold til at arbejde, mens man er offline – så i praksis er det ikke løsningen.) Man kan sikre sig mod adgang til andre systemer og data fra den stjålne enhed ved, at de tjenester der IKKE cacher data på enheden, bliver begrænset ved passwordskift.

En smartere løsning finder man med Intune fra Microsoft. Med Intune kan man både lukke for den stjålne enheds adgang til Exchange OG slette den lokale kopi af Outlook på telefonen. Det forudsætter dog, at telefonen kommer online og får ’opdateringen’.

Den bærbare PC kan sikres med fx Bitlocker, hvor den krypteres, så disken ikke kan læses ved at flytte den over i en anden PC. En vigtig note her er, at man selvfølgelig skal passe på sit password og sikre sig, at man ikke bliver shoulder surfet – det vil sige læst over skulderen, når man sidder offentlige steder, hvor man fx kan få afluret interne forretningsdokumenter eller sit password (det er fx i en situation som denne her, det er så superkritisk at have 2-faktor sikkerhed på sit password).

Sikkerhedsrisiko nr. 2: Adskillelse af privat og jobmæssig brug af fx PC og mobil
Mange of os bruger vores arbejds-PC til private ting – eller omvendt, vi bruger den private PC til arbejdsopgaver. Nogen foretrækker også at have én mobiltelefon til både privat og arbejdsmæssig brug.

For at holde data adskilt kan man opdele dem i en slags siloer, hvor man ’indhegner’ firmadata fra private data, så de ikke flyder sammen. Det er dog lidt en kattepine med de offline, synkroniserede data, da de reelt ligger på systemet som alle andre data, brugeren også har, så det kræver en vis disciplin. Reelt er det en god disciplin at undgå offline synkroniserede data – for at opnå optimal sikkerhed.  

Når en medarbejder siger op eller bliver afskediget, lukker virksomheden selvfølgelig ned for vedkommendes adgang til sin mailkonto og øvrige systemer ved at ændre medarbejderens password. Men der ligger i langt de fleste tilfælde lokale kopier af virksomhedsdata på medarbejderens telefon og PC.

Her kan virksomheden sikre sine data ved at trække rettighederne tilbage, og så skal enheden gerne få opdateringen, når den kommer online. Ved visse applikationer kan der opsættes politik for, at de ikke må synkroniseres offline, og der kan også være virksomhedspolitikker om det – men reelt er der nogen gråzoner i det, da det er et svært område at styre og kontrollere.

 

Med Intune fra Microsoft er man ude over problemet med, at virksomheden (og medarbejderen selv) ikke helt har styr på, hvor medarbejderen har firmadata liggende.

Så snart enheden, fx mobiltelefonen, er enrolled i Intune, har virksomheden overblik over, hvor virksomhedsdata befinder sig ved hjælp af Intunes firmaportal, hvor virksomhedens politik og data lever, og hvor man håndterer rettigheder for de kritiske data. Den private del har medarbejderen selv kontrol over, og private data bliver ikke berørt af, at virksomheden fx trækker rettigheder tilbage eller sletter data fra enheden. Dette er i øvrigt også en super feature ved BYOD.

Sikkerhedsrisiko nr. 3: Uautoriseret installation og download af software og apps på enheder (skygge-IT)
Der findes masser af software og apps, der ligger klar til at blive downloadet og installeret, og kan gøre hverdagen nemmere og mere effektiv for os på jobbet. Problemet er, at virksomheden har svært ved at sikre som mod at få alt muligt snask inden for væggene (virus, malware etc).

Grundlæggende er der to muligheder: Give medarbejderne lov at installere alt eller intet – hvis medarbejderen ikke er lokal administrator på sin PC, kan vedkommende ikke installere noget som helst. Men er den rigtige løsning så sort-hvid? Fx deler mange medarbejdere data med samarbejdspartnere via Dropbox – og hvordan beskytter virksomheden så sine data?

Man kan købe løsninger som fx SCCM, der kan styre disse adgange til at installere software og dele data mere nuanceret, men det er rasende dyrt licensmæssigt og derfor kun en reel løsning for meget store virksomheder.

Kører virksomheden i skyen på Azure, kan man i Azure Right Management opsætte politikker for styring og kontrol af data samt auditering på, hvad brugerne gør med virksomhedens data. En anden mulighed er at benytte sig af AppLocker, hvor man kan lave en whitelist/blacklist af applikationer som brugeren gerne må installere. Dette styres via ens AD.

Microsoft’s nyeste løsning, Intune, indeholder en software-portal, hvor man meget detaljeret kan styre, hvilken software der må downloades og installeres på hvilke enheder. Logikken bag portalen er, at brugerne ikke må og ikke kan installere noget, medmindre det er godkendt, som fx Office-pakken, AutoCAD osv. Man kan også styre, om de apps der fx downloades på mobil eller iPad, er til privat eller firmamæssig brug, og så justere rettighederne herefter.

Sikkerhed i den rette dosis
Alt i alt er der ingen tvivl om, at sikkerhed – det er need to have, og ikke bare nice to have! Kunsten er at finde den løsning, der passer til virksomheden og dens medarbejdere, så sikkerheden er i top samtidig med, at det er til at have med at gøre i en travl hverdag.

Del indhold her