• Pieter Spilling

Hva BYOD har lært oss?

I begynnelsen var IT-sjefens ord lov. Du måtte følge retningslinjene og de dataverktøyene du fikk tildelt. IT-sjefen var allmektig – det var kun han som bestemte hvilke verktøy som skulle brukes i virksomheten. Så skjedde det et under – iPhone ble lansert og tok verden med storm. Brukerne elsket den usedvanlig brukervennlige telefonen, som også var både fotoapparat og musikkspiller, og den kunne enkelt koble seg opp mot firma e-posten. Med iPhone fulgte også App-store og den åpnet et helt nytt univers for programvaredistribusjon og personlige produktivitetsverktøy som ikke lenger IT-sjefen kunne kontrollere. IT-sjefene ble presset mer og mer til å gi sluttbrukerne støtte for e-post på de nye flotte dingsene som mange hadde kjøpt for egne penger.

Av: Arnór Kristjánsson, sjefskonsulent i Move

Arnor Kristjansson er sjefskonsulent i Move og har jobbet med klient-teknologi i 15 år.

Før smartphone entusiastene dukket opp hadde en liten gjeng av superentusiastiske Mac-brukere prøvd å få lov til å bruke Mac’er på jobben, til varierende suksess. IT sjefene hadde prøvd, men hatt liten suksess med å stappe disse Mac maskinene inn i sine eksisterende nettverk og var, forståelig nok, skeptiske til disse nye i-dingsene som hadde begynt å dukke opp.


Det som hadde vært løsbart ved å kjøpe noen få ekstra software produkter som ADmitMac og Parallels Mac Management for SCCM, begynte å bli enda mer vanskelig å håndtere når det gjaldt iPhone OS - senere omdøpt om til iOS - og det ble ikke lettere når Android dukket opp.



Bring Your Own Device ble født og brukerne var kjempehappy…mest fordi de kunne bruke jobbmailen på mobiltelefonen sin, men også fordi de fikk påvirket IT strategien på arbeidsplassen.




1. lærdom:

Man kan ikke bruke gammel teknologi for å dekke nye behov


Jeg var på et seminar på Ullevål stadion tilbake i 2013, hvor en av talerne introduserte oss for et begrep som jeg ikke kjent med fra tidligere: BYOD, eller “Bring Your Own Disaster”! Forsikringsselskapet han jobbet i hadde et godt system på PCene sine, men hadde erfart at helt vanlige ting som å ha en policy som krevde at alle maskiner som koblet til Sharepoint måtte være domain-joinet, fungerte ikke lenger. De hadde funnet ut at det kostet mindre å bruke en iPad enn å bruke en laptop, men sikkerhetssjefen var helt sikker i sin sak og fikk tvunget bedriften til å bruke mer penger på hardware.

Det vi gjør i dag er at vi prøver å unngå å melde maskiner, inkl Win10 inn i Active Directory, fordi det har flere ulemper enn fordeler.


2. lærdom:

Teknologi er ikke alt


På en annen seanse, denne gangen på Plaza ved Oslo S, var en annen taler fra en softwareleverandør som fortalte oss at IT er tre ting: teknologi, prosesser og mennesker. Dette med mennesker er enkelt nok å forstå, men jeg hadde ikke fått med meg forskjellen mellom prosesser og teknologi før.

Hvis vi tar et blikk tilbake til gamle dager, brukte vi Symantec Ghost for å tanke PC’er og så Altiris eller ManageEngine eller System Center eller hva det måtte være for å drifte maskinparken. For å hindre sluttbrukeren i å installere ting som ikke hørte hjemme på PC’en fjernet vi admin-rettigheter fra brukerkontoen hans og installerte antivirus software. Men når vi begynte å drifte mobiltelefoner så var det ikke mulig å tanke dem på forhånd med et basisoppsett og det var hverken mulig å installere en agent for å drifte mobilparken eller kjøre scripts. I stedet måtte vi bruke Mobile Device Management API’er, MDM, som ga den funksjonaliteten som Apple, Google og etter hvert Microsoft mente vi skulle ha. Samtidig hadde brukerne klart å overbevise bedriften om at de skulle få mobiltelefon fra jobben og vi måtte begynne drifte begge deler. I første omgang var skillelinja ganske enkel: MDM teknologi for BYOD enheter og System Center for alt annet.

Det var da vi begynte å bruke begrep som COBO (Company-owned business-only) og COPE (Company-owned personally enabled), fordi selvsagt måtte sluttbrukerne nå få lov til å installere alt de hadde lyst til på mobiltelefonene

Når penge-tellerne så hvor mye billigere det var å drifte mobiltelefoner enn laptoper begynte vi å lure om det også kunne være billigere å drifte laptoper med samme teknologi. For å gjøre et komplekst bilde enkelt kan man si det er godt mulig, men det er ikke bare fordi MDM er billigere. Både forskning og erfaring viser at det er rimeligere å gi sluttbrukeren mulighet for å endre systeminnstillinger og installere software; og ikke fjerne admin-rettighetene. Hvor mye, spør du kanskje? Ganske presist $133,75 i året.


Dette førte til at modellen vi brukte for administrere PC’er ble snudd opp-ned. Det som før hadde vært teknologi -> prosess -> folk, ble endret til folk -> prosess -> teknologi. Det vi gjør i dag er å sette brukeropplevelsen i fokus, fordi teknologien har blitt såpass rimelig at vi ikke må la brukerne lide for våre valg.

3. lærdom:

Perimeter-basert sikkerhet er ikke til å stole på


Våren 2018 kjøpte jeg en pakke med høvelblad hos frisøren som jeg puttet i lomma på jakken min. Cirka en uke senere stod jeg i sikkerhetskontrollen på Heathrow, ferdig med Jamf 200 kurs og sertifisering på vei tilbake til Norge hvor en av kontrollørene hentet pakken med høvelblad fra jakkelomma og sa at det var ikke lov å ta det med om bord. Da hadde denne pakken gått igjennom sikkerhetsregimet på Gardermoen uten å bli oppdaget. Dette var sikkert flaks, men når man ser på trusselbildet vi står foran i det daglige begynner man å tenke på hvor stor grad de vanlige sikkerhetsrutinene som brukes i IT systemer faktisk fungerer.


Når man ser på historien ser vi at vi har bygget IT sikkerhet som en festning. Kort sagt så består en festning av ytre murer og soldater som kan flytte seg fra en side til en annen etter fra hvilken retning fienden angriper. På samme måte har vi prøvd å bygge en mur rundt PC’ene, som er vel og bra med stasjonære maskiner på et lukket nettverk men kan være utrolig vanskelig å vedlikeholde i den mobile verden.


Det vi gjør i dag er å bruke zero-trust metodikk når det gjelder sikkerhet på mobile enheter. De mobile enhetene settes på utsiden av festningsmurene og tillater bare trafikk fra de individuelle, trustede applikasjoner vi har installert på PC’ene. Ved å bruke denne metoden kan vi gi individuelle applikasjoner tilgang til ressurser på datasenteret og kan unngå å slippe hele PC‘en inn på nettverket og ikke minst: vi slipper å låse ned hele PC‘en bare fordi brukeren måtte sitte hjemme.



Vi må tenke annerledes


Hvis man tar disse erfaringene, og samtidig ser framover, tegnes et bilde av at BYOD har framprovosert større endringer enn det man først antok. I begynnelsen var BYOD et sidespor, og ikke vår hovedoppgave - som igjen gjorde at ingen "fikk helt taket på det". Allikevel var det et nødvendig onde som måtte håndteres fordi alle skulle plutselig ha en smart-dings – som siden førte til modernisering av applikasjoner, SaaS, AzureAD og mye, mye mer. Men det som overrasker kanskje mer, er at denne teknologistacken har ført til en “ny normal” vi må forholde oss til samtidig som IT-avdelingens rolle har blitt snudd på hodet.


Jeg synes vi har få valg: vi kan enten legge til disse “nye moderne dingsene” i porteføljen vi allerede drifter, eller fortsette vår endeløse og meningsløse kamp mot brukerne – nettopp de vi skal hjelpe. Misforstå meg rett: jeg sier ikke at det er så enkelt at man bare kan “installer, next, next, next, ferdig”, men å tilby sikre løsninger med større brukervennlighet er fullt gjennomførbart i dagens teknologiske landskap. Men dette vil selvfølgelig kreve at vi tenker littegrann annerledes!

Ønsker du en nærmere diskusjon om BYOD, mobile enheter og Zero Trust i din virksomhet, ta kontakt oss.

  • Facebook
  • Linkedin - Grå Circle

tlf: 66 77 99 00

©2020 by Move AS