Sælgerne hos finansvirksomheden Valguard Group har brug for hurtig adgang til præsentationer, klientdata og detaljer om møder, uanset hvor de selv befinder sig og uden en masse forhindringer.
Det betyder dog ikke, at de har brug for virksomhedens applikationer og alle dens data.
Derfor er adgangen bygget op om, hvordan brugerne får adgang til, hvad de behøver for at være produktive, uden at gå på kompromis med sikkerheden ved at give dem adgang til for meget, fortæller John Marcante, der er administrerende direktør og it-chef for virksomheden.
"Det er udfordringen. Man er nødt til at regne ud, hvordan man gør det brugbart og samtidigt sikkert. Det er sådan, verden er i dag," bemærker han.
Mobile medarbejdere er i dag et faktum i erhvervslivet. Man kan desværre ikke sige det samme om det perfekte sikkerhedssystem.
Det betyder, at it-afdelingerne kæmper for at holde trit med medarbejdernes efterspørgsel på en lige så sømløs adgang til virksomhedens applikationer som til de apps, de bruger privat, men som samtidig er sikker nok til at imødekomme kravene fra både virksomheden og lovgivningen.
"Det er virkeligt afgørende, at it-afdelingerne har fokus på værktøjer og løsninger, der leverer en god brugeroplevelse og samtidig overholder sikkerhedskravene. Hvis et værktøj er for besværligt eller irriterende for brugerne at få adgang til, vil de være mindre produktive, mere utilfredse og mere tilbøjelige til at bryde reglerne, hvilket potentiel gør virksomheden mere sårbar," påpeger Nisha Sharma, der er administrerende direktør for Accenture Mobility, der er del af Accenture Digital.
Tvunget til at kombinere værktøjer
It-chefer er ifølge Sharma nødt til at kombinere forskellige værktøjer for at ramme den rette balance mellem adgang og sikkerhed.
"Sikkerhedsløsninger må ikke forstyrre, og skal tilbyde den samme fremragende brugeroplevelse, som folk er vant til fra deres privatbrug af mobile enheder - man skal ikke få slutbrugerne til at forholde sig til, hvordan kompleks integrationen er i backend; de skal bare have adgang til det, de har brug for, med så få klik som muligt," lyder det fra Sharma.
Vi tager her et kig på, hvordan en række it-chefer griber den udfordring an.
Hvad er de faktiske behov?
Hos Vanguard Group kan sælgerne nu forberede og følge op på møder og få adgang til marketing-præsentationer og forretningsdokumenter fra mobil-apps.
Systemerne er pakket ind i en adgangskodebeskyttet krypteret container og medarbejderne har adgang såvel online som offline.
Det betyder, at medarbejderne kan være produktive, selvom de ikke har internetadgang, og adgangen er lettere og hurtigere, end hvis brugerne skulle koble sig på gennem et sikret netværk.
Vanguard Groups tilgang til at imødekomme sine sælgeres behov illustrerer et hovedtræk ved virksomhedens politik for mobilsikkerhed:
Gør hvert team i stand til, hvad de har behov for, på en sikker måde i stedet for at give alle adgang til alt eller blokere adgangen for alle til alt andet end de mest grundlæggende funktioner, påpeger Marcante.
"Forskellige forretningsmæssige behov imødekommes af forskellige løsninger, og vores tilgang handler ikke som sådan om at give adgang til virksomhedens data men nærmere om at designe løsninger til at imødekomme de specifikke behov," forklarer han.
Den tilgang sørger ifølge Marcante ikke kun for, at sælgerne får adgang til, hvad de har behov for, men den hjælper også it-afdelingen med at finde den rette balance mellem tilgængelighed og sikkerhed.
Nogen har brug for at læse dokumenter, men ikke downloade dem til deres enheder.
Andre har brug for adgang til dokumenter, også når de ikke har internetadgang. Det giver to forskellige sæt adgangskrav, der stiller hvert sit sæt af sikkerhedsmæssige krav.
"Vi har et par håndfulde forskellige af sådanne personaer på tværs af virksomheden, så vi kigger på hver af disse profiler for at finde ud af, hvordan vi kan imødekomme de specifikke behov," forklarer Mimi Heise, der er senior manager i Vanguard Groups it-afdeling.
Hun fortæller, at Vanguard Group benytter sig af mobile device management (MDM) og software til containerization, som gør det muligt for virksomheden at kryptere information, oprette adskilte områder på de mobile enheder til arbejdsdata og private data samt slette alle data via fjernadgang, hvis en enhed bliver væk eller stjålet.
Endnu vigtigere gør denne slags software ifølge Heise it-afdelingen i stand til at implementere sikkerhedslag både for enheder og for applikationer.
"Det betyder, at vi ikke behøver at have en politik, hvor samme regler gælder for alle," forklarer hun. Det åbner for lettere adgang for de medarbejdere, der ikke har brug for de tungeste lag af sikkerhed, som også er det, der tynger brugeroplevelsen.
Det er dog stadig ikke perfekt, bemærker hun.
"Den seneste løsning er bedre end den, vi havde for fire år siden. Og om nogle få år vil den være endnu bedre. Men der er stadig plads til forbedring" for at give brugerne en mere gnidningsfri, men også mere sikker oplevelse, understreger hun.
Med denne forbedring for øje er Vanguard Group ved at undersøge muligheden for at bruge såkaldt digital rights management-software (DRM), understøttelse af single sign-on og værktøjer, der gør det muligt at anvende en "bring your own identity"-tilgang (BYOID) til digital autentifikation.
En flerstrenget tilgang
Wes Wright, der er it-chef ved Seattle Children's Hospital, arbejder også på at balancere tilgængelighed og sikkerhed.
Hans it-afdeling betjener cirka 6.500 medarbejdere, hvoraf 4.000 ønsker at anvende mobile enheder som del af deres arbejde.
De medarbejdere kan enten bruge enheder, udleveret af hospitalet, eller deres egne bærbare, smartphones og tablets.
It-afdelingens tilgang til mobilsikkerhed er ifølge Wright baseret på de samme fem målsætninger som resten af it-driften: Stabilitet, sikkerhed, enkelhed, hastighed og tryghed.
"Det er vores tilgang i alle vores it-implementeringer," bemærker han.
"Hvis bare én af disse målsætninger mislykkes, stiger risikoen for fiasko. Men hvis man bare er nogenlunde med på alle fem områder, så er chancerne for succes ret gode."
I overensstemmelse med rådet fra Sharma nøjes Wright ikke med en enkelt sikkerhedsløsning.
Seattle Children's Hospital bruger værktøjer fra Microsoft til at håndhæve det krav, at alle enheder skal være låst med adgangskode, og til at slette alle data via fjernadgang på mistede enheder.
Wright bruger også software fra leverandørerne Accellion og Proofpoint, som tilbyder værktøjer, der gør det muligt for brugerne med blot et enkelt klik at kryptere fortrolige informationer sendt via e-mail.
Desuden har han implementeret virtuelle desktoppe, så medarbejderne kan få sikker adgang til forretningsprogrammer og -data ved blot at åbne en browser og foretage en tofaktor-autentifikation, ligegyldigt hvilken enhed der bruges - det være sig smartphone, tablet eller privat stationær computer.
Med den virtuelle desktop forbliver alting i hospitalets datacenter, og kommer ikke til at ligge på brugerens enhed.
"For slutbrugerne ser det ud og føles nøjagtigt som på arbejds-pc'en, uanset hvilken enhed de bruger," forklarer Wright.
"Det værdsætter de. Det fungerer også rimeligt hurtigt."
Wright indrømmer dog, at selvom disse teknologier er ligetil, så er systemet ikke uden fejl.
For eksempel er hospitalets tilgang til kryptering afhængigt af, at brugerne erkender, at en given information er fortrolig og husker at kryptere den, mens modtagere uden for hospitalet skal registreres for at kunne modtage og åbne den beskyttede information.
Brugerne kan heller ikke jonglere mellem applikationer på den virtuelle desktop og applikationer uden for det miljø. Desuden er det kompliceret og dyrt at opsætte en virtuel desktop, bemærker han.
"Det er ikke så sømløst, som jeg gerne ville have det, men det er det bedste, vi p.t. har til rådighed. Og med den virtuelle desktop synes jeg, at vi er meget tæt på perfektion," konkluderer Wright.
Mange sikkerhedslag
Roger L. Neal, der er vice president og it-chef for Duncan Regional Hospital, er i en lignende situation.
"Alle vil gerne have, at det er sømløst. Det vil jeg også selv. Jeg vil kunne være på min telefon, og så nemt hoppe over på computeren for at arbejde på mit regneark eller tjekke e-mail. Og jeg vil have, at der er fuld synkronisering, og at jeg kun skal bruge én adgangskode," siger han.
"Problemet er desværre, så vidt jeg ved, at der ikke findes en perfekt løsning, der kan få alt det til at ske. Man har brug for en kombination af ting."
Neal og medarbejderne i hans it-afdeling står overfor en række udfordringer.
For eksempel har bestemte grupper af brugere behov for adgang til applikationer og data med forskellige sikkerhedsniveauer.
Cirka 3.000 medarbejdere har brug for adgang til forretningsprogrammer, hvoraf 80-90 procent har behov for mobil adgang i en eller anden grad.
Kun enheder udleveret af hospitalet kan tilgå kliniske oplysninger, men til andre formål kan medarbejderne bruge deres egne computere og mobile enheder.
Politik og regler først
Neal fortæller, at han altid begynder med at udvikle politikker, der fastsætter hvem, der får adgang til hvad, samt krav til medarbejderne om at anvende stærke adgangskoder og gennemføre træning i god sikkerhedspraksis.
Derefter udruller it-afdelingen teknologier til at håndhæve disse krav uden at belaste brugerne alt for meget.
I praksis begynder det med en opsætning af Active Directory således, at en brugers niveau af adgang afgøres af brugerens jobfunktion.
Der er også et system til single sign-on, hvor enhederne aflæser medarbejdernes adgangskort med RFID-chip, hver gang de er inden for en halv meters afstand i mere end to sekunder.
Hvis man har glemt sit adgangskort, kan man dog stadig indtaste sit brugernavn og sin adgangskode.
Systemet logger automatisk brugerne af efter en foruddefineret periode, eller når adgangskortet har bevæget sig uden for rækkevidde.
Også Duncan Regional Hospital anvender virtuelle desktoppe for at give mobilbrugere adgang, uden at dataene forlader datacentret.
Implementeringen af disse teknologier har ifølge Neal øget både graden af mobil adgang og dens tilgængelig i løbet af de sidste få år, men han erkender, at der stadig er udfordringer. For eksempel kan det ske, at forbindelsen ryger, eller at systemer ikke fungerer helt som de burde på den virtuelle desktop.
"Vi har de sidste få år brugt mange penge og ressourcer på at få mobility til at spille, fordi vi ved, at det er den bedste model til de opgaver, vi står med. Informationerne skal være tilgængelige ved sengene, eller hvor end patienterne er," siger Neal. "Og jeg synes, vi gør et rigtigt godt stykke arbejde. Er det perfekt? Nej. Vil det være det om yderligere fem år? Nej. Men vi forsøger alligevel at finde den bedste måde at gøre tingene."
Forbedret adgang
Forbedring er også det, der driver it-afdelingen ved Idaho National Laboratory.
Denne amerikanske føderale forskningsinstitution er i færd med at udrulle teknologier med det mål at gøre mobil adgang for medarbejderne meget lettere, fortæller Hortense K. Nelson, der er chef for programintegration i information management-afdelingen ved Idaho National Laboratory.
Institutionen har cirka 4.000 medarbejdere, og dens it-afdeling supporterer 1.300 mobile enheder - en kombination af både udleverede og medarbejdernes egne smartphones og tablets - og cirka 8.000 bærbare, der er institutionens egne.
I årevis har Idaho National Laboratory brugt softwaren LANDesk til at sikre sine bærbare, og der anvendes MDM-software til at administrere tablets og smartphones.
Medarbejderne har dog endnu kun adgang til e-mails, kontakter og kalendere på deres mobile enheder, fortæller Nelson.
Men det ændrer sig i år. I løbet af de sidste to år er Google Apps blevet udrullet, og denne cloud-baserede løsning gør det muligt for medarbejderne at arbejde hvor som helst, når som helst.
Sikkerhedsmæssige hensyn har dog afholdt it-afdelingen fra at åbne hele miljøet for mobil adgang.
For at gøre det muligt er Idaho National Laboratory nu ved at udrulle en platform til mobility-administration i store virksomheder fra AirWatch, som ifølge Nelson overholder de retningslinjer, der er beskrevet i Federal Information Processing Standard (FIPS) Publication 140-2.
Dette system gør det let at provisionere, og inkluderer tofaktor-autentifikation, mulighed for at slette alle data via fjernadgang, containere til adskillelse af arbejdsdata og private data samt kontrol på applikationsniveau.
Og da Google Apps bor i skyen kommer hverken applikationerne eller dataene til at ligge på de mobile enheder.
Nelson understreger, at ikke alle systemer og data vil blive tilgængelige via mobil adgang:
"Vi har visse datasæt, som altid vil være utilgængelige for alt andet end stærkt sikrede netværk," forklarer hun.
Men værktøjerne, der er ved at blive udrullet, vil gøre det muligt for medarbejderne at få adgang til omtrent 90 procent af arbejdsprocesserne.
Medarbejderne vil ifølge Nelson have bredere og lettere adgang fra mobile enheder, før året er omme.
Men det ender næppe der.
Hun fortæller, at it-afdelingen vil fortsætte med at evaluere teknologierne, fordi hun, ligesom it-ledere alle vegne, er klar over, at efterspørgslen på mobil adgang vil blive ved med at vokse - sammen med risiciene og mængden af sikkerhedsforanstaltninger, der er brug for til at imødegå disse risici.
Best practice
Her har du en række best practices til dit arbejde med at skabe en sikker og sømløs mobiloplevelse for dine slutbrugere:
- Implementer forskellige niveauer af sikkerhed, der imødekommer de faktiske behov hos bestemte grupper af brugere.
"De fleste organisationer forsøger at ramme alle brugere med en samlet løsning, og det skaber altid en meget dårlig brugeroplevelse for visse brugere," understreger Gartner-analytiker Dionisio Zumerle.
- Gem så lidt data som muligt på selve de mobile enheder - og slet ingen følsomme data.
- Sørg for, at sikkerheden fra starten er tænkt ind i applikationer og enheder.
- Anvend teknologier, der tilbyder mere avancerede muligheder end MDM-systemer. Det kan for eksempel være application wrapping og sikre netværks-gateways. "Placer sikkerhedsforanstaltninger så tæt på dataene som muligt, så brugerne ikke møder forhindringer," lyder rådet fra Forrester-analytiker Tyler Shields.
- Brug risikobaserede systemer til mobiladministration. Sådanne værktøjer kan ifølge Shields tage højde for brugernes risikoprofil i vurderingen af, hvad de må og ikke må få adgang til. De gør det også muligt at blokere en bruger fra netværket, hvis han for eksempel har downloadet en tvivlsom app.
- Implementer kontrol på applikationsniveau i håndteringen af mobile enheder. Det giver kontrol over dataene uden at låse smartphones og tablets, påpeger Zumerle.
- Overvej at anvende fingeraftryksbaseret autentifikation til at logge ind på enheder i stedet for adgangskoder.
- Hvil aldrig på laurbærrene. Det er svært at skabe en langsigtet strategi for mobilsikkerhed, fordi enhederne, styresystemerne og selve sikkerhedsværktøjerne udvikler sig så hurtigt.
"Derfor er det afgørende at vælge løsninger, der ikke låser dig fast," advarer Zumerle.
Oversat af Thomas Bøndergaard
