Hvorfor løser en Container løsning GDPR udfordringerne?
Jeg har i tidligere indlæg skitseret nogle af de alvorlige udfordringer, som virksomheder har med de ansattes mobile enheder i forhold til Persondataforordningen, fx:
- Medarbejderne deler virksomheds relaterede informationer med Samsung, Dropbox, Apple, Snapchat, Facebook, Microsoft, Endomondo, og mange flere uden at medarbejderen er klar over det.
- Medarbejderen gemmer (utilsigtet) virksomhedsdata i cloudtjenester
- Virksomheden kan indhente informationer om medarbejdernes privatliv.
Jeg har p.t. ikke set hverken Apple eller Google/Android løse disse udfordringer tilfredssstillende, dvs. på en måde, hvor ovenstående scenarier løses for derved at gøre virksomheden, herunder medarbejdernes mobile enheder compliant iht. Persondataforordningen!
Så længe at vi blander virksomheds relaterede informationer, så som kontakter, kalender, emails, vedhæftede filer og dokumenter sammen med de private data på enhederne, så har virksomheden ikke nogen reel kontrol over virksomhedens data.
I flg. lovgivningen, så skal en virksomhed vide hvor især personhenførbar data er placeret, og hvis en jobansøgning ligger i HR-chefens Dropbox eller iCloud backup, så har virksomheden ikke kontrol med disse data, og kan i hvert fald næppe stille med en “databehandleraftale” mellem virksomheden og fx. Dropbox, Snapchat, Apple, Google, osv.
I mine øjne er den p.t. bedste løsning en PIM-container-løsning.
Hvad er en PIM-container ?
PIM er en branche forkortelse for Personal Information Manager, dvs en app, som du installerer på din smartphone, og inde i denne app, er der adgang til virksomhedens data, i form af emails, kalenderdata, kontakter).
Flere af de førende device management løsninger tilbyder en PIM-container, især til at håndtere BYOD enheder og som et alternativ til at benytte producentens egne apps (der fletter private og virksomhedsdata).
Som sagt, så lader man device management løsningen udrulle denne app på medarbejderens mobile enhed (altså enten smartphone eller tablet).
Fungerer på både iOS og Android, og naturligvis både til smartphone og tablets.
Der ligger altså en app på brugernes mobile enhed, som de skal klikke på for at komme ind til deres PIM data.
Denne app er oftest krypteret efter alle kunstens regler (fx. AES 256).
Krypteringen forhindrer at hackere reelt ville kunne bruge data uanset hvordan de skulle få adgang til dem. Det betyder også at eventuelle sniffende apps ikke vil kunne få adgang til disse data.
Brugeren skal nu logge ind på enheden.
PIM containeren og virksomhedens device management system oftest er forbundet til virksomhedens AD (med fx. LDAP opslag). Det betyder at en opsagt medarbejder, som bliver lukket i AD’et af fx. HR-afdelingen, straks slå igennem ude på den mobile enhed og fjerner brugerens adgang virksomhedens data.
Nuvel, Administrator på systemet har nu krævet at brugeren skal have en pin-kode på containeren. Kompleksiteten sætter administratoren.
Brugeren indtaster nu sin private PIN-kode, hvorved containeren decrypteres og brugeren har nu adgang til virksomhedens data.
Sophos’ løsning kan benytte “fingerprint” sensoren, hvis virksomheden accepterer dette.
Inde i containeren finder vi disse 3 faner:
I kalender delen er der adgang til medarbejderens kalender med mulighed for at booke nye møder med medarbejdere og reservere lokaler.
Email delen kan sættes op til at hente fx. den sidste uge, 14 dage, sidste måned emails ned, og vedhæftede filer, men også billeder, bliver fx. kun hentet ned, når ejeren af smartphonen er på et WiFi.
Under Kontakter ligger alle de kontaktinformationer, som administrator og/eller brugeren beder om at få synkroniseret ud. Fx. får jeg ikke virksomhedens globale adresse bog rullet ud.
Tre indvendinger plejer her at dukke op:
- Jeg kan nu ikke se min private kalender og derved tilsikre at jeg ikke har et privat arrangement. På nogle systemer er det faktisk muligt at hente sin private Google kalender IND i containeren. Omvendt kommer ikke til at ske.
- Nu kan jeg ikke se hvem der ringer, da denne persons data ikke er i native app’en. Nogle systemer tillader at kopiere kontakt informationer, så som fornavn og telefonnummer, ud af containeren og ud i privatdelen.
- Hvad med mine notifikationer ? Containerløsningerne vil stadigvæk give dig besked på din smartphone om et møde eller modtaget email. Men administrator har måske begrænset det således at brugeren (og andre) kun kan se at der er kommet en besked eller er et møde om een time, men uden metadata, som møde emne eller email emnet og afsender.
MCM eller Mobile Content Management.
Flere løsninger går videre en basal device management og giver brugeren et alternativ til fx. Dropbox, i form af en container, der sikrer vedhæftede filer til emails, adgang til firmaets interne filshares, vigtige dokumenter til daglig dagen.
Disse løsninger benævnes vi i dag, som EMM løsninger for Enterprise Mobile Management, og IKKE mere for MDM-løsninger, vi taler altså om 2. generation af device management løsninger. (Læs uddybende her).
Dette “Workspace” kan sættes op til Office365, OneDrive og sågar Dropbox, vel og mærket så brugeren får lov til at downloade filer fra Dropbox, men kan ikke uploade. Salgschefen kan sikre at sælgerne altid har de sidste nye prislister ude på deres enheder.
Pas på “Open In”!
Bemærk at i denne container, så er det muligt at oprette både Word dokumenter, Excel, Powerpoint, mm. Det er også muligt for virksomheden at begrænse muligheden for at et dokument kan blive redigeret uden for containeren, fx Pages på en iPad, eller andet. (hvorved dokumentet er ude af containeren på måske på vej op i en backup).
Tag billeder INDE i containeren.
Og med hensyn til problematikken omkring at tage billeder af virksomheds relaterede ting, og måske følsomme data, så kan man her tage et foto og billedet bliver gemt inde i containeren.
MAM – Mobile Application Management
Mange virksomheder vil gerne udrulle bestemte apps på medarbejdernes mobile enheder. Det kan være egen udviklede apps, som fx. DSB, der har en app til att togfolk, hjemmeplejen har flere apps. Måske en app til registrering af arbejdstid eller kørsels regnskab. Måske vil administrator blot anbefale den bedste PDF-app?
De fleste MDM løsninger og i hvert fald EMM løsninger kan naturligvis også distribuere apps ud på enhederne. Man kan enten “pushe” dem ud til medarbejderne eller lave en “intern app”-store med de apps, som medarbejderne kunne hente ned.
Her til venstre er der 7 apps, som administrator anbefaler.
Basal MDM er stadigvæk muligt.
I mange situationer, hvor virksomheder vælger udelukkende at benytte PIM container løsningen, så kan der alligevel være behov for basal device management på enheden. Oftest vil det være opsætning af virksomhedens WiFi. Og Pinkode på hele enheden, ja…det er reelt ikke virksomhedens problem længere. For den har jo sat en Pinkode på containeren!
I figuren lige herover ser du også et punkt der hedder “Messages”. Her kan fx. system administrator sende beskeder ud til medarbejderne om at der er anbefalet en ny app, at Exchange serveren er nede eller at der er fredagsbar.
Endelig vil jeg fremhæve “About privacy”, som er et sted, hvor virksomheden har mulighed for at præcisere sin politik omkring overvågning, om hvad den overvåger på medarbejdernes mobile enheder og ikke gør. Ved at bruge denne funktion har medarbejderen altid mulighed for at få ro i sindet ved lige at læse denne tekst.
Min konklusion.
En container løsning giver virksomheden den optimale sikkerhed omkring virksomhedens data, hvad angår “appware” og (u-)tilsigtet deling af data.
Indrulles medarbejdernes mobile enheder som “private” (se dette indlæg: “Dette skal dit device management system, som minimum kunne!“) i kombination med containeren, så opnås overholdelse af Persondataforordningen (altså i dette sammenhæng!) og beskyttelsen af virksomheds data.
Her til kommer at virksomheden kan indkøbe en menet bredere vifte af mobile enheder, både Android og iOS, samt tillade Bring-Your-Own-Device, da container appen stort set er ens på alle platforme og uafhængig af det enkelte OS.
At containeren også løser andre problemstillinger, som jeg har blogget om tidligere, gør den kun endnu mere interessant for virksomhederne.
Og så lige til sidst: PIM containeren må IKKE forveksles med funktionen Knox Container på Samsung enheder, eller Googles “Androids for Work” eller “Android Enterprise”.
Hvis du er usikker på forskellen mellem MDM, EMM og UEM for betegnelsen af device management løsninger, så læs dette indlæg:
