Bring your own device (byod) is op dit moment een hot item, maar is dit echt iets nieuws? Misschien kennen jullie nog wel de Palm Pilots en de Compaq Ipaq’s. Dit waren de eerste veel gebruikte pda’s die menig managers zelf aanschaften om hun mail, agenda en contactpersonen te synchroniseren. Dit ging toen nog met een seriële kabel, maar sinds Exchange 2003 met service pack 2 is dit over the air-synchroniseren standaard mogelijk.
Met de komst van mobiel internet in combinatie met smartphones, maakt bijna elk smartphone gebruiker hier gebruik van, zowel zakelijk (Exchange) als privé (Gmail en Hotmail). Ook al heb je geen telefoon van de zaak, toch synchroniseer je de telefoon met de zakelijk Exchange-server.
Diensten
Dit scheelt de werkgever natuurlijk veel kosten. Je hoeft de werknemer geen telefoon, gsm-abonnement en mobielinternetabonnement te geven, maar als werkgever profiteer je wel van de voordelen. Ook als werknemer heb je voordelen; je hoeft geen manager te zijn om toch gebruik te kunnen maken van deze diensten. En aangezien je toch al een smartphone hebt, waarom niet.
Om byod mogelijk te maken, moet een bedrijf in staat zijn om de zakelijke applicaties aan te bieden zonder dat er iets geïnstalleerd wordt op het apparaat van de medewerker. In dit geval is iets een relatief begrip. Een ActiveX plug-in, vpn-cliënt, vdi-cliënt, etc. worden niet direct gezien als software dat noodzakelijk geïnstalleerd moet worden, maar natuurlijk is dat eigenlijk wel het geval.
Risico’s
Met de opkomst van software as a service (SaaS), virtual desktop infrastucture (vdi) en de bestaande server based computing, wordt byod steeds realistischer. Met minimale inspanning en vereisten is elk apparaat in principe inzetbaar. Je gaat naar een internetpagina en binnen enkele seconden begin je met werken. Maar byod brengt ook veel risico's met zich mee waar niet altijd aan wordt gedacht.
Hoe zit het met de beveiliging van het netwerk? Bedrijven hebben een centraal antivirusoplossing en misschien ook wel NAP/NAC. Hierbij ga je er vanuit dat je de apparaten die aangesloten worden op het netwerk in beheer hebt. Dat is bij een byod natuurlijk niet zo. Bij veel bedrijven zit een byod rechtstreeks aangesloten op het zakelijke netwerk. Een virusuitbraak door byod is niet ondenkbaar. Bijvoorbeeld is er onlangs de WhatsAppSniffer op de Android Market verschenen. Hiermee kan je alle WhatsApp-berichten verstuurd over het netwerk onderscheppen.
Speld in hooiberg
Iedere netwerkbeheerder heeft wel eens een netwerkprobleem gehad waarvan hij zeker weet dat het door een cliënt komt. Dit is niet altijd gemakkelijk terug te vinden. Met byod kan dit zelfs onmogelijk worden, de zogenaamde speld in een hooiberg.
De meeste byod-apparaten op dit moment zijn tablets en smartphones. Deze maken gebruik van de bestaande Wi-Fi-infrastructuur, maar heeft de bestaande infrastructuur voldoende capaciteit? Elk access point kan een maximaal aantal cliënts bedienen. Door byod neemt het aantal cliënts sterk toe. Hierdoor komt het regelmatig voor dat cliënts de verbinding verliezen. Daarnaast is een access point een Ethernet-hub en geen switch, deel je de bandbreedte (802.11g = 54 Mbps) ook nog eens met alle geconnecteerde cliënts.
Licentiebeperkingen
Wanneer byod wordt ingezet, hoe gaat de servicedesk deze gebruikers ondersteunen? Waar ligt de grens van de verantwoordelijkheid? Ik kan me niet voorstellen dat een servicedeskmedewerker zegt: 'Bij mij werkt het, dus het ligt aan de byod . Nog een fijne dag.' Maar je kunt ook niet van de servicedesk verwachten dat ze elke laptop, tablet, smartphone, besturingssysteem, etc. kennen en kunnen ondersteunen. Iets simpels als antivirus, is al een probleem. Het zakelijk antivirus mag niet geïnstalleerd worden in verband met licentiebeperkingen, maar hoe komt de servicedeskmedewerker dan aan de software?
Databeveiliging wordt soms ook genoemd in combinatie met met byod. In mijn ogen is dit niet direct een probleem van byod. Ook de zakelijke laptop, smartphone, usb-stick, tablet, etc. vormen dezelfde risico's. Natuurlijk kan je de zakelijke apparatuur beter beschermen door bijvoorbeeld encryptie, maar hoe vaak wordt er hier op dit moment gebruik van gemaakt?
Technisch realiseerbaar
Byod heeft zeker wel voordelen maar ook nadelen. Het is daarom belangrijk om jezelf eerst een aantal vragen te stellen. Waarvoor wil je byod gaan inzetten? Is dit technisch realiseerbaar? En wat moet er aangepast worden aan het huidige netwerk om byod goed in te kunnen zetten?
Xing,
Op zich zijn het zeer herkenbare punten waar natuurlijk al een hoop over gezegd en geschreven is.
Support wordt vaak uitgevoerd op basis van best effort maar toch zal de eindgebruiker voornamelijk self supporting moeten zijn. BYOD is daarom in mijn ogen alleen handig voor de ietwat “slimmere” eindgebruikers.
Maar het installeren en standariseren van de software binnen BYOD zal voorlopig nog wel even een heet hangijzer zijn.
Zo nu en dan zie ik wat VDI-achtige werkplekken opduiken waar de gebruiker via zijn device naar connecteert. Dit lost al een hoop van de softwareproblemen op, en is wat gemakkelijker te supporteren.
@Xing,
Veel BYOD’s gebruiken Wi-Fi: ze zijn ook als pesonal hotspot te configureren. daarmee kunnen ze en de interne Wi-Fi infrastructuur verstoren door een verkeerde frequentie te gebruiken en ze kunnen op die manier eenvoudig de complete bedrijfsbeveiliging omzeilen.
De meeste Byod’s zijn zeer moderne apparaten en werken op 802.11n (2,4 of 5 Ghz), daarmee is het sharen van bandbreedte drastisch minder kritisch.
Wanneer de top 3 van de markt aan devices ondersteund wordt en verstrekt wordt zal de diversiteit en de behoefte aan “eigen” apparaten sterk afnemen.
Xing,
Stellen dat BYOD niet echt nieuw is lijkt me een waarheid als een koe. Dat het nu, toch een beetje als geval van bezuiniging zoveel aandacht krijgt is het paard achter de wagen spannen. Eerder hadden mensen inderdaad al PocketPC (iPaqs), Palm Pilots e.d. die ze eerst via een een ‘workaround’ synchroniseerden. Later kwamen WAP gateways e.d. die deze devices veiliger integreerden in de keten doordat communicatie en authenticatie beveiligd was.
Stellen dat beveiliging niet een probleem is gaat voorbij aan het feit dat de Home editions van Windows geen file encryptie (EFS) en Bitlocker hebben. Functionaliteiten die zeker bij notebooks en andere mobiele apparaten wel degelijk een rol spelen in de keuze. Net als dat deze vaak behoorlijk ‘dichtgetimmerd’ worden en gebruiker niet zelf software mag installeren of instellingen veranderen. Of dat bedrijven het gebruik van USB op desktops niet toestaan om te voorkomen dat informatie lekt door van huis meegebrachte sticks. En sommige heel goed beveiligde organisatie staan ook niet toe dat er telefoons met een fotocamera meegenomen worden.
Boeing en anderen ontwikkelen ook niet voor niets een ‘military grade’ smartphone waarbij beveiliging centraal staat in plaats van gebruiksgemak en lage kosten. Want het is inderdaad kinderlijk eenvoudig om informatie te tappen van WiFi netwerken omdat veel verkeer niet encrypted is en je nergens een stekker in hoeft te stoppen. Veel mobiele diensten maken ook nog eens gebruik van single-factor authenticatie waardoor het een ‘appeltje-eitje’ wordt om mee te luisteren en te kijken wat een gebruiker doet.
Dat hoeft inderdaad geen probleem te zijn als de informatie ongeclassificeerd is en weinig waarde heeft maar juist daar gaat het steeds vaker mis.
Scheiding werk en plezier wordt namelijk steeds minder duidelijk wat we heel eufemistisch ‘Het Nieuwe Werken’ noemen maar zeker security officers de nodige zorgen geeft. Dat is een probleem wat je niet aan de periferie oplost maar bij de bron aan moet pakken door een informatiebeleid wat voorkomt dat gegevens rond gaan slingeren. Bijvoorbeeld met een Enterprise Content Management Systeem zoals Documentum in combinatie met Atmos Oxygen zodat flexibiliteit niet ten koste gaat van beveiliging. Daarmee kan iedereen zijn favoriete apparaat kiezen, zelf bepalen waar hij/zij werkt maar de bedrijfsinformatie geen speelbal wordt.
Ewout,
Atmos in combinatie met Oxygen is zeker een zeer interresante oplossing voor BYOD.
De data van de user wordt in een soort van Data-cloud geplaatst/gesynchroniseerd en kan met verschillende type clients opgehaald worden. Deze Data-cloud kan op verschillende fysieke locaties staan. En de data kan naar deze verschillende locaties gerepliceerd worden. Zo kan je per type user beslissen hoeveel kopieen tbv DR/HA er beschikbaar zijn.
De users kunnen zelf hun data restoren in geval een escalatie. Dit lost een groot deel van de data problematiek die bij BYOD nog wel eens komt kijken op.
@Ruud
Atmos Oxygen lost volgens mij vooral het probleem van meerdere verschillende devices op, de dataconsumptie aan de periferie. Data productie en beveiliging zal vooral van een goed Enterprise Content Management Systeem moeten komen.
@ Ewout,
Eens.
ECM blijft toch vaak een vereiste in dit soort omgevingen.
Het lijkt me uiteindelijk noodzakelijk om privé en data te scheiden als beveiliging kritiek is. Het blijft wel wenselijk om één fysiek apparaat te hebben maar dit kan opgelost worden met cloud- of SBC-achtige oplossingen zoals G/on, of een ‘virtuele zakelijke smartphone’ op een privé smartphone.
Naast de beveiliging zijn er ook nog de juridische kanten: Wie bedient het device en welke data is van wie:
– De werknemer bedient het apparaat maar de werkgever zit achter de knoppen van het MDM;
– Van wie zijn de foto’s die tijdens het bedrijfsuitje gemaakt zijn en de privé adreslijst waar (ook) zakelijke contacten in staan.
Als om beveiliginsredenen ingegrepen wordt (bv. via MDM), ligt aansprakelijkheid op de loer.
@Vincent
Interessant om de eigendomsvraag te stellen hoewel meeste mensen zich daar gezien de gretigheid waarmee we informatie delen in sociale netwerken ook niet echt druk om lijken te maken.
En eerlijk gezegd maak ik me ook niet druk om foto’s die ik maak en deel op website van dorp. Deze duiken dan ook regelmatig op in ‘stadsuffertjes’ zonder bronvermelding.
Misschien dat ik daar voortaan maar geld voor moet vragen omdat ik graag de nieuwe Nikon D700 aan wil schaffen;-)
@eddekkinga @ Vincent
ik vind dat Vincent daar wel een goed punt heeft,
stel jij hebt ‘strafbare gegevens, wellicht zelfs bepaalde plaatjes” op de tablet of smartphone staan. Wie is er dan aansprakelijk: de bezitter of de eigenaar van de smartphone of tablet.
Los hiervan en dat zou een interessant topic zijn, wat gebeurt er met je data bv als die bij Google staat via bv Google translate….
@Ewout
Ik maak me ook niet zo´n zorgen om mijn foto´s maar als ik foto´s zou mhebben waarmee ik een goede camera zou kunnen betalen, dan zou ik dat misschien wel doen. Als iemand foto´s op zijn camera zou hebben waar ánderen (bijvoorbeeld Justitie) zich zorgen over zou maken, is het weer een heel ander verhaal.
Ik zou overigens eerder voor een Canon gaan…