Bring your own device -mallin tietoturvariskit opiskelijan näkökulmasta : tapaus Turun ammattikorkeakoulu

Abstract

Bring your own device (BYOD) on toimintatapa, jossa käyttäjät työskentelevät omilla laitteillaan organisaatiossa. Jokainen organisaatio on väistämättä siirtymässä BYOD-malliin jollain tavalla. Sen sijaan, että yritetään estää tätä ilmiötä tapahtumasta, IT-osastojen on tärkeä valmistautua ilmiöön varsinkin tietoturvariski ja –tietosuoja alueilla. Opinnäytetyön tavoitteena on selvittää BYOD-mallin tietoturvariskejä opiskelijan näkökulmasta. Lisäksi opinnäytteestä lukija saa perustietoa BYOD-mallista ja sen tuomista hyödyistä. Suurimpia BYOD-mallin hyötyjä on, että organisaatioiden kustannukset pienenevät sekä käyttäjien käyttömukavuus ja tehokkuus kasvavat.

BYOD-malli tarvitsee tuekseen erilaisia tekniikoita, joiden avulla turvallinen yhteyden muodostaminen organisaation dataan sekä järjestelmiin voidaan taata. Tällaisia tekniikoita on esimerkiksi työpöytävirtualisointi sekä erilaiset verkkosovellukset. Työpöytävirtualisoinnilla saadaan samanlainen käyttökokemus käytettävästä järjestelmästä tai laitteesta riippumatta. Verkkosovelluksilla asiakasohjelma muodostaa yhteyden selaimen avulla.

BYOD-mallin suurimpia haasteita ovat sen tuomat tietoturvariskit, joita IT-osastot pyrkivät minimoimaan. Tietoturvauhkia ja hyökkäyksiä vastaan taistellaan muun muassa teknisillä toimilla, jotka ovat ennaltaehkäisy, havaitseminen ja reaktio. Nämä vastatoimet ovat kytköksissä keskenään, ja niitä muutetaan jatkuvasti järjestelmässä syntyvien tapahtumien myötä.

Turun ammattikorkeakoulun IT-asiantuntijoille pidettiin fokusryhmähaastattelu. Haastattelun tavoitteena oli selvittää heidän näkemyksiään BYOD-mallin tuomista tietoturvariskeistä. Haastattelussa tunnistetut tietoturvariskit olivat pitkälti samanlaisia, kuin mitä kirjallisuudesta löytyi. Suurimmat tietoturvariskit syntyvät käyttäjien tekemistä virheistä ja päivittämättömistä laitteista.

Bring your own device (BYOD) is a policy, where users work with their own devices in an organization. Every organization is inevitably moving towards BYOD in some way. Instead of trying to stop this phenomenon from happening, IT-departments need to prepare for it, especially in information security and data protection areas. The objective of this thesis is to examine the information security risks of BYOD from student’s point of view. In addition reader gets basic information about BYOD and learns about the benefits that it brings. The biggest advantages of BYOD are the decrease of costs in an organization and increase in the ease of operation and efficiency.

In order to establish a secure connection to organizations data and systems, BYOD needs different kind of techniques to support it. These techniques are for example desktop virtualization and different kind of web applications. Desktop virtualization gives the same user experience, despite the system or device used. With web applications, a client connects through a browser.

The biggest challenges of BYOD are the information security risks that it brings, which IT-departments are trying to minimize. Among other things, information security threats and attacks are fought against with technological countermeasures which are prevention, detection and reaction. These countermeasures are related to each other and they are changed constantly depending on events in systems.

IT-specialists of Turku University of Applied Sciences were conducted in a focus group interview. The objective of the interview was to find out their opinions about the information security risks that comes with BYOD. The results of the interview were more or less the same than what is mentioned in literature. The biggest information security risks come from mistakes that users make and unpatched equipment.