Utomlands kan man ibland se skyltar om att man kan ta med sig eget vin på restaurangen. Just att ta med eget vin till en restaurang är inte tillåtet i Sverige, men liknande koncept börjar höras i allt andra sammanhang. Ta med din egen laptop/surfplatta/telefon/enhet är ett ledord för dagen i vår vardag. En möjlighet såväl som utmaning för flertalet organisationer. Det ter sig tämligen praktiskt att alla tar med sig sin egen utrustning som då organisationen vare sig behöver bekosta eller underhålla. Samtidigt finns det en rad utmaningar som kanske inte väger upp planerna för flexibilitet eller kostnadsbesparande.
All hantering av information ska utgå från informationens skyddsvärde. I praktiken så kan det betyda att om informationen är öppen så kan den spridas, är den intern bör den inte komma på avvägar och är den hemlig så får den inte yppas för någon utomstående; en enkel klassningsmodell. Modellen gäller för alla typer av information: utskrifter, pärmar, blädderblock, digitala kopior av presentationer och e-post. Om det sedan handlar om att man kan ta del av informationen på papper, på en laptop, på en fastskruvad skärm i ett låst utrymme eller en telefon ska inte spela någon roll. Hela tiden ska informationen hanteras enligt det som är beskrivet i klassningsmodellen.
Dagens ultraportabla enheter (det vill säga läsplattor, surfplattor och (o)smarta telefoner) är inget undantag från det klassningsmodellen beskriver och det som kontrollkatalogen ställer som krav. Vad är då en kontrollkatalog? Jo, det är den lista på skyddsmekanismer man kan ta till för att informationen ska kunna skyddas. Det kan t.ex. beskrivas att alla enheter som lagrar hemlig information och som lämnar organisationens fysiska område ska vara krypterade. En bärbar PC som har diskkryptering uppfyller kravet, medan en smart telefon utan kryptering inte gör det. Således ska ingen hemlig/känslig information lagras på en sådan telefon. Alltså kan den inte godkännas utifrån här exemplifierade klassningsmodell och kontrollkatalog.
Det jag skrev ovan är en påhittad och förenklad verklighet gällande klassningsmodell och kontrollkatalog, men mycket svårare än så är det egentligen inte. Genom att informera användarna om vilka skyddskontroller som är obligatoriska så kan man kräva skydd av känslig information. Naturligtvis bygger det på att organisationen har en klassningsmodell och en kontrollkatalog. Då kommer nästa lilla problem. Säg att man har som policy att göra en fjärradering av hela enheten ifall den anmäls stulen. Hur gör man med enheter som delvis är privata? Får man som organisation radera en användares privata telefon med semesterbilder, legalt nedladdade e-böcker och ett idogt ihopsamlat musikbibliotek?
Om privat och tjänsteinformation blandas, så suddas gränserna ut mellan vad som är användarens och vad som är arbetsgivarens. Återigen blir svaret: ha en väl framarbetad policy och presentera den inför användaren innan denne använder sin egen enhet. Beskriv möjligheterna, men glöm inte bort skyldigheterna och riskerna. Att få ta del av information mobilt (t.ex. på resa) gör att man känner sig effektiv och använder tiden optimalt. Att som organisation bara säga nej är idag inte längre en väg att gå, i vart fall inte utan ordentliga argument.
Carl Önne
