Als cio ontkom je niet aan byod (bring your own device). Steeds meer werknemers willen een eigen tablet of smartphone gebruiken voor het werk. De redenen zijn uiteenlopend: hij krijgt er geen van de zaak, de zaak biedt alleen 'antiek' spul, het gelikte device van zijn keuze zit niet in het assortiment, de werknemer bezit het device toch al, het werkt beter en prettiger en hij kan er op installeren wat hij wil.
Werknemers die zelf voor hun middelen zorgen, op eigen kosten: wat wil je nog meer? Geen torenhoge aanschafkosten meer voor spullen die snel aan vervanging toe zijn. Want zeg nu eerlijk, je kunt je medewerker niet opzadelen met een 'oude' iPhone 3GS? Daarnaast koestert de werknemer zijn eigen bezittingen en dus is de kans op verlies veel lager. En hij zal de zaken die hij gebruikt in een optimale conditie houden, toch? Niets dan voordelen!
Helaas, was het maar zo. Er zijn ernstige nadelen die menig cio doen hopen dat het zijn deur voorbij gaat. Wat doe je bijvoorbeeld als de tablet van de medewerker boordevol staat met gegevens en documenten van de zaak en je onenigheid met hem krijgt? De tablet wordt vast ook door de partner, de kinderen en zelfs vrienden gebruikt. Welke informatie krijgen deze onder ogen? Hoe heeft de medewerker het ding beveiligd? Niet? Waar gaat hij naar toe als het niet werkt? Hoeveel extra werk bezorgt het de it-afdeling? Enzovoorts.
Tien adviezen
Helaas voor de cio: je ontkomt er niet aan, struisvogelen heeft geen zin. De vraag is er, morgen staan de medewerkers bij je op de stoep. En anders de directie. Buig je nu dus maar alvast over het vraagstuk en formuleer een goed antwoord. Alleen zo houd je vat op wat er gebeurt en beteugel je de risico's.
Hierbij tien adviezen:
1. Verbied byod niet maar kanaliseer het. Verbieden heeft geen zin, medewerkers zijn inventief en doen het toch. Zet in plaats daarvan een policy op papier.
2. Voer risicoanalyses uit gericht op vertrouwelijkheid en verplicht tot COCD (Company Owned &
Controlled Device) als risico's te groot zijn.
3. Laat de werknemer een solide gebruikersovereenkomst tekenen. Maak hierin de essentiële afspraken met de gebruiker zoals met betrekking tot het toestaan van configuratie en beheer door de werkgever, gebruik, gedragsregels, back-up, aansprakelijkheid (bijvoorbeeld als je per ongeluk privé data van de gebruiker wist) en sancties. Laat een jurist de overeenkomst controleren.
4. Schaf een mobile device management (mdm)-systeem aan. Een goed mdm kan de gebruiker helpen zich aan de afspraken te houden, bijvoorbeeld door te dreigen met een 'remote wipe' als de gebruiker geen updates doorvoert.
5. Selecteer en test een beperkt aantal toegestane devices op basis van minimaal vereiste beveiligingsfunctionaliteit en veiligheid. Voer een standaard pakket beveiligingsmaatregelen voor elk van deze devices. Weiger maatwerk en blijf bij de tijd. Faseer eventueel uit naar aanleiding van ontwikkelingen.
6. Sta 'jail breaking' niet toe. Het doorbreken van standaard aangebrachte beveiliging is vragen om ellende en is niet nodig.
7. Zeg minimaal support toe, laat de gebruiker op zichzelf aangewezen zijn. Als het niet langer werkt door toedoen van de gebruiker: helaas.
8. Waak voor afhankelijkheid. Als het gebruik bedrijfskritisch wordt, wordt het tijd voor COCD.
9. Heb geen illusies: er komt bedrijfsinformatie op het device van de medewerker terecht. De praktijk wijst uit dat dit onvermijdelijk is. En weet dat 100 procent veilig niet haalbaar is.
10. Voortbordurend op het vorige punt: Bereid je voor op incidenten. Het kan mis gaan en dus zal het een keer goed mis gaan (Murphy's Law).
Toch mist er nog een puntje.
Veel software op centrale systemen maakt gebruik van CAL’s. let erop dat je door uitbreiding van devices niet in een situatie komt dat er licenties te weinig zijn afgesloten en hou dat ook goed in de gaten.
@Jule, je kunt dat ook de ander kant op trekken. Als je office op je eigen apparaat gebruikt is er weer een goedkope of gratis licentie beschikbaar, stel dat je geen werk PC meer nodig hebt leidt dit juist tot een besparing.
Maar je hebt gelijk. Je moet iets doen in je goverance mbt licenties.
De vraag is niet zozeer of je eigen devices toestaat, de vraag is vooral wat je medewerkers met dat eigen device toestaat te doen. Die vraag geldt echter evenzeer als je ze spullen van de zaak geeft, of toestemming voor thuiswerken vanaf de home PC. En is een home PC niet eigenlijk ook een eigen device? Uit het artikel blijkt dan ook dat de vragen die er gesteld worden eigenlijk niet relevant zijn. Die gaan allemaal over risico’s die je ook loopt als iemand regelmatig inlogt vanaf zijn home PC of als iemand een laptop of PDA van de zaak krijgt. Als je als bedrijf die discussie al hebt gevoerd dan heeft het weinig zin die nogmaals te voeren alleen omdat het over andersoortige apparaten gaat. Het gaat erom dat je op apparaten dingen doet voor het bedrijf met informatie die eigendom is van het bedrijf en daar zijn regels voor en die gelden voor alle devices waarop die informatie bewerkt en bewaard kan worden.
Verantwoordelijkheid voor juiste omgang met de informatie die met en/of op welk device dan ook bewerkt wordt, ligt bij de medewerker. Zoals dat nu ook zo is als hij een laptop van de zaak heeft of via of op de home PC mag werken. Dat het goed is aan “awareness” te doen is buiten kijf.
Die tien regels gelden daarom allang en worden niet pas nu actueel omdat er nu een bredere focus komt op het gebruik van devices buiten de poort (via de term BYOD).
ICT managers die nu pas gaan nadenken over dit soort regels hollen zeer waarschijnlijk al jaren achter de feiten aan. Dit stuk drukt ze daar nog eens met de neus bovenop.
Ook is het onderwerp iets anders dan Cloud, dan wordt dit toch weer aan Cloud gekoppeld!
@Henri,
Bij het wijzigen van de vorm van architectuur(BYOD + VDI/RDS/Cloud etc) kan nooit de kosten van licentie verdwijnen! In dit soort trajecten zie je een “verschuiving” van (licentie)kosten van een component naar andere, binnen je architectuur(die meestal duurder uitkomt).
Daarom vind ik je stelling “stel dat je geen werk PC meer nodig hebt leid dit juist tot een besparing” zeer onterecht.
In mijn eerste reactie hierboven heb ik aangegeven dat deze verandering een vooronderzoek(haalbaarheidsonderzoek) nodig heeft. De vorm en kosten van licentie is hier een onderdeel van. Misschien betaal je geen licentiekosten van bijvoorbeeld Office op je hardware, maar dat ga je zeker ergens anders in je architectuur of in je abonnement terug betalen.