Mobile bomber?

Mobilitet har sin pris. En flom av sensitiv informasjon blir mistet eller stjålet fra norske bedrifter hvert år. Thorbjørn Ellefsen i RSA Norge mener at produsentene ikke tenker sikkerhet, mens Marit Ursin i Smartphones Telecom ikke ser noen konflikt mellom produktivitet og sikkerhet.

Hva er viktigst: Produktivitet eller sikkerhet?

Thorbjørn Ellefsen, daglig leder i RSA Norge:

- Produktivitet er det en bedrift lever av, men vi ser at mangel på sikkerhet påvirker produktiviteten direkte. Tap av informasjon er et reellt tap for bedriften. Gir man blaffen i kontroll, har man ikke kontroll på butikken og da mister man troverdighet. Tidligere var det slik at sikkerhetsløsninger ikke nødvendigvis støttet opp om produksjonen, men slik er det ikke lenger. Det er fullt mulig å integrere mer enn god nok sikkerhet, og bli enda mer effektiv i produksjonen.

Marit Ursin, daglig leder i Smartphones Telecom:

- Vi opplever ikke at vi trenger å velge. De bedriftene vi jobber med, er fokusert på begge deler - finne løsninger som er brukervennlige og som ivaretar det sikkerhetsnivået som bedriften legger opp til. For tre år tilbake var det gjerne en konflikt mellom sikkerhet og brukervennlighet, men sånn er det ikke i dag. Bedrifter opptatt av høy sikkerhet, og utfordringene rundt brukervennlighet lar seg løse.

Er mobile og håndholdte enheter designet kun for funksjonalitet, uten tanke på sikkerhet?

Ellefsen: - Ja. Det produsentene sier om sikkerhet er en stor bløff, et rent markedstriks. Alt skal være kult og flott og fint og gi deg masse tilganger. Men i virkeligheten fungerer enten ikke sikkerheten i praksis, eller så slår brukeren det av fordi det er tungvint. Vi har en rekke kompatiblitetesproblemer på grunn av proprietær firmware og tredjepartsprogramvare. Sikkerheten er noe man skryter av når det blir lansert, men slår av når det rulles ut. Det eneste mobilkonseptet jeg har litt sansen for er Blackberry fra RIM. Der virker det som man har tenkt mer på sikkerhet i grunndesignet.

Ursin: - Nei, jeg synes ikke det er riktig å si det. Med all respekt for andre produsenter, så har blant annet Nokia og HTC gjort mye. Windows Mobile 6 har også innebygd kryptering av minnekort. Andre har power-on og passord-løsninger, låsefunksjonalitet og innebygget støtte for bytte av sim-kort. Det er også et poeng at både Nokia Series 60 og Windows Mobile krever signering som sikrer at kan ikke legges inn et program som ødelegger ting. Bedriftene trenger fortsatt administrasjonsverktøy for å sikre seg ordentlig, men det gjøres en hel del av produsentene også.

Hvem bør ikke bruke mobile enheter i jobbsammenheng?

Ellefsen: - De som kjøper løsninger og vil ha epost på mobilen fordi det er kult, uten å ha noe forhold til om det har noen nytteverdi for bedriften. Disse personene har gjerne ikke noe forhold til informasjonen de har tilgang til eller til konsekvensen av å miste denne informasjonen. De er sannsynligvis mest opptatt av farge, funksjonalitet, merke, om man kan høre musikk eller se video, og ikke noe forhold til hva man faktisk kan bruke enheten til. Bedriften må vurdere hvem som har bruk for tilganger og tjenester som synkronisering av kontakter, epost og kalender.

Thorbjørn Ellefsen, daglig leder i RSA Norge.

Ursin: - Ingen grupper som jeg kommer på. Noen har ikke bruk for push-mail 24 timer i døgnet, og andre vil oppleve det som stressende, men det finnes det innstillinger for. Andre trenger kanskje ikke en full epost-løsning eller bare tilgang til det de faktisk trenger. Det er bedriftene som må tenke gjennom hvem som skal ha mobile enheter i en HR-sammenheng.

Er bedriftene for hissige med å innføre ny teknologi?

Ellefsen: - Ja. Når det gjelder smarttelefoner, mobilitet og tilgang så er det sånn. Bedriftene har for liten kompetanse i å ta en risikovurdering ved å innføre slik teknologi. Man må stille leverandørene de rette spørsmålene. Hva er den reelle gevinsten? Hva kan brukerne? Hva er det reelle behovet? Man må gjøre et grundig forprosjekt og måle risiko opp mot gevinst. Nå tar bedriftene ofte et steg for langt, og stuper rett inn i implementasjon av produktet uten en helhetlig tankegang.

Marit Ursin, daglig leder i Smartphones Telecom.

Ursin: - Nei, jeg opplever det ikke slik. Det er forholdsvis lav kompetanse om mobilitet, og de fleste er avventende til å implementere ny teknologi. Mange har riktignok kjørt piloter, og utrullingstakten er i ferd med å gå opp, men det er et fåtall bedrifter som faktisk har tatt steget helt ut. En del mindre organisasjoner har kanskje brukere som driver denne prosessen, hvor it-sjefen ikke er i forkant, men vi jobber primært med mobilitet i større bedrifter og i profesjonelle prosjekter.

Skal brukeren selv ha ansvaret for sikkerheten i sin mobiltelefon?

Ellefsen: - Når en bedrift bestemmer seg for å rulle ut en slik løsning, må brukernes opplevelse være positiv. De fleste forventer en form for autentisering og identifikasjon, men generelt må ikke brukerne oppleve sikkerheten som en barriere. Sikkerheten må være innbygget fra selskapets side, og ha rutiner for hva som skal gjøres når enheter mistes eller misbrukes. Det finnes mange gode løsninger for å kryptere eller sperre mobile enheter. Det er opp til hver enkelt bruker å lære seg riktig bruk, og opp til bedriften å gjennomføre sikkerhetstiltak. Det kan aldri være opp til brukeren å bestemme sikkerhetsløsninger.

Ursin: - Det overordnete ansvaret bør ligge hos bedriften. Ledelsen må tenke over hva slags type informasjon som tilgjengeliggjøres på mobil, og hva slags type sikkerhet organisasjonen krever. Bedriften må også gjennomføre en bevisstgjøring av de ansatte, men de ansatte må ta en stor del av ansvaret for å følge retningslinjene. Det meste må likevel være automatisert, og det skal ikke være mulig å slå av og på sikkerhet. Brukerne skal egentlig slippe å tenke på at det er en sikkerhetsløsning på telefonene.