Den nyinköpta tjänstemobilen

2017-02-13

"Hos oss får de anställda välja vilken mobiltelefon de vill. Vi tycker det är en viktig tjänsteförmån att själv få välja och givetvis får de använda den obegränsat för privat bruk också!"
- Ledningsgruppen

Det låter som att ni är en generös arbetsgivare och det uppskattas säkert. Klart att jag som säkerhetsrådgivare skulle kunna prata om alla de fördelar det finns med att standardisera till en och samma mobilplattform, vilket innebär att alla anställda får samma märke och kanske även modell av tjänstemobilen. Men, eftersom ni har bestämt er för att ha det på detta sätt skulle jag vilja bidra med några tankar om vad ni rent säkerhetsmässigt behöver överväga för att behålla kontrollen över affärshemligheter, personuppgifter och annan skyddsvärd information.

Varsågod, här är din nya mobiltelefon!
Den nya mobiltelefonen ankommer kontoret. Den finns nu att hämta i receptionen eller hos närmsta chef. Paketet är inte ens uppackat. Det medföljer ett kuvert med SIM-kort och några kortfattade instruktioner. Bara att sätta igång! Den anställde får själv konfigurera telefonen, registrera den hos tillverkaren och installera de appar som önskas. Allt är frid och fröjd kan tyckas.

Känns detta scenario igen? Det behöver inte endast gälla mobiler till nyanställda, utan även till de som byter ut sin gamla mobiltelefon.

Tydliggör vad som gäller och komplettera er IT-policy
Vår erfarenhet är att det saknas en del "tänk" angående mobiltelefonin hos privata företag. Det finns oftast bättre rutiner för en bärbar dator än för en mobiltelefon. Båda enheter lagrar dock i de flesta fall en lika stor mängd känslig affärskommunikation, så glöm inte bort mobilen!

  • Vilka administrativa och tekniska rutiner ska utföras innan en ny mobiltelefon tas i bruk?
  • Vad tycker ni som arbetsgivare det är ok att göra med tjänstemobilen?
  • Vilken företagsinformation ska få lagras där och hur ska den skyddas?
  • Vilka rutiner gäller om mobiltelefonen tappas bort eller blir stulen?
  • Hur ska den mobila enheten hanteras när en anställd säger upp sig eller blir skild från sin anställning?
För att lista några mer specifika saker som oftast glöms bort skulle vi vilja nämna nedanstående:

  1. Tänk på att både iPhones och Android-telefoner vid registrering kräver att en mejladress ska anges, oftast en @icloud.com eller en @gmail.com. Om inte ni som arbetsgivare har registrerat en sådan mejladress för den anställde, så kommer med stor sannolikhet en privat mejladress att användas. Detta innebär att ni som arbetsgivare inte har någon rätt att kräva access till den företagsinformation som synkroniserats till Apple eller Google när en anställning avslutas. Det kan finnas allt från företagsmejl med bilagor, bilder på whiteboard-tavlan tagna med mobilkameran, affärskommunikation via SMS/MMS, m.m. kvar på molntjänster utanför er kontroll.
  2. För en lista över företagets mobiltelefoner, dess serienummer, användare och användarkonto (mejladress).
  3. Aktivera möjligheten att kunna fjärrlåsa samt radera mobilens innehåll från distans. Det finns flera olika lösningar för detta.
  4. Se till att skydda företagets e-postkommunikation genom ett extra lager av säkerhet. Det räcker inte med ett s.k. kommunikationskrypto som skyddar innehållet mellan mejlservern och tjänstetelefonen. Även de lagrade mejlen behöver skyddas.
  5. Informera den som ska avsluta sin anställning om att även mobiltelefonen ska återlämnas med PIN-koder och passfraser. Poängtera att ingen information eller appar får raderas från mobilen innan den lämnas in.
Listan kan göras lång, men ovanstående är de vanligaste bristerna vi ser vid olika typer av incidenter och IT-forensiska utredningar.

- Peter Bayer