Als cio ontkom je niet aan byod (bring your own device). Steeds meer werknemers willen een eigen tablet of smartphone gebruiken voor het werk. De redenen zijn uiteenlopend: hij krijgt er geen van de zaak, de zaak biedt alleen 'antiek' spul, het gelikte device van zijn keuze zit niet in het assortiment, de werknemer bezit het device toch al, het werkt beter en prettiger en hij kan er op installeren wat hij wil.
Werknemers die zelf voor hun middelen zorgen, op eigen kosten: wat wil je nog meer? Geen torenhoge aanschafkosten meer voor spullen die snel aan vervanging toe zijn. Want zeg nu eerlijk, je kunt je medewerker niet opzadelen met een 'oude' iPhone 3GS? Daarnaast koestert de werknemer zijn eigen bezittingen en dus is de kans op verlies veel lager. En hij zal de zaken die hij gebruikt in een optimale conditie houden, toch? Niets dan voordelen!
Helaas, was het maar zo. Er zijn ernstige nadelen die menig cio doen hopen dat het zijn deur voorbij gaat. Wat doe je bijvoorbeeld als de tablet van de medewerker boordevol staat met gegevens en documenten van de zaak en je onenigheid met hem krijgt? De tablet wordt vast ook door de partner, de kinderen en zelfs vrienden gebruikt. Welke informatie krijgen deze onder ogen? Hoe heeft de medewerker het ding beveiligd? Niet? Waar gaat hij naar toe als het niet werkt? Hoeveel extra werk bezorgt het de it-afdeling? Enzovoorts.
Tien adviezen
Helaas voor de cio: je ontkomt er niet aan, struisvogelen heeft geen zin. De vraag is er, morgen staan de medewerkers bij je op de stoep. En anders de directie. Buig je nu dus maar alvast over het vraagstuk en formuleer een goed antwoord. Alleen zo houd je vat op wat er gebeurt en beteugel je de risico's.
Hierbij tien adviezen:
1. Verbied byod niet maar kanaliseer het. Verbieden heeft geen zin, medewerkers zijn inventief en doen het toch. Zet in plaats daarvan een policy op papier.
2. Voer risicoanalyses uit gericht op vertrouwelijkheid en verplicht tot COCD (Company Owned &
Controlled Device) als risico's te groot zijn.
3. Laat de werknemer een solide gebruikersovereenkomst tekenen. Maak hierin de essentiële afspraken met de gebruiker zoals met betrekking tot het toestaan van configuratie en beheer door de werkgever, gebruik, gedragsregels, back-up, aansprakelijkheid (bijvoorbeeld als je per ongeluk privé data van de gebruiker wist) en sancties. Laat een jurist de overeenkomst controleren.
4. Schaf een mobile device management (mdm)-systeem aan. Een goed mdm kan de gebruiker helpen zich aan de afspraken te houden, bijvoorbeeld door te dreigen met een 'remote wipe' als de gebruiker geen updates doorvoert.
5. Selecteer en test een beperkt aantal toegestane devices op basis van minimaal vereiste beveiligingsfunctionaliteit en veiligheid. Voer een standaard pakket beveiligingsmaatregelen voor elk van deze devices. Weiger maatwerk en blijf bij de tijd. Faseer eventueel uit naar aanleiding van ontwikkelingen.
6. Sta 'jail breaking' niet toe. Het doorbreken van standaard aangebrachte beveiliging is vragen om ellende en is niet nodig.
7. Zeg minimaal support toe, laat de gebruiker op zichzelf aangewezen zijn. Als het niet langer werkt door toedoen van de gebruiker: helaas.
8. Waak voor afhankelijkheid. Als het gebruik bedrijfskritisch wordt, wordt het tijd voor COCD.
9. Heb geen illusies: er komt bedrijfsinformatie op het device van de medewerker terecht. De praktijk wijst uit dat dit onvermijdelijk is. En weet dat 100 procent veilig niet haalbaar is.
10. Voortbordurend op het vorige punt: Bereid je voor op incidenten. Het kan mis gaan en dus zal het een keer goed mis gaan (Murphy's Law).
Leuk artikel. Afhankelijk hoe je deze zaak (BYOD) aanvliegt zijn er verschillende onderwerpen waar de gebruikers, organisatie en CIO weet van moeten hebben. Deel van deze zaken heb je al benoemd. De vraag is, waar deze verandering door gedreven is? Gebruikers die met hippe dingen willen werken of productiviteit en efficiëntie die je terug krijgt door vrijheid in werken aan de gebruikers geven!
Architectuur van BYOD kent verschillende vormen waar je een keuze uit kan maken, afhankelijk van de behoefte, de huidige technisch en beheersituatie op IT afdeling, kennis en ervaring van beheerders met nieuwe technologieën( tot hoeverre ben je afhankelijk van externe partijen voor het beheren van je BYOD back-end componenten), beschikbare budget, waar ligt je ROI, wat is TCO van deze oplossing ( licentie van verschillende componenten in deze architectuur: denk vooral aan MS kosten zoals Office, Windows OS in virtualisatie-vorm etc), kosten van beveiliging en nog meer andere zaken.
Wanneer je BYOD combineert met Het Nieuwe Werken dan komen er nog meer nieuwe onderwerpen op het gebied van leiderschap en het managen van de gebruikers bij kijken.
Kortom BYOD is een verandering die vanuit verschillende hoeken bekeken en geanalyseerd moet worden. Als je dit rapport aan je cio voorleg dan ben ik benieuwd naar zijn reactie en of hij nog zo enthousiasme is als voor het uitbrengen van dit rapport!
De 10 adviezen snijden uiteraard hout maar draaien wel erg om termen als afdwingen, indekken, verantwoordelijkheden verplaatsen, policies etc. Mij een beetje teveel beheer van het oude stempel. En dat terwijl de angst van de auteur met name wordt gevoed door verlies van (gevoelige) informatie. Daar is al jaren een oplossing voor: Defense in Depth.
Bovenaan de lijst van adviezen moet dan ook staan: gebruikers bewustwording bijbrengen van de risico’s.Zodra je buy in hebt van die groep kan je gaan nadenken over processen en prodedures. Devices onder controle krijgen en houden is maar een heel klein onderdeel van de oplossing (en misschien wel de minst belangrijke).
Ik deel de mening van Reza dat dit rapport wat werk nodig heeft voordat het naar de CIO kan.
De “10 geboden” uit het artikel zijn praktisch en zeker nuttig, maar BYOD in deze vorm zou beter PYOD kunnen heten: Pay Your Own Device.
Wanneer we uit zouden gaan van CYOD: Choose Your Own Device, dan is het ICT-consumerisation “probleem” opgelost, want de discussie kan toch niet gaan over het eigendomsrecht van de smartphone of tablet?????
Leuk artikel, en ik ben het eens met de stelling dat je er als organisatie niet aankomt dat medewerkers een eigen device meenemen en gebruiken. Zoals eerder gesteld vind ook ik de tien adviezen vooral ingaan op het afdwingen van een bepaald gebruik van het device. Nog los van de vraag of dat wenselijk is (je strijkt vooral tegen de haren in van medewerkers) ben ik ook benieuwd naar wat je gaat doen als organisatie als mensen zich niet aan de tien adviezen houden. Ga je dan bijv. sancties opleggen, of laat je de lijnmanager met de betreffende medewerker een hartig woordje spreken?
Een mogelijkheid die ik nog zou willen noemen is het gebruik van een virtuele applicatie (heet volgens mij qua methode Sandbox)waarmee de app’s waar informatie in wordt geraadpleegd in een afgeschermd gedeelte van het device gedraaid wordt. De virtuele applicatie kan ook offline gebruikt worden en kan versleuteld worden, zodat bij verlies van het device de informatie niet elders kan terechtkomen.
Tot slot zou beleid rondom BYOD afgestemd moeten zijn op het risicoprofiel en cultuur van de organisatie. Keuze tussen een managed omgeving of een unmanaged (BYO) hangt af van risico’s en mate van gevoelige informatie. Het verschil tussen het gebruik van bijv. een IPad binnen een organisatie in de Openbare orde en veiligheidsector en het gebruik binnen een organisatie in een andere sector is immers vrij groot als het gaat om gevoelige informatie.
Ik belees met de nodige scepsis dit artikel maar veel meer vanuit de perceptie dat het principe als zodanig zeker toe te juichen is maar vrijwel niet te beheren of te ondersteunen.
Of je moet dat prijskaartje op willen hoesten uiteindelijk. Een ander probleem van een eigen device,(whats new?), is het beveiligingsaspect. Zelfs als je die devices mee laat draaien in de gevirtualiseerde wereld dan nog kan daar wel eens een lek zitten die vrij moeilijk te controleren is.
Wat ik een beetje uit het artikel haal, misschien lees ik het verkeerd, is dat de CEO if CIO zich geroepen zou moeten voelen de deur open te zetten voor. Ik zou me als CIO eerst bezorgt maken om de stabiliteit en de beschikbaarheid, niet in de laatste plaats natuurlijk security, van de applicaties en data. Het draait er immers om of de IT een aantoonbaar te berekenen meerwaarde heeft voor de organisatie en niet wat ‘leuk’ alleen zou zijn.
Byod heeft dat voor alsnog, tenminste wat mij betreft, zakelijk gezien niet. Hoe leuk de werknemers dit dan ook vinden. En dan kun je met je ‘device’ nog steeds jezelf beschikbaar maken voor de zaak als je vind dat de zaak je geen leuk genoeg speeltje ter beschikking wil stellen.
Toch?
Ik heb het artikel gelezen en kan mij vinden in de inhoud, maar ook in de commentaren. Ik vraag mij echter een paar dingen af:
1) moet Bring Your Own Device niet eigenlijk Use Your Own Device (UYOD) worden in het kader van het Nieuwe Werken enzo? Dit is al de eerste aanpassing aan de filosofie.
2) afdwingen is inderdaad niet meer van deze tijd (of binnenkort niet meer in ieder geval). Infrastructuur is niet meer besloten tot het bedrijf, zelfs niet zonder BYOD. Maatregelen tot veilig gebruik van infra moet dus niet komen van ‘dwang’ maar vanuit architectuur en mijn volgende punt.
3) ik ga mee met @hwellema dat bewustwording een hele belangrijke rol speelt in dit verhaal. Maak de waarde van informatie duidelijk en zorg dat gebruikers uit zichzelf hun verantwoordelijkheid nemen. Makkelijk gezegd, maar dit moet echt ontwikkeld worden.
Dank in ieder geval voor een leuk discussiestuk!
@Jeroen,
Aan het veranderen van je applicatielandschap voor BYOD-liefhebbers hangt een prijskaartje!
Denk aan:
– (licentie)kosten van een oplossing voor virtualisatie van applicatie,
– (licentie)kosten van een oplossing voor beveiliging van mobile device
– Onderhoud, test, versie-upgrade, probleem oplossen etc van virtuele applicaties naast de huidige applicaties
– benodigde kennis voor IT afdeling,
En nog meer.
Naast het beschikbaar stellen van deze applicaties op de client device, moet je voor sommige applicaties de benodigde data ook beschikbaar stellen. Hoe doe je dat dan?
Heb je weleens nagedacht over het aantal calls dat hierdoor zal oplopen? Arme helpdesk en systeembeheerders moeten als een gek rennen om brandjes hier en daar te blussen, alleen omdat de gebruikers op verschillende soort mobile devices (en natuurlijk heel hip op hun Ipad) willen werken.
Mijn voorstel voor dit vraagstuk is:
1- biedt een set van mobile devices die door IT afdeling ondersteund worden (CYOD)
3- Denk aan een oplossing voor het managen van je client device (mobile, fat, thin, zero etc)
2- Centraliseer je ICT en presenteer het VIA de client (mobile, thin, fat)door een oplossing zoals Citrix XenApp.
Dit alles nadat we eerst het rapport opgesteld hebben dat ik eerder in mijn reactie benoemd heb.
BYOD is net als cloud computing een feit, doe er vooral je voordeel mee. Cloud tools sluiten perfect aan bij BYOD, je overerft de security. Dus als de cloud security goed zit, is BYOD geen groot obstakel.
Opvoeden van medewerkers is van alle tijden. Het feit dat iedere computer in een organisatie toegang heeft tot het internet betekent al dat alle data niet binnen muren te houden is als de werknemer niet ter goeder trouw is. Geen verschil met BYOD dus. De adviezen in het artikel zijn zeker het lezen waard, pik eruit waar je wat mee gaat doen.
BOYD zorgt er vooral voor dat niet de bedrijfsmuren en het datacenter beveiligd moeten worden, maar dat je de veiligheid nog dichter op de data dient te plaatsen en dat is sowieso een belangrijk punt omdat grenzen nu eenmaal vervagen.
Nog een aardig artikel over BYOD, vooral “The API border is the new security perimeter” spreekt mij aan.
http://goo.gl/7rE1L
Mensen zoals NumoQuest hebben overal hun vraagtekens bij. Is goed om zo iemand in je team te hebben als tegengeluid, maar meer niet, elke vorm van innovatie wordt anders al vroeg vermoord. Als je pas vertrekt als alle beren en wakken uit de weg zijn, dan ben je al verdronken omdat het ijs verdwenen is.
Henri,
Helemaal mee eens. Ook bij Cloud wordt te vaak geroepen dat security en het gebrek aan standaarden een hot item is.
Na de komst van het internet is security in iedere omgeving een hot item. En in bijna iedere IT omgeving ontbreekt het vaak nog aan standaarden. Dit is al meer dan genoeg onder de aandacht geweest en ik denk dat iedereen zich hier in zekere zin al lang bewust van is.
We moeten niet steeds in de discussie blijven hangen dat het allemaal moeilijk en lastig is. Dat is bijna altijd het geval met IT.
En het overal sceptisch over zijn is natuurlijk erg makkelijk en scoor je snel punten mee. Echter lost het niets op.
De beste stuurlui staan namelijk altijd aan wal.
Tien adviezen die voor de werkgever allerzinds redelijk zijn maar voor de gebruiker waarschijnlijk niet.
Komt nog eens bij.. dit gaat enkel over tablets en aanverwante speeltjes.
Hoe zit het met mijn unix/linux laptopjes zonder welk ik mijn werk absoluut niet naar behoren kan doen?
Moet daar ook iemand gaan controleren wat ik met dat ding uitspook?