Fråga: ”Jag har hört uttrycken byod och consumerization flera gånger på senare tid, vad betyder det för säkerheten i it-miljön?”
Svar: ”Bring your own devices” och ”consumerization” är två begrepp och två företeelser som blivit alltmer populära i många organisationer. Det betyder att folk tar med sig privata mobiltelefoner, digitalkameror, bärbara datorer, plattor, 3g-anslutningar, med mera till arbetsplatsen eller i olika arbetssituationer.
Dessa trender får helt klart olika påverkan på såväl it-miljön som it- och informationssäkerheten. Det skapar en spretigare flora av enheter som har åtkomst till information. Det går inte längre att ha kontroll över vilka patchar som installerats, vilka applikationer som installerats, vilken operativsystemsnivå som är aktuell eller vilka säkerhetsfunktioner som används. Likaså går det inte längre ha fullständig kontroll hur, när eller var information bearbetas eller sparas.
I många organisationer används redan privatutrustning, utan att it-avdelningarna eller chefer vet om det, eftersom de inte har inventerat eller tittat efter tillräckligt noggrant. Det kan komma jailbreakade Iphones eller rootade Androidenheter, det kan finnas bakdörrar och skadlig kod i applikationer som bearbetar vår information, eller användarna kan vara slarviga med på vilka platser och i vilka situationer de använder utrustningen.
Starka drivkrafter bakom dessa trender är användarnas motreaktion mot alltför hård centralisering, alltför hård nedlåsning och stelbenta it-avdelningar som är döva för verksamhetens behov. Sedan tillkommer faktumet att populära smarttelefoner, plattor eller annan utrustning har en magisk dragkraft och lyster, något som inte finns hos de produkter som ingår i standardutbudet från it-avdelningen. En blandning av verkliga behov, lockelser och rebelluppror helt enkelt.
Appar eller tjänster som Google Apps eller Apples Icloud som ofta är inbyggda och nyttjas från denna privata utrustning gör att företagets information riskerar att okontrollerat flyta iväg till olika typer av nättjänster och nätbaserade lagringsplatser.
Mängden användarmisstag där information läcker kommer troligtvis öka i denna nya värld. Likaså kommer antalet attackmöjligheter och attackytor att bli fler. Därför ställer det högre krav på aktiv omvärldsbevakning och mer aktivt arbete med säkerhetsfrågor.
Olika organisationer har olika behov och möjlighet att kontrollera dessa utvecklingar. Gartner förutspådde redan 2005 ”consumerization” som en av de kommande tio årens viktigaste trender. Har man inte redan en väl uttänkt strategi, som inkluderar it- och informationssäkerhet, inom detta område så är det hög tid att starta nu. Tekniska it-säkerhetslösningar är viktiga, men användarfokuserade insatser för ökad förståelse eller ändrad inställning för att säkert och ansvarsfullt hantera företagets information är centrala i denna strategi.
Robert Malmgren rankas av CS som Sveriges främste it-säkerhetsexpert och driver konsultbolaget Romab.