Het lijkt wel of het winter is in Nederland; iedereen is plotseling bang geworden om naar buiten te gaan en collectief hebben we de oplossing gevonden voor het fileprobleem: een beetje sneeuw op de weg! Dat we daar nou niet eerder op waren gekomen? Waarom wist men er in alle omringende landen al zo veel eerder raad mee…? Prompt kwamen er ook weer allerlei vragen over telewerken en waarom dat eigenlijk nog niet van de grond is gekomen.
Vroeger, toen we nog echte winters hadden, was dit allemaal geen probleem. Niemand wist wat er over de lijn ging, dat er überhaupt iets over een lijn ging of waar die lijn lag. ISDN stond voor 'It Still Does Nothing' en ADSL was nog onbekend. Juist toen werkten we ook allemaal (?) op kantoor. Lekker bij elkaar social networken rond de koffieautomaat.
Tegenwoordig zitten jouw data en applicaties in India of ergens in de cloud, who cares waar precies, en de draadloze bandbreedte is zo groot dat die geen echt knelpunt meer is. Jij zelf zit ook niet meer op kantoor, dat is alleen voor saaie afdelingsvergaderingen met saaie on-creatieve collega's. Het creatieve, interessante, echte ‘werk' gebeurt op netwerksites op jouw mobieltje, ultraportable netbook of iPad, waar je je ook bevindt. Dat is bij voorkeur dichtbij huis, want dan kan de qua bouw milieuonvriendelijke maar (in de praktijk helemaal niet zo) zuinigrijdende leaseauto voor de deur blijven, hoef je geen ecotax op de kilometers te betalen of zit je midden in het rekeningrijden-circus. Blackberries zijn er voor onder tafel tijdens de saaie vergaderingen.
Maar wacht, dat anywhere-ken mag eigenlijk niet van jouw baas, want die is niet van gisteren en weet dat er beveiligingsproblemen zouden zijn. Of niet? Staat jouw baas groen werken terecht in de weg? Er zijn eigenlijk drie redenen waarom anywhere-ken nog niet kan.
Reden één. Een béétje systeembeheerder weet heus wel een strak schema met vpn's, tokens en NAP/NAC neer te zetten waarmee je transparant maar geëncrypt naar jouw ver-SOA'de SAML-aware toepassingen kunt. Of zo. Alleen kreeg of gaf de ict-manager geen budget voor een deugdelijke oplossing van de technische beveiligingsissues. Voor niks gaat de zon op. En de kosten zullen lager zijn dan men denkt, als we maar eens het geneuzel 'sorry projectmanagement-overhead' zouden kunnen overslaan. En wat wordt er niet bespaard op huisvesting als al die kantoren vol saaie papierschuivers kunnen worden ingekrompen? Technisch en economisch komt de business case dus heus wel rond.
Reden twee. Jouw baas is bang dat hij door de mand valt. Er was eens een tijd, in een land ver van hier, waar de baas de baas was en in een hiërarchische structuur leiding gaf. En hij was de baas omdat… nou ja, omdat hij de baas was en het dús beter wist. En oogtoezicht moest houden op z'n ondergeschikten, ik bedoel collega's, want die zijn per definitie lui.
Natuurlijk, de neiging ís er om in de eerste weken van de thuiswerkpilot wat extra tijd te besteden aan de koffie, omdat die heel wat lekkerder is dan die automaat op kantoor en aan een boodschapje tussendoor. En de pilot duurt niet lang genoeg om weer terug op normaal werkpatroon te komen. Maar alles moet wennen. Probeer het gewoon eens wat langer; succesverhalen te over. En dan blijkt inderdaad dat Nederland zeer productief blijft en creatiever; waar moesten we het in dit land na alle offshore outsourcing ook alweer van hebben…? We komen met z'n allen heus wel vaak genoeg terug naar kantoor; we vinden het gezellig genoeg en anders zijn we te eenzaam thuis. Dus het idee dat de ideeënuitwisseling zou stokken, klopt ook niet. En de baas, die gaat wel mee als blijkt dat het beleid van nee-zeggen tegen thuiswerken en zo doorwerkt in de productiviteit en dus ook in zijn bonus.
Waarmee de drie punten van Harm Wesseling genoegzaam zijn opgelost. Enne, beleid is nodig ja, maar laten we dan wel beleid maken dat sturend, stimulerend en ruimtegevend is, niet beleid als dwangbuis van pietluttige voorschriftjes.
Reden drie. Anders / Geen mening / Weet niet. Althans, dat is waar het op neerkomt als we kijken naar de invulling van het nieuwe werken. Anywhere-ken is eigenlijk maar een halve stap of minder op weg naar wat we allemaal zouden moeten willen: als vrije kenniswerker onszelf verkopen, als ‘free agent' de kennis brengend waar wij zelf verkiezen de bijdrage te leveren. Niks vast contract, alles in losse ad hoc tijdelijke samenwerkingsverbanden; ‘managers' moeten leuren om de juiste talenten te betrekken. Niks administratiefabrieken met intensieve menshouderij, geen massaproductie, maar ambachtelijke enkelstukfabricage in klein gezelschap. En op maat voor de vraag.
De grote organisaties die we kennen waren er immers alleen om de ‘transactiekosten' (coa-se) zo laag mogelijk te houden. De massa vond het niet erg dat er niet op maat werd geleverd maar slecht gestandaardiseerde gemiddelden werden geproduceerd; als het maar goedkoop was. Wie het betalen kon, liet alsnog (semi)maatwerk maken. Maar we moeten iets anders. De bureaucratieën lopen vast in een poging alle medewerkers plat te slaan tot radertjes in ‘processen'. De (Westerse) mens heeft helaas nog een restje creativiteit en, better be safe than sorry, we moeten er dus vanuit gaan dat alle medewerkers onbetrouwbaar zijn waardoor we iedereen op de vingers moeten kijken. Nog meer regeltjes, nog meer meer inproductieve toezichtmannetjes.
Niet voor niets hanteren organisaties ‘old world' wetgevingstrucs om onze kennis tot hun eigendom te verklaren. De muziekindustrie en anderen leren wel dat de wetgever, als altijd, achter de muziek aanloopt en dus op de rem trapt, in plaats van ruimte en voorwaarden te scheppen voor economische groei volgens andere inzichten in mijn en dijn. Of hoe weet mijn werkgever zometeen nog of hij wel het intellectuele eigendom kan claimen over in zijn tijd bedachte, baanbrekende ideeën, terwijl onduidelijk is wat ‘zijn' tijd is en wat de mijne. Met al dat los-vaste thuiswerk vervaagt de werktijd toch? Of is het eerder terug naar vroeger, toen voor de prestatie werd betaald? Macht maakt nog steeds recht… Tijd om met de voeten te gaan stemmen en collectief voor onszelf te beginnen.
Want alles wat ‘massa' heet, qua productie, is verhuisd naar landen waar arbeidskracht goedkoop is. Ja, na handarbeid, machines en ict ook de informatieverwerking, hoewel we dat misschien nog niet zo door hebben. Wat blijft er voor ons over, wat zijn de ideeën die ons uit de crisis trekken? Alles onder de noemer ‘creativiteit' zullen we maar zeggen. Alleen nog even een profitabel businessmodel daaronder gelegd.
Nu we in het informatietijdperk veel meer informatie kunnen verwerken, zijn de transactiekosten drastisch omlaag en hoeven we in ieder geval niet meer bij elkaar te kruipen in hiërarchische, op totaaltoezicht ingerichte, bureaucratische organisaties, maar kunnen we die informatie opnemen, gebruiken en produceren waar en wanneer we maar willen. Een van de middelen, meer is het niet, die we nu al kennen maar nog zo weinig inzetten, is (social) networking. Wat zou het zijn om mini flash mobs te vormen om iets te maken waar we op dat moment aan willen werken? Of neem mash-ups: de facto een ad hoc samenstelling van applicaties. Die zijn ook niet bedoeld om dag in dag uit decennialang ongestoord batches te verwerken, maar zijn even aardig voor nu tot de lol ervan af is. Google Apps en Docs: alles kan. Dit stukje is geschreven vanaf Barbados. Althans, dat had ik wel gewild en het kán tegenwoordig ook makkelijk. Maar waar is nou dat businessmodel…? Waar zijn de organsiaties die echt voluit inzetten op de nieuwe wereld, met het nieuwe werken? Die hadden m'n cv toch allang gevonden? Of ze hebben mijn cv inderdaad al gevonden en ze hebben me niet gebeld. Hmm.
Aan de andere kant, hoe staat het met de beveiliging van de intellectuele prestaties die ik ‘ergens' heb opgeslagen? Hoe zorg ik ervoor dat de leverancier van mijn favoriete social-networkingsite netjes de beveiliging op peil houdt zodat mijn foto's van wat minder nuchtere feestjes niet voor jan en alleman te zien zijn? Hoe voorkom ik dat mijn EPD na alle outsourcing en onbeheerste toegang door ‘belanghebbenden' gaat zwerven en bij een verzekeraar c.q. kwaadwillenden terechtkomt? Moeten we dan maar vertrouwen op alle mooie verhalen over de toegepaste beveiliging? Terwijl om de haverklap de mooie verhalen worden doorgeprikt en dan is ‘sorry' het maximale wat we ooit horen? ‘Ja, nee we outsourcen heus niks hoor!' Natuurlijk, en welke brugklasser doet het onderhoud aan de pc van jouw huisarts?
Lastig. We hebben dus informatie over onszelf verre van zelf in de hand. Terwijl de huidige houders slechts bewaarders zijn ervan, niet bezitters. Dat zijn wij, toch? Bij een bank kan je online al je data inzien. De bank(site) biedt je slechts het platform voor je geldopslag en het ‘zelf' doen van transacties. Waarom krijg ik van de Rijksoverheid niet een jaaropgaaf van alle informatie over mij die bij de Rijks-, semi- en lagere overheden aanwezig is? Het maakt voor de burger (wat een lelijke term ter onderscheid, alsof ‘ambtenaren' een beter soort burger zou zijn) niets uit welke overheidsdienst hij/zij mee van doen heeft; dat er überhaupt onderscheid is tussen departementen, diensten, etc., etc. is ook alleen maar om de interne informatiebehoeften te kanaliseren. Dus kom op; één overzicht moet makkelijk kunnen. Of niet en willen we juist helemaal geen koppelingen…? Erger wordt het wanneer we bekijken welke informatie er bij allerlei private partijen rondgaat.
Oftewel, we hebben nog weinig idee over wat voor informatie we het voor het zeggen zouden willen hebben. En vervolgens hebben we geen idee welke informatie we op welke wijze in de wereld zouden willen loslaten, oftewel vrijgeven. Of ga ik nu te ver?
Mijn antwoord is dus vooral 'ik weet niet'. Niet als argument tegen het nieuwe werken, maar hoe en wat we ermee moeten laat staan wat we moeten beveiligen en hoe dan. Vast staat dat we met z'n allen toch weer een beetje aan het afwachten zijn en dat is jammer. Afwachters zijn per definitie (te) laat en dan rest ons weer niks anders dan achter de feiten aanlopen, niet zelf kiezen en niet de vruchten plukken. Dan hebben we zo weer alle vrije tijd, maar geen cent te makken.
Of zijn er nog lezers die niet afwachten maar de oplossing hebben?
@Carlo
Ook hier geldt weer dat het niet zo zwart wit is als geschetst wordt.
Als ik een ontwerp uit moet werken, of plannen moet schrijven, gaat dat inderdaad het beste thuis (vermits de kinderen naar school zijn).
Maar discussies over strategie, implementaties, de dagelijkse gang van zaken, 2e- en 3e lijns ondersteuning gaan weer veel makkelijker op kantoor tussen de rest van m’n collega’s.
En niet te vergeten, de informatievoorziening bij de koffieautomaat is een niet te onderschatten bron van informatie.
Dat mis je dan weer als je thuis werkt.
De randvoorwaarden voor het nieuwe werken kunnen voor een deel technisch worden opgelost, maar er zal een steeds belangrijker nadruk komen te liggen op het security bewustzijn van de moderne werkers én de support organisatie. De beveiligings organisatie verstrekt de middelen en zorgt voor adequate opleiding en beleid; de werkers moeten zich bewust zijn van hun verantwoordelijkheid bij het remote werken met de gevoelige assets van het bedrijf en daaraan ook gehouden (kunnen) worden. Dat is een prima ruil voor de medewerker en voor bedrijven een noodzakelijke schakel in de beveiliging.
Bewustzijn, beleid en technische middelen zijn daarbij allemaal onderdeel van een proces, dat continu moet zorgen voor op risico gebaseerde maatregelen.
Dat de productiviteit van thuiswerkers hoog genoeg ligt om gunstig tegenover anywhere-ken te staan, daarvan ben ook ik overtuigd. Het security-dilemma dat wordt aangestipt, is naar mijn idee een veel lastiger thema.
Het gevaar voor dataverlies komt mijns inziens uit twee hoeken. Enerzijds zijn er de technische onvolkomenheden, waardoor de informatie niet adequaat wordt beschermd. Het risico hiervan neemt toe bij hogere mobiliteit van de werknemers, omdat de informatie dan met meerdere onderdelen van de infrastructuur en vaak met meerdere soorten hardware in aanraking komt. Anderzijds is er de onwetendheid van de werknemer. Deze realiseert zich in veel gevallen niet voldoende hoe belangrijk het is om bepaalde informatie goed te beschermen, of denkt dat wel te doen, maar slaat de plank hierin mis. Deze onwetendheid is op kantoor, onderweg of thuis aanwezig en altijd bedreigend. Gelukkig zijn deze beide gevaren redelijk goed in te perken door goede IT security-oplossingen en voldoende training van werknemers op het gebied van security policies.
Echt lastig wordt het qua security wanneer een onderneming de controle over haar gegevens uit handen geeft aan een derde partij, zoals op grote schaal gebeurt bij cloud-oplossingen. Het gebrek aan toezicht en controle vereist een blind vertrouwen in de leverancier. En als je al twijfelt of je zelf de twee gevaren van dataverlies wel goed hebt afgedicht, hoe kun je er dan zonder meer vanuit gaan dat een bedrijf dat je nauwelijks kent alles wel prima op orde heeft?
Jan Van Haver
Country Manager Benelux
G Data Software
De zorgen die men zich maakt over de beveiliging van telewerken worden grotendeels veroorzaakt doordat ons we de afgelopen decennia gefocust hebben op de beveiliging van het netwerk. De gedachte was dat we met een goed afgeschermd netwerk onze kroonjuwelen goed konden beschermen. De firewall was lange tijd de belangrijkste beveiligingsmaatregel, maar steeds vaker worden daar gaten in geslagen om mogelijkheden te bieden voor samenwerking buiten de muren van het kantoor.
Het wordt dan ook tijd dat we anders tegen de beveiliging van telewerken aan gaan kijken en ons gaan afvragen wat we eigenlijk willen beschermen. Zeer waarschijnlijk is het antwoord niet altijd en alleen maar het interne netwerk, zelfs niet de data, maar de informatie die in de data is opgeslagen. Deze informatie vertegenwoordigt waarde voor de organisatie in kennis, kunde, ontwikkeling en historie. De waarde van de informatie varieert ook in de tijd. Beursgevoelige informatie is vaak slechts voor korte tijd geheim. Binnen enkele uren of dagen is het publieke informatie en is het niet meer nodig de vertrouwelijkheid ervan te beschermen.
De industrie is al op vele fronten bezig technologie te ontwikkelen die het mogelijk maakt de informatie zelf te beveiligen op vertrouwelijkheid en integriteit. We zijn er nog niet, maar het is al wel van belang om het bedrijfsleven hierop voor te bereiden. Zij zullen een begin moeten maken met het structureel classificeren van informatie binnen de organisatie.
Tini Schuurmans
Principal Security Consultant
BT Benelux
Anywhere-ken deed ik vroeger met 24k modems, PC-Anywhere en terminal emulatie. Het Nieuwe Werken is op zich niet erg nieuw, alleen begint het nu pas met een duidelijke maar nog steeds langzame opgang.
De redenen van de groei zijn; dat Nederland steeds meer kennisland is en juist dit werk mee naar huis genomen kan worden, werknemers steeds vaker vanzelf werk mee naar huis nemen om iets af te ronden of voor te bereiden, (mobiel) internet is steeds beter, goedkoper en sneller, de werknemers hebben vaak meerdere apparaten waarmee thuiswerken mogelijk is, thuis is er vaak een studie/werkplek, applicaties zijn steeds vaker web-based, et cetera.
Het wordt dus steeds gemakkelijker om als bedrijf de mogelijkheden van Het Nieuwe Werken te benutten en het werk anders te organiseren. Technisch zijn er heel veel mogelijkheden bijgekomen en de werknemers weten dit. Het is gelukkig geen hype.
De beveiliging bij thuiswerken of werken in hotels en tijdelijke kantoorruimte, is in wezen niet anders dan bij de oude kantoorsituatie waarbij regelmatig werk mee naar huis genomen wordt. Wat betreft de gebruikerprocedures hoeft er weinig te veranderen als het al goed geregeld is. Ook bij de oude kantoorsituatie kan gevoelige bedrijfsinformatie bijvoorbeeld via laptops, dossiermappen, uitdraaien, CD’s en memory sticks daar terechtkomen waar je niet wilt. Dus moet je regels stellen, voorlichting geven en indien nodig sancties treffen. Heb je dit nog niet geregeld, dan loop je nu al onnodig risico’s.
Natuurlijk de techniek verandert steeds, dus ook de technische beveiliging moet steeds aangepast worden. Maar dat is op kantoor niet anders. Ook daar worden netwerken steeds meer aan elkaar geknoopt met alle voordelen en gevaren. Als gevoelige bedrijfsinformatie verwerkt wordt op een laptop met een slecht beveiligde wireless aansluiting, dan kan het misgaan, thuis of op kantoor.
Dus blijft over hoe je het werk anders verdeelt bij het Nieuwe Werken. Dat is geen zaak voor ICT-ers. Het Nieuwe Werken moet niet, maar kan wel. Toch zal de gemiddelde ondernemer of non-profitorganisatie een niet adequate ICT-voorziening als excuus willen gebruiken om niet over te gaan op het Nieuwe Werken. Aan ons om die ballon door te prikken.
De omgeving van organisaties veranderen door de mensen die leven in de maatschappij. Zij creëren een nieuwe wereld waarin we leven, met elkaar omgaan en hoe we communiceren. De nieuwe generatie, die zich kenmerkend anders gedraagt dan de oude generatie mensen, zijn het talent en de nieuwe managers van morgen. De bedrijven die de komende jaren dit begrijpen zullen deze nieuwe talenten aantrekken. Daarnaast zullen ze er ook voor moeten zorgen dat deze nieuwe talenten zich kunnen manoeuvreren niet alleen binnen dit bedrijf maar met name in het netwerk van organisaties waarmee je als bedrijf verbonden bent om succesvol zaken te kunnen doen.
Deze nieuwe generatie vereist open grenzen Ze denken veel meer in kennis en contacten delen met elkaar dan het bezit ervan. De vraag rijst of dit goed te beveiligen is. Vergelijk het met de ontwikkeling bij het open stellen van de grenzen in Europa. Vele mensen waren huiverig hiervoor en verwachten dat de criminaliteit enorm zou toenemen bij het open stellen van de grenzen en minder toezicht bij de grens. Het tegendeel is waar. Landen zijn zich succesvol veel meer per gebied gaan concentreren op beveiliging en zijn veel meer met elkaar gaan samenwerken waardoor grotere criminele netwerken eenvoudiger zijn op te sporen.
Zo zal het waarschijnlijk ook gaan voor de beveiliging van Het Nieuwe Werken. De oude gedachte van bescherm het bedrijf als een fort, het perimetermodel genoemd, waar het moeilijk binnen komen is voldoet straks niet meer. Als gebruiker is het wel makkelijk om hier binnen te manoeuvreren maar naar buiten toe communiceren wordt veel lastiger en daarmee staat of valt het succes van Het Nieuwe Werken.
Een nieuw beveiligingsbeleid is derhalve nodig die uitgaat van beveiliging per individu en haar gegevens. Die het makkelijker maakt om buiten de grenzen te manoeuvreren. Hoe het nieuwe technische concept van Het Nieuwe Werken eruit komt te zien staat nog niet vast maar zal zich waarschijnlijk richten op Saas – en Cloud Computing concepten. Er zal een verdere ontwikkeling plaats vinden van DigiD binnen de zakelijke wereld. Certificaten zullen een nieuw leven krijgen. Een certificaat fungeert als een digitaal paspoort voor de eigenaar van dat bestand en wordt veelal gebruikt binnen de Public Key Infrastructure (PKI). Er zal een toename komen van partijen die deze certificaten uitreiken en beheren. Dus open grenzen en ieder individu een eigen paspoort met persoonlijke toegang tot gegevens die van jou zijn maakt het grens overschrijdend reizen in Europa mogelijk. Maar de acceptatie van deze open grenzen kon nog wel eens even op zich laten wachten.