Hvordan skal sikkerheten løses på ansattes private mobiler? (Bilde: Swish)

– Mobile klienter kan temmes

Gartner-analytiker forteller hvordan.

De fleste IT-sjefer må forholde seg til ansatte som bruker mobilt utstyr i sitt bidrag til bedriftens verdiskapning. I noen tilfeller er det også de som eier utstyret. For bedrifter som vil arbeide effektivt og sikkert er dette en utfordring: Hvordan forvalte mobile klienter?

Analyseselskapet Gartner snakker om «Mobile Device Management» (MDM) som et eget fagfelt. Ifølge analytiker Leif-Olof Wallin er dette et fagfelt i rask utvikling. Det er en dyd av nødvendighet: De mobile plattformene som skal forvaltes utvikles også i nærmest rasende tempo. Plattformene tilbyr ulike typer tilrettelegging for sentral forvaltning, og tilretteleggingen er svært ulik fra en versjon til neste av samme plattform.

Regler som lar seg håndheve på én plattform, eller på én bestemt versjon av en plattform, kan være umulig å håndheve på en annen. iOS7 gir langt større muligheter til effektiv forvaltning enn forgjengeren: Ifølge Wallin må man tilbake til versjon 4.2 for å finne noe tilsvarende.

– Før man begynner å arbeide med dette, må man forsone seg med at det ikke finnes én bestemt forvaltningsmodell som passer for alle. En typisk bedrift vil heller ikke kunne gjennomføre ensartede betingelser for alle ansatte. Man vil også støte på at noen regler kan håndheves på iOS, men ikke på Android.

Innen verktøy for å forvalte mobile enheter (MDM, mobile device management) er de store leverandørene, som SAP, IBM og Symantec, i ferd med å nærme seg ledertrioen AirWatch, MobileIron og Citrix, sier Gartner-analytiker Lars-Olof Wallin.
Innen verktøy for å forvalte mobile enheter (MDM, mobile device management) er de store leverandørene, som SAP, IBM og Symantec, i ferd med å nærme seg ledertrioen AirWatch, MobileIron og Citrix, sier Gartner-analytiker Lars-Olof Wallin. Bilde: Gartner Pictures

Én tilnærming er helt passé: Det er ikke mulig å standardisere på én plattform.

Wallin mener man må belage seg på å støtte minst fem plattformer: to for bærbare pc-er – Windows og Mac – og tre innen smartmobiler og nettbrett – Blackberry, Apple og Android.

Pc-plattformene er ikke spesielt problematiske: Begge operativsystemene er modne og mottar oppdateringer regelmessig. MDM-verktøyene har hittil konsentrert seg om smartmobiler og nettbrett. Wallin mener å se tegn på at de vil utvides til også å omfatte bærbare pc-er.

Av mobilplattformene mener Wallin at Blackberry er best på sikkerhet og forvaltning. Apple iOS er mer enhetlig der Android er fragmentert. Wallin mener begge kvalifiserer til betegnelsen «delvis forvaltningsvennlig» («partially manageable»).

– Å støtte Android kan være ganske komplisert. Totalt er det mer enn 6000 ulike utgaver av Android. Sære tilrettelegginger stammer fra både leverandører og operatører.

Den store fordelen med iOS7 i forhold til forgjengerne, sett fra bedriftens side, er bedre mulighet til å trekke et klart skille mellom private data og applikasjoner på den ene siden, og jobbdata og bedriftsapplikasjoner på den andre. Wallin nevner også at lisensbetingelsene er enklere å forholde seg til.

– Er det mange Blackberry i organisasjonen, er det ingen grunn til panikk. Det er ingenting som tyder på at Blackberry-tjenestene vil forsvinne.

Før man ser på MDM-verktøy, anbefaler Wallin anbefaler at man vurderer å innføre totalforbud mot å lagre bedriftsdata på mobile enheter.

– Det innebærer å kjøre alle bedriftsapplikasjoner sentralt. Mobile brukere henvises til webapplikasjoner eller til VDI. Man frigjør seg fra mobilplattformene og oppnår god styring. Flere leverandører tilbyr VDI-løsninger, ikke bare VMware og Citrix.

Haken er åpenbar: Vil alle brukerne kunne greie seg uten nettforbindelse?

– Mange som starter med denne modellen, ender opp med å tillate lokal datalagring under visse forutsetninger, fordi brukerne ikke alltid har tilgang til tilstrekkelig båndbredde.

Wallin ser på HTML5 som en svært lovende teknologi.

– HTML5 er noe av det beste som er skjedd. Men standardene er ikke ferdige ennå. Vi tror ikke bedrifter kan satse helhjertet på HTML5 før en gang i 2015. Inntil da vil HTML5-applikasjoner kjøre ulikt på ulike plattformer og i ulike nettlesere, og man må være forsiktig med hva man velger å tilby gjennom HTML5.

Vellykket VDI forutsetter at man har avklart hvilken rolle Windows-applikasjoner har i organisasjonen.

– Windows-applikasjoner kjører greit gjennom VDI på pc-er med Windows og MacOS, og for så vidt også Windows-brett. Men for andre brett og for smartmobiler minsker brukeropplevelsen med skjermstørrelsen. Windows på brett krever skjermpenn. Med sju tommers skjerm og mindre må man fraråde å tilby Windows-applikasjoner.

MDM-verktøy

– Gartner har sporet opp 125 leverandører av MDM. Vi inviterte 80 av dem til å være med på årets «Magic Quadrant»-vurdering. Av disse var det 18 som tilfredsstilte kriteriene vi stilte. Vi venter fortsatt konsolidering innen MDM.

Wallin mener å se klare tendenser i MDM-markedet.

– Det legges stadig større vekt på å forvalte applikasjoner og innhold. De store leverandørene, blant annet SAP, IBM og Symantec, er i ferd med å minske forspranget til ledertrioen AirWatch, MobileIron og Citrix. Verktøyene tar i større grad hensyn til at mye mobilt utstyr på jobb er privat. Bruken av «kontainere» og «dual persona» for å skille mellom jobb og privatliv på mobile enheter øker. Verktøyene tar større hensyn til at mye programvare leveres som tjeneste. Flere av dem kan til en viss grad forvalte både Mac OSX og Windows 8.1.

Gartner tror MDM er i ferd med å utvikle seg til noe mer allment, det vil si til «Enterprise Mobility Management» (EMM) med blant annet enda sterkere skille mellom jobb og privat bruk.

Når det er sagt, advarer Wallin mot å misforstå hva MDM faktisk dreier seg om.

– Du må ikke tro at MDM vil gi deg styring over privat utstyr. Verktøyene bryter både med etablert personvern og med det vi har sett av avtaler rundt bruke av personlig utstyr på jobb. Du må også innse at MDM ikke er et sikkerhetssystem, men et system for å håndheve bestemte regler. MDM forvalter ikke data, bare applikasjoner. Du kan ikke bruke MDM til å hindre datalekkasje. MDM er videre alltid begrenset av hva hver plattform tillater av fjernstyring. Det verktøyet lar deg gjøre på én plattform er ikke alltid mulig på en annen.

Anbefalinger
Bruk av mobilt utstyr på jobb, og særlig hvis utstyret eies av den ansatte, krever at ansatte forstår og godtar visse regler.

– Regelbrudd kan sette selv den beste teknologien ut av spill. Den som mister eller blir frastjålet en smartmobil med følsom bedriftsinformasjon, må læres opp til å følge regelen om å ringe IT først. Ringer vedkommende til operatøren først, blir SIM-kortet sperret, og da er det umulig å fjernslette informasjon. Folk må også innse at frihet til å velge utstyr medfører medansvar for data lagret på enheten. De må forstå dette i forhold til sikkerhetskopiering, og i forhold til hvordan utstyret konfigureres. De må ta på seg ansvar, og være seg bevisst at de frasier seg visse friheter.

Walling anbefaler at man starter med å analysere brukerne og fordele dem på et antall standard profiler, helst ikke mer enn sju. Profilene avgrenses av sikkerhetsnivå, krav til mobilitet og forhold til innhold og data. Så velger man hvilke typer utstyr som passer til de ulike profilene, og bestemmer seg for hvordan det mobile brukere skal gis tilgang til data og applikasjoner. Når det er gjort, kan man vurdere MDM-leverandører.

– Siste fase er å formidle bruksregler og ordninger for mobile enheter til brukerne. Det må settes av tid til opplæring, og det bør fases inn tilbakemeldinger fra brukere.

Kontainere og «dual persona» er typiske MDM-teknologier som Wallin anbefaler å vurdere. Kontainere går ut på å holde personlige applikasjoner og data strengt atskilt fra jobbapplikasjoner og forretningsdata, slik at man for eksempel kan fjernslette jobbdata uten å fjernslette private data. «Dual persona» fordeler mobiltelefonen på to brukere, og gir IT-avdelingen styring på jobbrukeren.

– Og uansett er det et poeng å definere regler for hvordan mobilt utstyr skal brukes.

Til toppen