Veel meer Nederlandse medewerkers gebruiken privéapparaten zakelijk dan hun werkgevers verwachten. Is de ict-infrastructuur voldoende voorbereid op deze invasie van eigen mobiele apparaten? Door middel van een drietal stelling wordt geprobeerd hier antwoord op te verkrijgen.
Stelling 1. Het gebruik van privéapparaten komt de efficiëntie ten goede.
Een persbericht: “Uithoorn, 18 mei 2011 – Uit onderzoek van Peil.nl, uitgevoerd in opdracht van SIP@Work, het samenwerkingsverband tussen StartReady, Interoute en Plantronics blijkt dat 37 procent van de thuiswerkers niet tevreden is met de door zijn of haar werkgever verstrekte technologie om thuis te werken. Veel thuiswerkers schaffen daarom geavanceerdere technologie aan uit hun privé-budget, met name laptops en telefoons. In veel gevallen 'redden' thuiswerkers zich echter wel met de geboden technologie (19 procent), maar zouden ze liever met geavanceerdere technologie werken. 16 procent van de thuiswerkers is echt structureel ontevreden met de geboden thuiswerktechnologie.”
Ongetwijfeld zou eenzelfde onderzoek maar dan gedaan naar de verstrekte technologie op de werkplek in het bedrijf zelf, een soortgelijke uitkomst laten zien. En dat geldt in hoge mate voor werkplekken die omwille van bedrijfspolicies, ontstaan uit kosten of beveiligingsoverwegingen, aan alle kanten ‘dicht’ gemaakt zijn. En ook dat veroorzaakt ontevredenheid.
Het is aannemelijk dat een hogere mate van tevredenheid van de gebruikte technologieën de efficientie toeneemt. Maar tevredenheid is zeer persoonsgebonden. Wat de ene persoon handig/makkelijk vindt, kan voor een ander juist lastig/onhandig zijn. Juist omdat dit zo sterk verschilt per persoon, kan de hoogste mate van efficiëntie slechts behaald worden als de medewerkers vrij gelaten worden in de hulpmiddelen die zij gebruiken. Voor de één kan dat een iPad zijn, voor de ander een notitieblok met potlood.
In bedrijven met veel medewerkers is het daardoor ondoenlijk om vanuit het bedrijf hulpmiddelen te leveren en te ondersteunen die het best geschikt zijn voor de individuele medewerkers. In zulke gevallen werd meestal gekozen voor een ‘best-of-breed’ oplossing die daardoor voor geen enkele medewerker optimaal was, en waarvan de mogelijkheden daardoor ook niet volledig benut werden. In het geval van elektronische hulpmiddelen, als laptops, pc’s, telefoons et cetera, zorgde het it-regime er daarnaast ook nog voor dat, om de beheerkosten laag te houden, de medewerkers sterk geremd werden in het gebruik van alle mogelijkheden van dergelijke apparatuur.
Inmiddels is uit verschillende onderzoeken wel duidelijk geworden dat veel kenniswerkers productiever zijn indien zij, gebruikmakend van hun eigen privé hulpmiddelen, vrij zijn om er mee te doen wat zij nodig achten voor hun werk en privé leven. Helaas is dit voor veel bedrijven en instellingen nog een stap te ver, omdat zij denken de grip te verliezen over wat, wanneer en hoe hun medewerkers arbeid voor hun verrichten.
De stelling kan dus welhaast niet anders dan met een volmondig ‘ja’ onderschreven worden. Hoe tevredener werknemers zijn met de gebruikte hulpmiddelen, hoe makkelijker zij worden in het gebruiken ervan, ook tijdens niet kantooruren, en hoe efficiënter zij er mee gaan werken.
Stelling 2. De ict-infrastructuur biedt onvoldoende beveiliging tegen dreigingen afkomstig van BYOD.
Het Bring Your Own, of feitelijk beter, het ‘Use Your Own’ concept vereist voor de organisatie natuurlijk wel een fundamenteel andere benadering van ‘security’. Nu de werkplek niet langer beveiligd kan worden, zal de beveiliging meer en meer naar de applicaties zelf dienen te verschuiven. Nu is dit op zich geen nieuwe gedachte. Begin deze eeuw was er al een groep, Jericho, die voorzag dat er een verschuiving zou gaan plaatsvinden van gesloten bolwerken (bastions) naar open omgevingen (netwerken). Een essentieel onderdeel daarvan is Identity and Access Management. Iedereen kan zich aanmelden bij een I&A systeem, en applicaties controleren of een bepaalde identity geautoriseerd is voor het gebruik van de applicatie.
Of de applicatie dan benaderd wordt van een werkplek in het bastion (de besloten eigen omgeving) of van een apparaat dat verder niet beheerd wordt, is dan niet interessant meer. Als ook de communicatie tussen applicatie en client daarbij versleuteld wordt (IPSec bijvoorbeeld) is er sprake van een redelijke veilige omgeving. Wel dient ervoor gezorgd te worden dat vertrouwelijke gegevens, zo deze op enigerlei wijze opgeslagen worden op het ‘Own Device’, ook versleuteld worden opgeslagen. En dat is helaas meestal niet het geval. Hier dient dan ook nog zeker aandacht aan te worden besteed.
Een ander punt is het I&A systeem zelf. Nu wordt bij de meeste organisaties door netwerk- c.q. systeembeheer bepaald wie tot welke systemen toegang krijgt. Bij een goede I&A omgeving bepaald de applicatie-eigenaar wie waarvoor geautoriseerd wordt. De applicatie eigenaar is meestal geen it'er, maar kan de financieel manager zijn, de logistiek manager, een docent, de facilitair manager et cetera., feitelijk die groep die verantwoordelijk is voor het functionele deel van de applicaties. Dat is ook een fundamenteel andere benadering dan die we gewend zijn. Veel organisaties zijn niet op deze wijze ingericht, en veranderen kost tijd.
En uiteraard kunnen niet goed beveiligde systemen, en die kans wordt groter geacht bij privé apparatuur, makkelijk gehackt worden. Dat is echter een bewustwordingstraject. Ook voor de medewerker zelf zijn er namelijk grote risico’s indien zijn privé apparatuur gehackt is, omdat deze ook steeds vaker voor persoonlijke financiële transacties gebruikt worden (credit card betalingen, bankoverschrijvingen et cetera). Indien zo’n device wordt gehackt, loopt de gebruiker ervan het meeste risico. Dit zou er zelfs toe kunnen leiden dat iemand consequenter en nauwgezetter omgaat met de beveiliging van zijn eigen apparatuur, dan met een apparaat van de werkgever. Met deze laatste loopt hij immers zelf geen risico, het kan hooguit last voor de werkgever betekenen.
Ofwel: naarmate de persoonlijke apparatuur meer voor eigen zaken wordt ingezet, wordt beveiliging ervan voor de gebruiker steeds essentiëler. En daardoor zullen eventuele bedreigingen hierdoor waarschijnlijk eerder afnemen dan toenemen. En laten we wel zijn: zodra een volledig beveiligde werkplek wordt aangeboden, zullen mensen omwegen verzinnen om bepaalde zaken toch voor elkaar te krijgen, buiten de beveiliging om. En dan is het out of control.
Stelling 3. Mobiele malware wordt gevaarlijker: smartphones hebben antivirus-bescherming nodig.
En het voorgaande sluit natuurlijk goed aan bij deze stelling. Ja, het zal niet alleen nodig zijn, het zal standaard aanwezig moeten zijn. En niet alleen smartphones, maar alle personal devices: tablets, netbooks, laptops, smartphones en wat er nog zal komen.
En die noodzaak zal vanuit de gebruikers zelf komen. Niemand zal het leuk vinden als zijn social networks gehackt worden, zijn identiteit oneigenlijk gebruikt wordt of zijn credit card of bankrekening geplunderd wordt. En dat zijn de grootste gevaren voor gebruikers van personal devices.
Maar het gaat niet alleen om antivirus bescherming. Een virus is bedoeld om het systeem onbruikbaar te maken, maar malware gaat veel verder. En ook bij verlies of diefstal moeten er middelen zijn om op afstand bijvoorbeeld het device te localiseren, te wissen of onbruikbaar te maken.
Gelukkig zijn er steeds meer bedrijven die hierop inspringen en voor acceptabele kosten een dergelijke beveiliging bieden. En gebruik hiervan moet natuurlijk gestimuleerd worden door de organisatie van de medewerkers. Niet op een dwingende manier (‘u zult') maar op een aansprekende manier: ‘je bent vrij om te gebruiken wat je wilt, maar wel zelf volledig verantwoordelijk voor wat je er mee doet, hoe je er mee omgaat, en hoe je de beveiliging regelt'. En natuurlijk, daarover kan advies gegeven worden.
Tot zover de stellingen. Maar er is veel meer te zeggen over ‘BYOD' of ‘UYO' dan in de stellingen aangegeven wordt.
De term ‘Bring Your Own Device' ofwel BYOD, duidt in eerste instantie natuurlijk op het meebrengen van een eigen apparaat. Dat kan een laptop zijn, maar ook een tablet, smartphone of iets dergelijks. Daarmee wordt feitelijk bedoeld dat werknemers hun eigen ‘terminal' meenemen waarop zij de bedrijfstoepassingen kunnen uitvoeren. En hoewel leuk als eerste aanzet, dit is niet precies waar het om gaat. Immers, veel van die bedrijfsapplicaties zijn helemaal niet geschikt om op ‘vreemde' devices uitgevoerd te kunnen worden, al was het maar vanwege de zeer beperkte schermgrootte van smartphones of de beschikbare bandbreedte. Of vanwege het besturingssysteem, iets wat natuurlijk met name voor iOS en Androïd geldt. Het grootste deel van de bedrijfsapplicaties is immers gemaakt voor het Windows platform.
Daarnaast kan je moeilijk verplichten dat een werknemer taken op zijn eigen device uitvoert. Er moet keuze zijn. De keuze om te kiezen of je iets op de standaard werkplek uitvoert, of dat je iets, onder bepaalde omstandigheden, op je eigen device uitvoert. Het is niet of/of maar en/of.
Feitelijk zou de optimale situatie moeten zijn dat werknemers zelf bepalen welk apparaat, en met welke toepassing zij in een bepaalde situatie of omgeving, gebruik willen maken van de informatie voorziening van hun bedrijf. Vertaald is dat ‘Use Your Own': Gebruik een apparaat, applicatie of wat dan ook naar keuze op het gegeven moment, het meest voor jou geschikt is. Maar dat heeft veel meer consequenties dan BYOD: nu moet immers de ‘user-interface' losgemaakt worden van de feitelijke applicatie. Die ‘user-interface', die tegenwoordig onder de populaire naam ‘app' met een aardige opkomst bezig is, moet door de gebruiker zelf gekozen kunnen worden. Hij of zij moet de voor hem of haar meeste geschikte ‘app' kunnen gebruiken op het platform van het apparaat waar hij of zij mee werkt. Een iOS app, een Androïd app, een Windows Phone app, of een app voor de laptop of netbook, het maakt niet uit. En dan laat ik RIM, Symbian en andere besturingssystemen nog maar even buiten beschouwing.
Om dit in te voeren is het noodzakelijk dat de fundamenteel anders naar bedrijfstoepassingen gekeken wordt. Eén gebruikers interface met 1001 mogelijkheden om alle gevraagde functionaliteit van alle medewerkers te kunnen bieden, zoals nog steeds erg vaak voorkomt, is onzinnig. Gebruikers hoeven alleen die functionaliteit te hebben die zij voor hun eigen taken nodig hebben. En dat kan door verschillende apps te maken die verschillende functionaliteit bieden of die functionaliteit op verschillende wijze aanbieden.
Twitter is daar een goed voorbeeld van. Hoewel er prima apps van Twitter zelf zijn, zijn er legio apps te vinden die net even anders de functionaliteit aanbieden van Twitter. Tweetdeck is daar een goed voorbeeld van. En gebruikers kunnen vrijelijk kiezen tussen de interface, en dus app, die voor hen het meest zinvol is.
Scheiding van data en gebruikersinterface. Dat is waar het om gaat. Waarbij de gebruikersinterface straks voornamelijk op de laatste HTML-standaard (HTML5) gebaseerd zal zijn. Dat maakt het ontwikkelen van apps eenvoudig, gestructureerd en onderhoudbaar.
Omdat de verwachting is dat deze UYO gedachte over een paar jaar ‘common practice' zal zijn, de volgende generatie werknemers weet immers niet beter, dienen bedrijven nu al te gaan kijken hoe zij hun bedrijfstoepassingen gaan omzetten naar HTML5 interfacing voor de gebruikersinterface, moeten zij nu al apps gaan ontwikkelen, en moeten zij nu al gaan kijken hoe de feitelijke data losgemaakt kan worden van de applicaties. Identificatie en autorisatie spelen daarbij een grote rol.
Dit gaat veel verder dan desktop virtualisatie. Goed beschouwd is het een vorm van applicatie virtualisatie: een bedrijfstoepassing wordt virtueel. De per gebruiker gehanteerde app bepaald immers wat en hoe die specifieke gebruiker met de ‘applicatie' doet. Alleen de data is gemeenschappelijk.
Het gevolg zal zijn dat specifieke applicatieservers zullen gaan verdwijnen. Gebruikers zullen via hun apps op gecontroleerde en gestructureerde wijze gegevens uitwisselen met bijvoorbeeld een SQL-server, Oracle-database of SAP-database.
Google heeft dat al lang begrepen. Google Apps is een invulling van precies deze manier van werken. En Microsoft heeft ook wel door dat het die kant uitgaat: Office365 doet in ieder geval een poging die richting op te gaan. Vrijwel alle social media platformen hanteren inmiddels dit principe, het zal echt niet lang meer duren of ook het bedrijfsleven met hun eigen bedrijfstoepassingen, zal deze slag gaan maken.
Ik lees een driedeling: Data, Userinterface en I&A. Ik mis de business rules, die bepalen hoe een bedrijf haar proces heeft ingericht. Ik denk niet dat je die in je App wilt onderbrengen.
Hoi Dirk,
nee, zou ik ook niet doen. Een App is alleen voor de user-interface. De logica en business rules moeten in de back-end zitten. Waar het me om gaat is dat de term ’toepassingen’ of ‘applicaties’ zoals deze nu gebruikt worden, meestal het geheel aanduiden en geen specifieke scheiding maken tussen back-end en front-end. Terwijl bij Use Your Own de term ‘app’ slechts voor de front-end gebruikt zou moeten worden.
Hoi John,
Ik ga een eind mee in je redenatie, echter de stelling dat applicatieservers verdwijnen is onjuist, die heb je juist keihard nodig om de multi tier te realiseren. De presentatie splitsen we af (apps zijn niet meer dan oude wijn in nieuwe zakken) de logica, rules etc hou je over. Wat ook een uitdaging wordt is gebruik van byo software. Huidige licentiestructuren lijken me niet geschikt en mbt aansprakelijkheid vwb illegaal sw gebruik voor zakelijke gewin?