Små og mellemstore danske virksomheder er stadigvæk ved at vænne os til at arbejde strategisk med IT-sikkerhed. Det betyder, at vi stadig halter en hel del bagud, når det kommer til små og mellemstore virksomheders IT og datasikkerhed generelt.
Men for at det ikke skal være nok, er der et forholdsvist overset område i datasikkerhed, der hedder mobiltelefoner.
Medarbejdernes mobiltelefoner eller tablets er lidt af en black box, når det kommer til datasikkerhed i virksomheder. Der er vidt forskellige måder at administrere dem på – og vidt forskellige måder, medarbejderne bruger telefonerne på. Vi dykker her ned i, hvor du skal starte, hvis du vil sikre din virksomheds data på medarbejdernes mobiltelefoner.
Mobiltelefonen er en glemt sikkerhedsbrist for virksomheder
De fleste virksomhedsledere begynder at forstå, at datasikkerhed er afgørende for driften og stabiliteten i virksomheden. Både fordi der er krav til datasikkerhed, men også fordi de forstår, at virksomhedens data og systemer er noget, der skal sikres, for at de ikke falder i de forkerte hænder.
Hvis du allerede har styr på din IT-sikkerhed, er der formentlig sat sikkerhed op omkring din virksomheds netværk – og det er lukket af for omverdenen. Der er formentlig også styr på sikkerheden omkring computerne med mulighed for kryptering af data og forståelse for, at computeren er et arbejdsredskab.
De fleste virksomheder opretter løbende privatlivspolitikker og IT-sikkerhedspolitikker og lever op til GDPR-reglerne. Men som på så mange andre punkter kommer vi ofte til at overse det, der ligger lige foran snuden af os. Også selvom det er en af de enheder, vi bruger allermest.
Derfor bliver mobiltelefonen ofte glemt, når vi skal forholde os til vores sikkerhed. Her bør man tage mange af de samme sikkerhedsforanstaltninger i brug, som vi også anvender til medarbejdernes computere.
For hvordan er sikkerheden omkring telefonen egentlig? Henter medarbejderen selv Office-apps og logger ind i dem? Eller tilgår deres e-mail i telefonens e-mail-app? Er virksomhedens telefon noget, som medarbejderen også bruger privat? Og hvad sker der med telefonen og dens indhold, når medarbejderen stopper? Alt det kigger vi nærmere på her.
Hvornår bliver telefonerne en sikkerhedsrisiko – og hvordan kan du forebygge det?
Når du skal forstå, hvilken størrelse mobilsikkerheden er, er der især fire faktorer, som er vigtige at forholde sig til, og som kan have stor indflydelse på sikkerhedsrisikoen. Det inkluderer:
- medarbejderens brug af telefonen
- hvem der ejer telefonen
- adgang til virksomhedens data
- hvad der sker med telefonen, når medarbejderen stopper, eller telefonen bliver stjålet.
Nedenfor dykker vi ned i hver af disse sikkerhedsrisici, og hvordan du kan forebygge dem.
1. Medarbejderens brug af telefonen
Når vi taler om medarbejderens brug af mobiltelefonen, er det præcis det samme som medarbejderens brug af en arbejdscomputer. Hvilke apps hentes der? Er der antivirus og antimalware installeret? Må man logge på åbne wifi-netværk? Ligesom med computeren skal medarbejderen forstå, at hvis de har adgang til virksomhedens data på deres telefon, så skal de behandle telefonen som deres arbejdscomputer.
Når medarbejderen får en computer udleveret med en Microsoft 365 Business Premium-licens (der er sat korrekt op) – så er din data sikret mod tyveri og kan til hver en tid krypteres fra centralt hold, hvis computeren mistes eller stjæles. Det samme bør være tilfældet for mobiltelefoner.
2. Hvem ejer telefonen – medarbejderen eller virksomheden?
At skabe den bedste sikkerhed på dine medarbejderes mobiltelefoner afhænger også af, hvem der ejer telefonen – om det er medarbejderen selv eller virksomheden, der stiller telefonen til rådighed.
Hvis medarbejderne bruger deres egen telefon, kan det være svært at sætte regler op for datasikkerheden. Der er dog ting, du teknisk kan gøre for at sikre de apps, som kan bruges til eksempelvis at læse e-mails på telefonen. Hvis medarbejderen bruger sin egen mobil, kan det være en god idé at arbejde med en politik for brug af mobiltelefoner i arbejdsøjemed.
Er mobiltelefonen til gengæld ejet af virksomheden, har du de bedste tekniske muligheder for at sikre telefonerne sikkerhedsmæssigt. Det er også lettere at stille krav til brugen af telefonen i en medarbejderpolitik.
Så selvom det kan virke lettest bare at lade medarbejderne købe telefonerne selv, kan det gøre det mere besværligt at opsætte telefonerne på den rigtige måde set fra et sikkerhedsperspektiv. Det er derfor altid lettest at administrere telefoners sikkerhed, når de indkøbes af virksomheden.
3. Hvad sker der med telefonen, når medarbejderen stopper?
Når medarbejderen stopper, er det vigtigt at behandle mobiltelefonen på samme måde som en arbejdscomputer. Hvis medarbejderen skal have telefonen med videre – uanset om det er medarbejderens egen eller virksomhedens mobil – skal du sørge for, at virksomhedens data slettes fra telefonen, og at alle adgange til systemer lukkes af.
Her er der altså to perspektiver, som er vigtige at kunne adskille; nemlig nulstilling og sletning af virksomhedsdata. Nulstilling af mobilen skal kunne ske i forbindelse med tyveri, og når telefonen skal gives videre til en anden. Sletning af virksomhedsdata skal ske via centrale politikker, hvis telefonen bliver stjålet, eller medarbejdere ikke længere skal have adgang. Her er der altså ikke tale om en hardware-nulstilling, men fjernelse af softwareadgange til systemer, e-mails, dokumenter osv.
Når det gælder nulstilling, skal du også huske, at fx en iPhone er noget nær umulig at nulstille uden adgang til det Apple-id, som er brugt til at sætte telefonen op. Du kan som virksomhed heller ikke forvente at kunne nulstille telefonen, hvis medarbejderen bruger sin egen telefon til arbejdet. Men det er stadig muligt for dig at sikre din virksomheds data og filer.
4. Adgang til virksomhedens data
For at kunne sikre din data er det vigtigt, at apps, der kan læse e-mails eller anden virksomhedsdata, skal være under virksomhedens kontrol. Ikke i forhold til overvågning, men i forhold til at sikre, at data ikke falder i de forkerte hænder.
Om det er muligt at sikre virksomhedens data, afhænger i høj grad af din tekniske opsætning og hvilken app, medarbejderen bruger. Nogle apps henter al indhold ned på telefonen, hvilket kan gøre det sværere at slette eller kryptere indholdet, hvis telefonen fx stjæles.
Bruger du Microsoft 365 Business Premium, E3 eller E5, kan du som sagt sikre alle enheder, som har adgang til din virksomheds filer og data – uanset om det er en telefon eller en computer. Du kan fx sætte et krav om tofaktorgodkendelse op, når nogen vil logge på deres Outlook med en telefon eller browser. Eller du kan styre, om det er tilladt at downloade filer fra fx en app ned på telefonen. På den måde kan du sikre din virksomhed bedre mod tab af data, samtidig med at du giver dine medarbejdere mere fleksibilitet i arbejdet.
Der findes en masse forskellige scenarier for netop telefoner. Og derfor er det svært at lave en udtømmende liste over tekniske løsninger for at sikre dem. Så du bør i stedet vende det den anden vej rundt – og se på, hvad du gerne vil opnå.
Sæt krav for sikkerheden på mobiltelefoner
I bund og grund handler sikkerhed på mobiltelefoner om det samme som sikkerhed på computere og andre enheder, der har adgang til din virksomheds data.
Du kan ikke sikre dig fuldstændig mod angreb, men hvis du vil komme et langt stykke, kan det være oplagt at opsætte et krav om, at alle skal have antivirus og antimalware installeret på deres telefon.
IT-sikkerhed handler om at finde den rette balance mellem kontrol og frihed for medarbejderne. Samtidig handler det om at have forholdt sig til, hvordan man netop balancerer denne risiko og sikrer sig bedst muligt teknisk ud fra de beslutninger, man har taget om sin datasikkerhed.
Derfor anbefaler vi, at du medtænker medarbejdernes mobiltelefoner i dine sikkerhedspolitikker. At du simpelthen forholder dig til, hvordan virksomhedens data sikres bedst muligt, samtidig med at medarbejderne kan udføre deres daglige arbejde. Når du har taget stilling til det, kan du se på, hvordan det rent teknisk kan lykkes bedst muligt.
Teknisk sikkerhed med Microsoft 365
Vi kommer ikke udenom, at en oplagt mulighed for at sikre dine medarbejderes telefoner er med Microsoft 365. De fleste bruger allerede Microsoft 365, så det giver superfin mening at se mod opsætningen af dine licenser for at sikre alle enheder, som har adgang til din virksomheds filer og data.
Tag endelig fat i os på 70 28 66 00 eller på kontakt@nhl-data.dk – så tager vi en snak om, hvordan din IT kan sikres i forhold til de krav, du har.
