Idag använder företagens medarbetare ofta privata mobiler och surfplattor för att utföra jobbuppgifter.
Men oftast skyddas dessa mobila enheter inte av företagens säkerhetslösningar. Många företag skulle gärna vilja ha mer kontroll – men omsorgen om de anställdas privatliv står i vägen. Hur ska företagen kunna möta både de anställdas behov av personlig integritet och företagets behov av att kontrollera att deras viktigaste information inte sprids?
Problematiken grundar sig i att anställda använder sina mobila enheter både privat och professionellt. Det genomsnittliga antalet appar på en mobil uppskattas till 80, och många kan användas både privat och i jobbet. WhatsApp och Skype kan till exempel användas för att kommunicera både inom och utanför företaget. Dropbox kan öka produktiviteten i arbetet – eller för att dela semesterbilder. Att använda appar medför helt enkelt säkerhetsrisker när de används på mobila enheter utanför IT-avdelningens räckvidd.
Ur företagets synvinkel möjliggör mobilerna distansarbete genom att medarbetaren kan koppla upp sig till företagets nätverk och där komma åt den information och system hen behöver. Men kombinationen av privat och yrkesmässigt bruk skapar ett dilemma; hur kan man dra nytta av alla fördelar utan att tumma på vare sig företagets säkerhet eller de anställdas integritet?
Följderna av att misslyckas med säkerheten kan dessutom bli allvarliga: Att företagets verksamhet störs av intrång, att ryktet skadas av att information läcker ut och att medarbetarnas lojalitet till företaget påverkas.
Att utöka IT-avdelningens kontroll så att de kan bevaka enheterna och bestämma vilka appar som bör användas eller tas bort är dock inte svaret. Detta skulle med största säkerhet uppfattas som ett intrång på medarbetarens privatliv, till exempel om arbetsgivaren plötsligt raderat en app eller får tillgång till privata bilder eller konversationer. Även om företaget inte skulle ta sig den friheten är vetskapen om möjligheten så obehaglig att det aldrig skulle accepteras i en modern organisation. Arbetsgivaren behöver istället attackera problemet utan att medarbetarnas privata sfär riskeras, även om det i vissa avseenden kan innebära en högre risk. Relationen mellan arbetsgivare och anställd baseras ju på ömsesidigt förtroende, och är dessutom något som bidrar till ett väl fungerande säkerhetsarbete.
Företag får dessutom inte, på grund av dataskyddsförordningen GDPR, övervaka sina anställda utan deras uttryckliga godkännande. Samtidigt som företaget är ansvarigt och kan komma att skadas eller till och med bötfällas om en cyberbrottsling skulle hacka sig in i en verksamhets nätverk och få tag på medarbetarnas eller kundernas personuppgifter, oavsett om skadan beror på en anställds försummelse.
Idag finns det dock lösningar för mobil säkerhet som verksamheter kan ge till sina anställda för att skydda deras mobila enheter – och som inte skickar någon som helst privat information till arbetsgivaren. Företaget får då möjlighet att bedöma hälsan på de privata mobilerna och avgöra vilken tillgång de ska få till företagets information. Medarbetarna får å sin sida en mobil som är bättre skyddad och slipper riskera att ställa till det för sin arbetsgivare. På så sätt kan mobilsäkerheten tas på allvar – utan att medarbetare känner sig övervakade av sin egen arbetsgivare.
Långsiktigt är det viktigaste att såväl ledningen som varje medarbetare deltar i säkerhetsarbetet. Arbetet med säkerhetsåtgärder och integritetsskydd behöver utformas och utvecklas parallellt. För att det här ska kunna genomföras i praktiken måste frågan stå på högsta ledningens agenda.
I arbetet med att skydda känslig information bör man alltså inte se medarbetarnas krav på integritet som ett problem. De medarbetare som känner tillit till sin arbetsgivare är tvärtom mer benägna att skydda företaget, och larma om de stöter på något som kan utgöra en fara. Individen kan då vara en viktig del av strategin för att öka säkerheten. Genom att visa anställda respekt och utforma säkerhetsstrategin därefter kommer alla att vinna.
