BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

Transkript

1 BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC

2 BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis de ansatte får bruke sine egne IT-verktøy Bekvemmelighetshensyn kjente omgivelser og verktøy Enheten er allerede ferdig satt opp av den brukeren selv (!) Økt tilfredshet og trivsel Økt produktivitet 1. november 2013 SLIDE 10

3 BYOD eller ikke BYOD? BYOD byr også på en del mulige ulemper: Mulighet for sammenblanding av brukerens og virksomhetens data Økt infeksjonsfare Økt fare for tap eller tyveri av virksomhetens data Kompatibilitetsproblemer, OpenOffice på en Mac? Mulighet for at ansattes utstyr kan forstyrre normal drift Høyere supportkostnader om ikke tilfredsstillende policy/regelverk er på plass 1. november 2013 SLIDE 11

4 Hovedutfordringer med BYOD Overordnet styring (governance) og etterlevelse BYOD kan medføre brudd på lover og forskrifter, svekket tillit, tap av intellektuell eiendom, og forstyrrelse av kritiske forpliktelser Styring av mobile enheter (MDM) Man må bli i stand til å håndtere økende forventninger fra de ansatte når det gjelder mobilitet. Folk vil ønske å benytte flere ulike enheter eller applikasjoner når som helst, og fra hvor som helst Sikkerhet Overlatt til seg selv kan BYOD føre til tap av kontroll, påvirke tilgjengelighet i nettet og føre til tap/lekkasje av data. Man vil trenge robuste policyer og strategier for tilgang til virksomhetens nettverk for å oppnå en tilfredsstillende sikkerhet. 1. november 2013 SLIDE 12

5 Overordnet styring og etterlevelse Beste praksis: Man må kunne håndtere flere typer enheter den nye normen er minst 3, muligens 4 til 5 forskjellige! BYOD innebærer IKKE at du kan slutte å yte brukerstøtte hvis du først har sagt at de ansatte kan gjøre arbeid for virksomheten ved hjelp av sine personlige maskiner Er helpdesk i stand til å håndtere alle varianter av utstyr-og programvare? Risiko: Hvordan bli i stand til å oppdage ulike problemer som f.eks datalekkasje? Hvordan forhindre at kjipe ting kan skje? Hvilken forklaring skal jeg gi til ulike interessenter hvis sensitiv informasjon kommer på avveie? Kontroll: Hvilket risikonivå medfører BYOD og hvordan skal jeg kvantifisere dette? Hva er virksomhetens risikoapetitt? Hvordan vil risikoreduserende tiltak påvirke brukeropplevelsen og produktiviteten? 1. november 2013 SLIDE 13

6 Styring av mobile enheter (MDM) Brukernes forventninger: Er det mulig å finne et sett med regler for BYOD som balanserer virksomhetens behov for kontroll med et akseptabelt frustrasjonsnivå hos brukerne? Kostnader: Hvor mye penger må investeres for å kunne gi tilfredsstillende støtte til virksomhetens BYOD satsing? Hvordan forsikre seg mot at kostnadene galopperer? Verktøy: Man vil trenge fleksible måter å håndtere alt sammen på. Hvilke verktøy er tilgjengelige for å kunne håndtere og sikre virksomhetens informasjonseiendeler? Hvor mye verktøy og instrumentering er nødvendig? Kan eksisterende verktøy resirkuleres? 1. november 2013 SLIDE 14

7 Sikkerhet Datalekkasje: Muligheten for tap av sensitiv informasjon er en realitet! Hvordan kan man forsikre seg om at virksomhetens informasjon er på rett sted til rett tid, kryptert og eventuelt slettet i henhold til regelverket? Beskyttelse av nettverket: Håndtering av oppdateringer til applikasjoner og operativsystem Håndtering av identitet og logging Hvilke aksesskontroller vil jeg trenge for å kunne avgjøre hvilke enheter som kan få åpne en VPN-forbindelser eller som kan kople seg til virksomhetens trådløse nettverk? Ønsker man I det hele tatt å tillate oppkopling av enheter med ukjent status? Tapte/stjålne enheter: BYOD-enheter er typisk ALT for lett å miste! Statistikken er skyhøy her, og dette gjelder ikke bare for personer som reiser mye 1. november 2013 SLIDE 15

8 BYOD, hva er status presens? Kilde: ISACA 1. november 2013 SLIDE 16

9 Vi ønsker å tillate BYOD, hva bør vi gjøre? I grove trekk: Start med den kjedelige jobben, det vil si regelverket for hvordan løsningen skal forvaltes Deretter anskaff og ta i bruk egnet teknologi Ikke omvendt! 1. november 2013 SLIDE 17

10 Identifisere/klassifisere informasjon Det aller første man bør gjøre er å bestemme seg for hva slags informasjon BYOD kan operere på UFS 136 Klassifisering av informasjon kan være til god hjelp i dette arbeidet UFS 122 Sikkerhetsarkitektur for å få bestemme tilgang Tilgang til informasjon skal være basert på risikovurderinger 1. november 2013 SLIDE 18

11 1. november 2013 SLIDE 19

12 Definer en klar BYOD policy Ikke gjør den for rigid, etterstreb heller at den står seg over tid! Prøv å imøtekomme og balansere kravene fra både virksomheten og brukeren Fokus på: Å sikre sensitive data Å minimere kostnader Å gjøre det levelig for brukeren Å sikre at ustyret oppdateres regelmessig Å ta høyde for teknologisk innovasjon 1. november 2013 SLIDE 20

13 Sikring av informasjon Fokus på data i bevegelse og data i ro Krypter dialogen mellom BYOD og virksomhetens informasjonssystemer (SSL, VPN ) Vurder sertifisertbasert tilgang Brukerutstyret må kunne kryptere lagret informasjon på en sikker måte Vurder innretninger som kan identifisere om enheten er jailbreaked eller rooted Sørg for mekanismer som kan slette informasjon på enheten i tilfelle tap eller tyveri 1. november 2013 SLIDE 21

14 Samsvar med lover og regler Løsningen må være i samsvar med lover, regulatoriske krav og virksomhetens sikkerhetspolicy Tilgang til personopplysninger, forskningsdata og annen sensitiv informasjon Løsningen må inngå som en integrert del av virksomhetens risikovurderinger (ledelsens gjennomgang) 1. november 2013 SLIDE 22

15 Plattformer og enheter Utarbeid ei liste over hvilke plattformer og enheter som IT skal støtte Gjør det klart overfor brukeren at enheter som skal ha tilgang til virksomhetens nettverk og data må få installert et separat oppsett av IT Dette innebærer typisk: Installere sikkerhetsmekanismer og MDM Klargjøre tilgang til virksomhetens nettverk Installere applikasjoner til bruk i jobben Installere mekanismer for å skille privat informasjon fra virksomhetens informasjon 1. november 2013 SLIDE 23

16 Oppgrader støtteapparatet Støtteapparatet må få nødvendig opplæring i plattform, utstyr og programvare som tillates brukt under virksomhetens BYOD-profil Kilde: ISACA 1. november 2013 SLIDE 24

17 Nettverk infrastruktur Påse at virksomheten har en nettverk infrastruktur som vil tåle merbelastningen fra BYOD Er det tilstrekkelig kapasitet i nettet? Har vi et tilstrekkelig stort adresserom? Hvilken kryptering bruker vi i det trådløse nettet? Etabler et eget WLAN for enrollment av nye enheter Tilgangskontroll styres fortrinnsvis policybasert via MDM Enheter som ikke er utstyrt eller oppgradert i henhold til policy skal blokkeres 1. november 2013 SLIDE 25

18 Enheter som ikke lenger skal brukes Hvem eier enheten og innholdet ved reisens slutt? Enheten er mistet eller stjålet Eieren slutter og begynner i en konkurrerende bedrift Utarbeid en prosedyre som sikrer en grei og ryddig avslutning Både eierens og virksomhets interesser skal ivaretas så langt det er mulig Inngå en avtale med eieren at enheten kan slettes fullstendig i tilfelle tap eller tyveri 1. november 2013 SLIDE 26

19 Avtale mellom eier av BYOD og virksomheten Lag en skriftlig avtale hvor følgende elementer inngår (som et minimum): Rett til å slette all informasjon på mistede eller stjålne enheter Rett til å regulere og kontrollere (logge) enhetens tilgang til data og bruk av innebygget kamera Regulere bruk av epost og sosiale media Prosedyrer for å håndtere konfidensiell og annen sensitiv informasjon Bestemme triggere for å kunne rapportere tyveri eller misbruk av data 1. november 2013 SLIDE 27

20 Et par ord om MDM 1. november 2013 SLIDE 28

21 «Victory awaits him who has everything in order luck, people call it» «Defeat is certain for him who has neglected to take the necessary precautions in time; this is called bad luck» - from «The South Pole», by Roald Amundsen 1. november 2013 SLIDE 29

22 Lykke til! Spørsmål? 1. november 2013 SLIDE 30