Righard Zwienenberg van Nod32 is er duidelijk in: als er onaanvaardbare bedrijfsrisico's ontstaan, dan houdt de vrijheid op van medewerkers om hun eigen apparatuur te gebruiken voor het werk. Dan krijgen zij van bedrijfwege een keuzelijstje voorgeschoteld. Zelfs als dit betekent dat de onderneming daarmee mogelijk talentvolle nieuwe medewerkers misloopt.
Bij de Computable-expertsessie Mobile Device Management tijdens Infosecurity 2012 in De Jaarbeurs is Zwienenberg stellig: veiligheid gaat voor alles. De andere twee panelleden, Wim Zandee van F5) en Remko Cijffers van Imtech, wilden niet zo ver gaan. Hoewel ook zij het beheer van mobiele apparatuur nodig achten om dataverlies of -diefstal tegen te gaan. Daaronder vallen, wat hen betreft, ook de laptops en de bureaucomputers die thuis staan en voor het werk worden gebruikt. ‘Tegenwoordig zijn de laptops standaard uitgerust met een 3G-kaartje. Daarmee zijn het eigenlijk ook telefoons’, lichtte Zwienenberg toe.
Het beheer van dergelijk apparatuur is overigens niet hetzelfde als it-beheerders de afgelopen jaren altijd hebben gedaan. Gewend als zij zijn aan end-to-end beheer zullen zij moeten erkennen dat het niet meer zo lineair is tegenwoordig. Wat dat betreft is mobile device management geen nieuwe wijn in oude zakken. ‘Het is traditioneel beheer, plus, plus, plus’, vatte Zandee samen.
Gebruiksovereenkomsten
De gebruikelijke waarschuwingen komen ook bij dit panel naar voren: breng de bedrijfsrisico’s in kaart, neem actie daarop, maak de medewerkers bewust van de risico’s die zij lopen. ‘Zorg er ook voor dat je gebruiksovereenkomsten afsluit met medewerkers die hun eigen tablets of smartphone zowel zakelijk als privé gebruiken’, vertelde Zandee. ‘Wat doe je als iemand uit dienst treedt? Wat doe je met de data? Er is een fictieve case uit de Verneigde Staten waarin een vrouw een foto van haar kind op de telefoon had staan. Die is gewist door het bedrijf toen zij uit dienst trad, maar het bleek de laatste foto van het kind te zijn, omdat het kort daarna was overleden. Dat kostte het bedrijf vijf miljoen dollar. Het is fictief, maar toch’, zei hij veelbetekenend.
Waarop Cijffers aanvulde met de opmerking dat het niet zo fictief is als het lijkt. ‘Er zijn de afgelopen tijd, weliswaar in de Verenigde Statenn maar die lopen nu eenmaal voorop, meerdere rechtszaken geweest over dit soort gevallen.’
Kwestie van beleid
Er zijn heel veel middelen beschikbaar om ervoor te zorgen dat medewerkers hun besturingssysteem en applicaties op peil houden, geen ongeoorloofde uitstapjes maken met hun persoonlijke apparatuur, data te versleutelen, en dergelijke. Maar het gaat niet zozeer om de tools, maar om het beleid dat een organistie ontwikkelt en uitvoert, aldus het panel. ‘Daarbij moet je ook de hr-manager betrekken; eigenlijk iedere lijnmanager. Maar veel bedrijven lopen achter de feiten aan. Ze zijn ingehaald door de werkelijkheid’, was de mening van de experts.
Overigens is het maatwerk. ‘Er is geen algemene oplossing denkbaar voor alle organisaties, omdat de risico’s overal anders zijn’, aldus Zandee.
De applicatie, niet het apparaat
Zandee bracht naar voren dat de fabrikanten van draagbare computers en slimme telefoons de apparatuur standaard moeten voorzien van beveiligingsoplossingen als Bitlocker en encryptie. De nadruk ligt te vaak op de apparatuur en het beheer ervan, vond Cijffers. ‘Je zou eigenlijk toe moeten naar een andere benadering. Dan is niet het apparaat leidend, maar de applicatie. Je moet er via de toepassingen voor zorgen dat die gewoonweg niet toestaan dat bepaalde data worden opgeslagen op dergelijke apparaten. Of gebruik een serverbased omgeving, waarbij data sowieso nooit lokaal worden opgeslagen. Ook dat is een kwestie van beleid.’
Is CYO iets anders dan een bedrijfs productencatalagus met misschien wat meer modellen dan in het verleden? Ik zeg nee. BYO echter is in mijn optiek principieel volstrekt anders dan CYO en de eigen productcatalogus. Het gaat om het aanbieden van absolute onafhankelijkheid tussen device en ….. Als we dat niet veilig kunnen bieden, jammer, maar dan gaat die vlieger nu nog niet op en is CYO een tussenfase.
Beetje jammer ook dat er een fictief voorbeeld genomen is. Een fictieve uitspraak ook van een fictieve ? Lijkt toch erg veel op creeeren van een angstcultuur. Waarom neemt de schrijver niet één van de “meerdere rechtszaken over dit soort gevallen”?
Het toegankelijk maken van bedrijfsdata en applicaties op (verschillende) mobile devices is een grote verandering waar je van tevoren heel goed over moet nadenken.
– Hoe ga je de omgeving hiervoor inrichten (architectuur),
– wat denk je hiermee te winnen (investering in HNW is zeer interessanter dan BYO/CYO),
– op welke punten en lagen moet je de beveiliging realiseren,
– welke effect heeft deze wijziging op je beheerafdeling (hebben ze kennis van de technologieën die voor deze realisatie toegepast worden? Heb je genoeg capaciteit op je afdeling?),
– wat moet je binnen je gebruikersorganisatie inregelen,
– zijn je applicaties geschikt,
– welke randvoorwaarden zijn er nog (denk aan je draadloze netwerk en de benodigdheden daarvoor),
– hoe zit het met je licentie nu en wat je uiteindelijk nodig hebt
…..en nog meer andere vragen.
Kortom zet alles op papier, huur een deskundige in, bekijk het verhaal van alle kanten en pas daarna heb je meer duidelijkheid over hoe je dit kan realiseren!
De vraag rondom BYO of CYO wordt ook vanzelf in deze aanpak beantwoord.
Ik raak de weg een beetje de weg kwijt in de xYOD wereld
Al jaren lang kan ik, bij de diverse werkgevers waar ik in dienst ben geweest, voor mijn hardware kiezen uit een aantal standaard desk- en laptops.
Met de opkomst voor het nieuwe werken zag je een verschuiving; er werden meer laptops dan desktops gekozen, zodat met met de laptop van de zaak vanuit huis kon werken.
De nieuwste trend werd vervolgens BYOD, waarbij je dus je eigen (privé) apparaten wil gaan gebruiken om je werk te kunnen doen.
En nu wil men weer naar CYOD, waarbij je kunt kiezen uit een aantal devices die de werkgever aanbiedt.
Wat is nu het verschil met CYOD ten opzichte van het kunnen kiezen uit een aantal standaard laptops? De keuze is misschien wat groter geworden, maar het concept klinkt mij weinig innovatief in de oren.
De uitdaging zit hem mijns inziens niet zo zeer in het concept BYOD/CYOD, maar meer in de regelgeving er omheen. Als ik op mijn werk een device uit mag zoeken, welke ik ook privé mag gebruiken, komen we weer op de oude fiscale discussies uit over loon in natura (weet u nog, de pc-privé plannen van weleer). Wie wordt eigenaar van het device, wie doet beheer, hoe ga je zakelijke en privé data op het device scheiden, zodat zoonlief niet per ongeluk je werkmail misbruikt, en de systeembeheerder niet per ongeluk in jouw pikante fotoshoots die je als amateurfotograaf gemaakt hebt zit te neuzen.
@Peter en PaVaKe,
Termen zoals BYOD of CYOD zijn slechts hulpmiddelen om aan te geven waar een organisatie staat in het spectrum tussen de uitersten van end-to-end en volledige controle aan de ene kant, en de zelfbeschikking met verschoven verantwoordelijkheden aan de andere kant. CYOD is daarmee niet nieuwer of beter dan de andere varianten. Voor de volledigheid:
COCD (Corporate Owned and Controled Device) – de klassieke gsloten desktop. End-to-end beheer en volledig onder verantwoordelijkheid van de IT afdeling. Maar ook weinig flexibel en inherent minder geschikt voor moderne werkvormen zoals Het Nieuwe Werken
CYOD – Choose Your Own Device – Inderdaad een tussenvorm waarbij de IT afdeling nog stevig grip kan houden maar wel de voordelen mee pikt van een flexibel device beleid en met name een alternatief support model.
BYOD – Bring your own – Prive apparatuur ingezet voor zakelijke toepassingen. Dit is de meest uitdagende plek in het spectrum omdat hier de zakelijke en prive belangen het harst botsen. Security/compliancy vs privacy is een belangrijk thema.
On your Own – Ook prive apparatuur, maar nu niet of slechts in beperkte mate ingezet voor zakelijke doeleinden. Denk aan de auditor of consultant die op projectbasis bij een klant zit en daar alleen (gast) internet toegang nodig heeft.
Waar je als bedrijf ook zit in je beleid, de trends Consumerization, Mobility en Collaboration (to name a few), samengevat in een aanduiding als BYOD kunnen een organisatie wel de middelen geven om een Het Nieuwe Werken model in te voeren. Zie het als een logische door ontwikkeling.
Dit stelt ook meteen dat niet techniek of devices het onderwerp moeten zijn, maar beleid.
@Reza,
Je stelt hele terechte vragen. Denken over BYOD zou moeten gaan over zoveel meer dan techniek. In de Bring-iT samenwerking(zie ander artikel op Computable) gaan Imtech, Cisco en Vodafone hier ook expliciet op in, te beginnen met een Assessment scan die alle stakeholders in de organisatie raakt. Het resultaat is een advies hoe en in welke vorm een organisatie van de genoemde nieuwe trends kan profiteren.
Leuke discussie over xYOD, …..
maar misschien zou het minder over het Device moeten gaan en meer over de gebruikersinterface, de applicaties, de connectiviteit.