Het lijkt wel of het winter is in Nederland; iedereen is plotseling bang geworden om naar buiten te gaan en collectief hebben we de oplossing gevonden voor het fileprobleem: een beetje sneeuw op de weg! Dat we daar nou niet eerder op waren gekomen? Waarom wist men er in alle omringende landen al zo veel eerder raad mee…? Prompt kwamen er ook weer allerlei vragen over telewerken en waarom dat eigenlijk nog niet van de grond is gekomen.
Vroeger, toen we nog echte winters hadden, was dit allemaal geen probleem. Niemand wist wat er over de lijn ging, dat er überhaupt iets over een lijn ging of waar die lijn lag. ISDN stond voor 'It Still Does Nothing' en ADSL was nog onbekend. Juist toen werkten we ook allemaal (?) op kantoor. Lekker bij elkaar social networken rond de koffieautomaat.
Tegenwoordig zitten jouw data en applicaties in India of ergens in de cloud, who cares waar precies, en de draadloze bandbreedte is zo groot dat die geen echt knelpunt meer is. Jij zelf zit ook niet meer op kantoor, dat is alleen voor saaie afdelingsvergaderingen met saaie on-creatieve collega's. Het creatieve, interessante, echte ‘werk' gebeurt op netwerksites op jouw mobieltje, ultraportable netbook of iPad, waar je je ook bevindt. Dat is bij voorkeur dichtbij huis, want dan kan de qua bouw milieuonvriendelijke maar (in de praktijk helemaal niet zo) zuinigrijdende leaseauto voor de deur blijven, hoef je geen ecotax op de kilometers te betalen of zit je midden in het rekeningrijden-circus. Blackberries zijn er voor onder tafel tijdens de saaie vergaderingen.
Maar wacht, dat anywhere-ken mag eigenlijk niet van jouw baas, want die is niet van gisteren en weet dat er beveiligingsproblemen zouden zijn. Of niet? Staat jouw baas groen werken terecht in de weg? Er zijn eigenlijk drie redenen waarom anywhere-ken nog niet kan.
Reden één. Een béétje systeembeheerder weet heus wel een strak schema met vpn's, tokens en NAP/NAC neer te zetten waarmee je transparant maar geëncrypt naar jouw ver-SOA'de SAML-aware toepassingen kunt. Of zo. Alleen kreeg of gaf de ict-manager geen budget voor een deugdelijke oplossing van de technische beveiligingsissues. Voor niks gaat de zon op. En de kosten zullen lager zijn dan men denkt, als we maar eens het geneuzel 'sorry projectmanagement-overhead' zouden kunnen overslaan. En wat wordt er niet bespaard op huisvesting als al die kantoren vol saaie papierschuivers kunnen worden ingekrompen? Technisch en economisch komt de business case dus heus wel rond.
Reden twee. Jouw baas is bang dat hij door de mand valt. Er was eens een tijd, in een land ver van hier, waar de baas de baas was en in een hiërarchische structuur leiding gaf. En hij was de baas omdat… nou ja, omdat hij de baas was en het dús beter wist. En oogtoezicht moest houden op z'n ondergeschikten, ik bedoel collega's, want die zijn per definitie lui.
Natuurlijk, de neiging ís er om in de eerste weken van de thuiswerkpilot wat extra tijd te besteden aan de koffie, omdat die heel wat lekkerder is dan die automaat op kantoor en aan een boodschapje tussendoor. En de pilot duurt niet lang genoeg om weer terug op normaal werkpatroon te komen. Maar alles moet wennen. Probeer het gewoon eens wat langer; succesverhalen te over. En dan blijkt inderdaad dat Nederland zeer productief blijft en creatiever; waar moesten we het in dit land na alle offshore outsourcing ook alweer van hebben…? We komen met z'n allen heus wel vaak genoeg terug naar kantoor; we vinden het gezellig genoeg en anders zijn we te eenzaam thuis. Dus het idee dat de ideeënuitwisseling zou stokken, klopt ook niet. En de baas, die gaat wel mee als blijkt dat het beleid van nee-zeggen tegen thuiswerken en zo doorwerkt in de productiviteit en dus ook in zijn bonus.
Waarmee de drie punten van Harm Wesseling genoegzaam zijn opgelost. Enne, beleid is nodig ja, maar laten we dan wel beleid maken dat sturend, stimulerend en ruimtegevend is, niet beleid als dwangbuis van pietluttige voorschriftjes.
Reden drie. Anders / Geen mening / Weet niet. Althans, dat is waar het op neerkomt als we kijken naar de invulling van het nieuwe werken. Anywhere-ken is eigenlijk maar een halve stap of minder op weg naar wat we allemaal zouden moeten willen: als vrije kenniswerker onszelf verkopen, als ‘free agent' de kennis brengend waar wij zelf verkiezen de bijdrage te leveren. Niks vast contract, alles in losse ad hoc tijdelijke samenwerkingsverbanden; ‘managers' moeten leuren om de juiste talenten te betrekken. Niks administratiefabrieken met intensieve menshouderij, geen massaproductie, maar ambachtelijke enkelstukfabricage in klein gezelschap. En op maat voor de vraag.
De grote organisaties die we kennen waren er immers alleen om de ‘transactiekosten' (coa-se) zo laag mogelijk te houden. De massa vond het niet erg dat er niet op maat werd geleverd maar slecht gestandaardiseerde gemiddelden werden geproduceerd; als het maar goedkoop was. Wie het betalen kon, liet alsnog (semi)maatwerk maken. Maar we moeten iets anders. De bureaucratieën lopen vast in een poging alle medewerkers plat te slaan tot radertjes in ‘processen'. De (Westerse) mens heeft helaas nog een restje creativiteit en, better be safe than sorry, we moeten er dus vanuit gaan dat alle medewerkers onbetrouwbaar zijn waardoor we iedereen op de vingers moeten kijken. Nog meer regeltjes, nog meer meer inproductieve toezichtmannetjes.
Niet voor niets hanteren organisaties ‘old world' wetgevingstrucs om onze kennis tot hun eigendom te verklaren. De muziekindustrie en anderen leren wel dat de wetgever, als altijd, achter de muziek aanloopt en dus op de rem trapt, in plaats van ruimte en voorwaarden te scheppen voor economische groei volgens andere inzichten in mijn en dijn. Of hoe weet mijn werkgever zometeen nog of hij wel het intellectuele eigendom kan claimen over in zijn tijd bedachte, baanbrekende ideeën, terwijl onduidelijk is wat ‘zijn' tijd is en wat de mijne. Met al dat los-vaste thuiswerk vervaagt de werktijd toch? Of is het eerder terug naar vroeger, toen voor de prestatie werd betaald? Macht maakt nog steeds recht… Tijd om met de voeten te gaan stemmen en collectief voor onszelf te beginnen.
Want alles wat ‘massa' heet, qua productie, is verhuisd naar landen waar arbeidskracht goedkoop is. Ja, na handarbeid, machines en ict ook de informatieverwerking, hoewel we dat misschien nog niet zo door hebben. Wat blijft er voor ons over, wat zijn de ideeën die ons uit de crisis trekken? Alles onder de noemer ‘creativiteit' zullen we maar zeggen. Alleen nog even een profitabel businessmodel daaronder gelegd.
Nu we in het informatietijdperk veel meer informatie kunnen verwerken, zijn de transactiekosten drastisch omlaag en hoeven we in ieder geval niet meer bij elkaar te kruipen in hiërarchische, op totaaltoezicht ingerichte, bureaucratische organisaties, maar kunnen we die informatie opnemen, gebruiken en produceren waar en wanneer we maar willen. Een van de middelen, meer is het niet, die we nu al kennen maar nog zo weinig inzetten, is (social) networking. Wat zou het zijn om mini flash mobs te vormen om iets te maken waar we op dat moment aan willen werken? Of neem mash-ups: de facto een ad hoc samenstelling van applicaties. Die zijn ook niet bedoeld om dag in dag uit decennialang ongestoord batches te verwerken, maar zijn even aardig voor nu tot de lol ervan af is. Google Apps en Docs: alles kan. Dit stukje is geschreven vanaf Barbados. Althans, dat had ik wel gewild en het kán tegenwoordig ook makkelijk. Maar waar is nou dat businessmodel…? Waar zijn de organsiaties die echt voluit inzetten op de nieuwe wereld, met het nieuwe werken? Die hadden m'n cv toch allang gevonden? Of ze hebben mijn cv inderdaad al gevonden en ze hebben me niet gebeld. Hmm.
Aan de andere kant, hoe staat het met de beveiliging van de intellectuele prestaties die ik ‘ergens' heb opgeslagen? Hoe zorg ik ervoor dat de leverancier van mijn favoriete social-networkingsite netjes de beveiliging op peil houdt zodat mijn foto's van wat minder nuchtere feestjes niet voor jan en alleman te zien zijn? Hoe voorkom ik dat mijn EPD na alle outsourcing en onbeheerste toegang door ‘belanghebbenden' gaat zwerven en bij een verzekeraar c.q. kwaadwillenden terechtkomt? Moeten we dan maar vertrouwen op alle mooie verhalen over de toegepaste beveiliging? Terwijl om de haverklap de mooie verhalen worden doorgeprikt en dan is ‘sorry' het maximale wat we ooit horen? ‘Ja, nee we outsourcen heus niks hoor!' Natuurlijk, en welke brugklasser doet het onderhoud aan de pc van jouw huisarts?
Lastig. We hebben dus informatie over onszelf verre van zelf in de hand. Terwijl de huidige houders slechts bewaarders zijn ervan, niet bezitters. Dat zijn wij, toch? Bij een bank kan je online al je data inzien. De bank(site) biedt je slechts het platform voor je geldopslag en het ‘zelf' doen van transacties. Waarom krijg ik van de Rijksoverheid niet een jaaropgaaf van alle informatie over mij die bij de Rijks-, semi- en lagere overheden aanwezig is? Het maakt voor de burger (wat een lelijke term ter onderscheid, alsof ‘ambtenaren' een beter soort burger zou zijn) niets uit welke overheidsdienst hij/zij mee van doen heeft; dat er überhaupt onderscheid is tussen departementen, diensten, etc., etc. is ook alleen maar om de interne informatiebehoeften te kanaliseren. Dus kom op; één overzicht moet makkelijk kunnen. Of niet en willen we juist helemaal geen koppelingen…? Erger wordt het wanneer we bekijken welke informatie er bij allerlei private partijen rondgaat.
Oftewel, we hebben nog weinig idee over wat voor informatie we het voor het zeggen zouden willen hebben. En vervolgens hebben we geen idee welke informatie we op welke wijze in de wereld zouden willen loslaten, oftewel vrijgeven. Of ga ik nu te ver?
Mijn antwoord is dus vooral 'ik weet niet'. Niet als argument tegen het nieuwe werken, maar hoe en wat we ermee moeten laat staan wat we moeten beveiligen en hoe dan. Vast staat dat we met z'n allen toch weer een beetje aan het afwachten zijn en dat is jammer. Afwachters zijn per definitie (te) laat en dan rest ons weer niks anders dan achter de feiten aanlopen, niet zelf kiezen en niet de vruchten plukken. Dan hebben we zo weer alle vrije tijd, maar geen cent te makken.
Of zijn er nog lezers die niet afwachten maar de oplossing hebben?
Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je niet door het bezitten van kennis maar door deze te delen en daardoor bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet in alleen in Web 2.0 fenomeen als WikiPedia, maar ook in het Nieuwe Werken waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar wel een zorgpunt. Momenteel wordt er (terecht) veel aandacht besteed aan de vertrouwelijk en privacy van informatie, maar we moeten er ook voor zorgen dat kennis gebaseerd is betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekend dat we de komende tijd technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.
Anytime, anyplace, anywhere (het Martini gevoel) is blijkbaar cyclisch. Steeds popt het weer op onder een andere naam. tegenwoordig heet het “het nieuwe werken”. Waar het in de praktijk echt op neer komt is het meer efficient inzetten van medewerkers. En welk bedrijf wil dat niet?. Om het nieuwe werken te ondersteunen zijn er ook “nieuw beleid” en “nieuwe oplossingen” en nodig. Het nieuwe beleid moet zich richten op werken buiten de fysieke grenzen van een origanisatie, rekening houdend met gevoeligheid van informatie, tijd plaats (omgeving) en bedrijfsgericht samenwerken. Nieuwe oplossingen dienen zich te richten op het beveiligen van informatie, documenten etc. i.p.v. het beveiligen van netwerken en computers. Voorts dienen nieuwe oplossingen waar nodig de echte samenwerking tussen de telewerkenden te faciliteren.
Eric Biemans MSc RI
Principle consultant
ArchiXL
In Michiel’s en Eric’s reacties (dank beide) zie ik ‘het’/een probleem terugkomen, wat ik misschien niet voldoende duidelijk aanstipte: Kennisdelen levert een netwerkeffect ja, maar hoe vangen we dat..? En dan ‘we’ in de zin van wij werknemers, niet de Baas. Uiteindelijk hebben we allemaal (i.e., de meerderheid van ons) een hypotheek af te betalen en hoe doen we dat als we alleen maar voor onszelf twitteren (of beyond twitter). Zelf dacht ik ook aan ad hoc mini-producties al of niet met 3D-printtechnieken. Nu nog in de kinderschoenen ja, maar dat was de ICT ook nog pak ‘m beet twee decennia geleden. Hoe deed men vroeger ook alweer z’n werk, zonder mobieltje, fax, telex, mainframes en zo? Hoe ver zijn we ‘dus’ nog weg van ad hoc syndicalisatie?
Hoe beveilig je het nieuwe werken? Dat is lastig te bepalen als je niet weet wat je moet gaan beveiligen en waarom en wat het risico is als men het niet doet. Er zijn niet voor niets security standaarden als ISO27001 gedefinieerd die al dit soort aspecten meenemen.
Het telewerken zou je daarom niet als losstaande manier van beveiliging moeten zien, het is een verlengstuk van het kantoor werken waarbij de beveiliging van de algehele kantooromgeving (internationaal) de basis is van de beveiliging van telewerken.
Gaat deze vraag niet veel verder dan alleen het thuiswerken:
– hoeveel medewerkers nemen geen werk mee naar huis op een geheugenstick?
– hoeveel mensen mailen niet even een documentje naar huis om daar ’s avonds nog aan verder te werken
– hoeveel mensen gebruiken hun zakelijke laptop ’s avonds thuis ook voor privé doeleinden
– hoe beveilig ik al m’n data die ik over het wereldwijde web verspreid in die wazige wolk, eeuh cloud
Kortom: is databeveiliging niet een issue op zich aan het worden (als het dat al niet is) ?
Wat dat betreft was het oude mainframe zo slecht nog niet. Thuis werken met een terminal-emulator op een 486 over een ISDN lijntje….liep als een tierelier hoor!
Alles centraal op het rekencentrum in Nederland, backup 500 km verderop in een ander land.
Alles top down gedefinieerd, alles over dedicated lijntjes. Hacken werd daardoor vrijwel onmogelijk.
Grafisch kon het niet tippen aan wat we vandaag de dag zien, maar een dunnere client-server heb ik nog niet vaak gezien, de stabiliteit van 20 jaar geleden wordt nu met veel moeite benaderd, en de beveiliging…..
Het nieuwe werken; 15 jaar geleden deed ik het al op mainframe (heeft me heel wat nachtelijke ritjes naar het werk bespaard); dus zo nieuw is het niet.
Maar door alle nieuwe technieken en mogelijkheden is de beveiliging er wel drastisch op achteruit gegaan.
Zo gek is het dus niet dat grote banken, multinationals etc. op het good old mainframe blijven zitten.
Zolang men wat te verbergen heeft, of vermoedt dat informatie gevoelig is (wat maakt informatie eigenlijk zo gevoelig dat anderen die niet mogen zien?) zullen beveiligingsissues een rol spelen.
Zolang men werkt voor het geld, en niet omdat het zo leuk is en al helemaal niet op de juiste plek, zullen mensen de kantjes eraf lopen. Managers weten dat en vertrouwen daarom hun mensen niet.
Zolang er sprake is van scheve verhoudingen, ongelijkwaardigheid en graaicultuur zullen er mensen zijn die op moreel minder verantwoorde wijze op zoek gaan naar middelen om hun kapitaal te vergaren.
Kortom, het issue is niet de techniek, noch de mogelijkheden of de middelen. Het issue is de mens zelf. Zolang die niet wezenlijk veranderen wil en op het niveau van beschaving zijn eigen technologische ontwikkeling bij lange na niet kan bijhouden lossen we het niet op.
Anywhere-ken kan net zo veilig (of onveilig) als met zijn allen op kantoor. Het lijkt misschien onveiliger maar met de juiste middelen (hard- en software maar ook procedures en awareness) kan het zelfs vele malen veiliger. Het gaat om fysieke aanwezigheid versus resultaatsturing ( 40 uur aanwezig zijn is zo 1980). Als resultaten zichtbaar worden gaan de bazen medewerkers vertrouwen en gaan we anywhere-ken. Dan zullen organisaties ook meer aandacht besteden aan de risico’s daarvan.
We kunnen anywhere-ken stimuleren door juist de (gewijzigde) risico’s en positieve beveiligingsaspecten te benadrukken. Dan krijgen beveiliging en anywhere-ken de eer die ze verdienen.
Een essentieel onderdeel van de geschetste problematiek is de vraag: wat is de waarde van kennis en informatie? Uitgaande van het concept: kennis is macht, is het vasthouden/beschermen van kennis/informatie heel belangrijk en daarmee verlammend voor het nieuwe werken. Als we ons echter, als onderdeel van het nieuwe werken, ook realiseren dat kennis en informatie vluchtig zijn, dan betekent dat het verkrijgen en/of hebben van macht alleen kan door continu nieuwe te vergaren. Het gaat dan ook niet meer om de informatie zelf, maar wat je ermee doet. De toegevoegde waarde. Als je niets te verbergen hebt, hoef je ook niet bang te zijn dat informatie over jou openbaar beschikbaar is. Als je kennis en informatie continu vergaart en deelt, worden we er allemaal beter van. Natuurlijk blijft het voorlopig wel van belang het een en ander goed te beveiligen en af te dichten omdat onze maatschappij nog niet leeft volgens het concept van het nieuwe werken of misschien zelfs beter: “het nieuwe leven”. Vroeger moest je op school ook alles van buiten kennen en mocht je geen hulpmiddelen (anders dan een rekenmachine) gebruiken. Nu is het heel normaal dat voor een werkstuk Google/het Internet wordt gebruikt. Ook daar gaat het niet meer om de inhoud zelf, maar wat de leerling/student ermee doet. Het nieuwe werken staat nog in de kinderschoenen maar zal uiteindelijk toch echt wel leiden naar het nieuwe leven.
@Jos Hans
Wat kennisinformatie gevoelig maakt in sommige sectoren is de concurrentie.
Ik denk niet dat men bij Oce blij wordt als HP hun broncode in handen krijgt, of dat men bij Philips HealthCare blij wordt als Siemens of GE de broncode in handen krijgt.
Ook in de beleggings-sector zal men niet blij worden als de concurrent hun voorspellings-algorithme in handen krijgt.
Bij software in de openbare sector ligt dat wellicht wat minder gevoelig.
Het grote aantal thuiswerkplekken die uit het zicht van de IT-afdeling zijn, vormen een grote bedreiging voor de beveiliging voor de totale organisatie.
Maar we focussen onszelf te vaak op de techniek. Als we kijken naar de totale business case en alle kosten van kantoorruimten,parkeerplaatsen, filetijden en netwerkkosten meerekenen, dan zou de prijs per werkplek wel eens aanzienlijk hoger kunnen zijn, dan die van een thuiswerkplek. Zelfs als de medewerker tijdens het nieuwe werken even een brood bij de bakker gaat halen.
En van de andere kant: thuis worden we niet door collega’s bij de koffieautomaat van ons werk gehouden en wordt er niet overloos vergaderd. Thuis werk ik thuis vaak veel efficienter als op kantoor.
Carlo van Wordragen
Adviseur, Aranea Consult