Volgens het onderzoeksbureau Canalys zijn er in 2011 voor het eerst meer smartphones dan pc’s verkocht. Met die eigen toestellen willen medewerkers ook het bedrijfsnetwerk op. Om hun mails te lezen, agenda’s te synchroniseren, noem maar op. Niet alleen met hun smartphone overigens, ook met eigen tablets en privé laptops moet dat kunnen. Als eindgebruiker vind ik dit een goede zaak. Maar vanuit securityoogpunt heb ik toch wel wat kanttekeningen.
Vroeger had bijna iedereen dezelfde computer met hetzelfde besturingssysteem en in de meeste gevallen ook nog dezelfde toepassingen. Er waren wel verschillen tussen afdelingen: de boekhouding gebruikt boekhoudsoftware, de ontwerpafdeling grafische software, enzovoort. Grosso modo had je echter een gestandaardiseerd bedrijfsnetwerk. Dat wordt beschouwd als veilig, omdat je er als bedrijf controle over hebt. Je weet welke toepassingen erop draaien, alles is gestandaardiseerd. Vanuit het oogpunt van security is dat een comfortabele situatie. Maar die gaat door byod (bring your own device) op de helling.
Als iedereen zijn eigen device meebrengt, krijg je in je bedrijf een veelvoud aan besturingssystemen: Android, Windows Phone, iOS, Linux, verschillende Windows- en Mac OS X-versies. Over de talloze verschillende toepassingen die daarop draaien heb ik het niet eens. Zo’n exotische it-omgeving bezorgt de interne it-afdeling vermoedelijk kopzorgen. Het is eigenlijk onmogelijk om een dergelijke omgeving economisch verantwoord manier te beheren en goed te beveiligen. Een deel van de oplossing is de eindgebruiker zelf verantwoordelijk maken voor de veiligheid van zijn eigen toestel. Maar daarmee is nog niet alles gezegd.
Oplossing hangt in de lucht
Dan is er nog de beveiliging van de bedrijfsgegevens. Door byod wordt het wel erg makkelijk om bedrijfsgegevens op de eigen laptop of smartphone op te slaan en mee naar huis te nemen. Je kunt daar wel de nodige afspraken over maken, maar uit onderzoek (van Cisco) blijkt dat de helft van de medewerkers zich niet houdt aan beleid op dit gebied als hun dat niet goed uitkomt. Toegegeven: dat kan ook gebeuren in een bedrijf waar byod nog niet mogelijk is, bijvoorbeeld als een medewerker de bedrijfslaptop mee naar huis neemt.
De oplossing ligt voor de hand: cloud computing. Bescherm je informatie door te zorgen dat er zo weinig mogelijk op persoonlijke of mobiele toestellen komt te staan. Hoe? Door die informatie centraal in een goed beveiligde private cloud bij te houden en te beheren. Er bestaan genoeg controlesystemen, zoals encryptie en strikte toegangscontroles, om het geheel prima te beveiligen. Werknemers maken een verbinding van hun eigen toestel met informatie die in de cloud zit en die ze idealiter rechtstreeks in de cloud bewerken of creëren. Met eventueel de beperking dat zij die informatie niet lokaal kunnen opslaan, versturen, of wat dan ook. Je kunt ook gradaties inbouwen, zodat zeer vertrouwelijke informatie de cloud nooit kan verlaten.
Informeer je en maak afspraken
Het concept om informatie centraal in een cloud te bewaren en bewerken bestaat eigenlijk al jaren, denk maar aan het thin client concept van jaren geleden. Door problemen met bandbreedte en het gebrek aan mobiele netwerken is dat concept nooit succesvol geworden voor mobiele gebruikers. Maar tegenwoordig zijn er bijna overal internetverbindingen met acceptabele snelheden, ook mobiel. Er zijn dus nu nog maar weinig redenen om informatie lokaal te bewaren. Veiligheid is er misschien een van. Maar wie zijn informatie onderbrengt bij een cloud provider, gaat er automatisch van uit dat die informatie goed beveiligd is.
Toch loont het de moeite om aan het begin van de offerteaanvraag concreet naar de beveiliging te vragen. En tegelijk te achterhalen waar alle privacy- en concurrentiegevoelige informatie precies staat opgeslagen, zeker als je met internationale cloudspelers als Amazon of Google in zee wil gaan. Volgens de Europese richtlijn valt informatie immers onder de privacywetgeving van het land waar de gegevens zijn opgeslagen en die wetten kunnen heel goed van land tot land verschillen. Binnen Europa vallen de verschillen wel mee, maar in de Verenigde Staten bijvoorbeeld, heeft de overheid veel gemakkelijker toegang tot privacygevoelige informatie.
Geen permanente controle
Een bedrijf doet er goed aan om bepaalde regels rond byod op papier te zetten. Zo laat mijn werkgever toe dat mensen met hun persoonlijke smartphone verbinding maken met het internet. Dat gebeurt via een apart netwerk dat losstaat van het corporate LAN. Zo kunnen ze hun e-mails raadplegen en hun kalender beheren. Het toestel is eigendom van de medewerker, dus de IT-afdeling zorgt niet voor updates, beveiligingsinstellingen of wat ook. En die afdeling heeft er ook geen permanente controle over. Maar bij verlies of diefstal van het toestel, resetten we ze op afstand naar de fabrieksinstellingen. Zo wissen we alle bedrijfsinformatie, om misbruik tegen te gaan. Daar voelen niet alle werknemers zich comfortabel bij, maar als bedrijf houd je toch een solide fall-backscenario achter de hand. Het voordeel voor de medewerker is dat de ramen en deuren niet zijn dichtgespijkerd. Net wat generation Y vraagt!
Ik kan me helemaal niet vinden in de tweede alinea. Aleen de slotzin ervan snijdt hout.
Homogene bossen zijn veel kwetsbaarder dan heterogene bossen. Dit is met computernetwerken hetzelfde. We kennen genoeg voorbeelden uit het verleden waar hele bedrijven platlagen door een virus.
Het is wel waar dat het makkelijker te beheren is, maar in de alinea staan hele andere dingen.
@Pavake: Herkenbaar verhaal cvan de DLL-hell of library dependencies. 🙂
Ik ben het overigens met Paul eens. Adoptie van cloud computing lost meteen de BYOD uitdaging op. Oh en het lost ook een deel van je desktop beheer op.
Zoals Reza zegt is een visie wel een wezenlijk onderdeel, maar zijn gekozen richting is goed voor dienstverleners, maar ook duur en in mijn ogen niet de toekomst.
Dat debacle met LinkedIn onderstreept echter wel weer dat grote bedrijven niet allemaal de veiligheid even serieus nemen. Nu is er wel een incident met een gelukte hack poging bij Google ondanks 2-way authentication, maar die heeft niet de grote groep gebruikers geraakt en was echt een gefocuste poging op 1 specifiek doelwit.
Maar als je dat verhaal leest zie je dat grote (VS) bedrijven er ook steeds meer voor kiezen om het hosten van bijvoorbeeld e-mail en agenda’s niet zelf meer te doen. Zodoende kon e-mail en agenda heel gemakkelijk op eigen devices van medewerkers draaien en ik geloof daar in.
Ik ben voor UYOD: Use Your Own Device!
Cloud is mooi, ook werken vanuit de cloud is mooi, maar mijn ervaring is dat ik niet altijd en overal ‘verbinding’ heb. Ja, op kantoor kan ik op de infrastructuur van het bedrijf, maar wat doe ik in de trein, vliegtuig en buitenland? Constant verbinding is duur. Ook oplossingen als XenApp Of VMware view hebben volgens mij verbinding nodig.
Mijn visie:
Zorg voor een goed beveiligde synchronisatie met je eigen device(s), en zorg er voor dat de ‘geautoriseerde’ devices ook goed beveiligd zijn tegen ongeautoriseerd gebruik. Remote wipe en dat soort zaken vind ik daar ook onderdeel van uit maken, maar ook wachtwoord / pin beveiliging en encryptie op je device zouden voorwaarde moeten zijn.
Henri,
Wat is duur? Wie bepaalt of iets duur is en hoe(maatstaf, beoordeling etc)? En waarom vind je mijn voorstel bij voorbaat duur?
Veel leveranciers maken hun software geschikt voor eigen datacenter binnen bij de klantzelf en niet alleen bij de externe leverancier. Deze omgeving kun je ook verder uitbereiden om in combinatie met externe diensten tot een hybride Cloud te komen. Hun uitgangspunt is, eigen datacenter! Een voorbeeld hiervan zijn OpenStack programma(RedHat) en ook binnenkort InstallFree. Ik weet nog niet zeker of Citrix CloudGateway en VMware Horizon ook voor eindgebruikers zijn of alleen voor de leveranciers).
Afhankelijk van je ict-omgeving, je ict-afdeling(kennis en kunde), de eisen en wensen van gebruikersorganisatie, de eisen uit business, visie en nog veel andere zaken kun je pas bepalen of de zaken zoals desktopomgeving intern of extern aangeboden moeten/kunnen worden. Een Cloud oplossing behoort tot de mogelijkheden.
Let wel op, de scope van mijn voorstel is de totale ict-omgeving met alle verwevenheden, wat je nodig hebt voor byod. Dus niet alleen de mail op je device aanbieden, dit is heel anders (lees heel simpel en beperkt)
P.s. ik ben benieuwd of je ooit een keer kennis gemakt hebt met een voorbeeldberekening van transitiekosten naar Cloud plus Re-transitiekosten vanuit Cloud/Provide-A naar B inclusief de risicoanalyse en de bijbehorende risicokosten. Deze heb je zeker nodig als onderbouwing wanneer je klanten advies geeft naar Cloud te gaan.
Dan ben ik benieuwd of je dat ook duur vindt of niet!
Paul,
Zoals meeste commentaren al aangeven is byod niet iets van de laatste dagen, tenminste niet het risico van dataverlies. Zo hebben we al jaren USB sticks en konden gebruikers kinderlijk eenvoudig informatie via e-mail versturen. Ik heb het idee dat ook in deze opinie een beetje aan de verkeerde kant van het probleem gekeken wordt. Want als het gaat om bedrijfsdata te beschermen dan lijkt het me efficiënter om dat als uitgangspunt te nemen in plaats van pleisters te plakken op constant wijzigende apparaten, de gegevensdragers die gebruikers al jaren kwijt raken en zo nu en dan een spraakmakend geval worden in de krant. Wat dat betreft is er in twintig jaar ook niet zoveel veranderd want toen werden er al floppydisken meegenomen naar kantoor. Het gaat hier dus niet zo zeer om technische maatregelen, welke toch vaak achter de feiten aanlopen maar het vertrouwen dat gegeven wordt.
Natuurlijk zal voorkomen moeten worden dat belangrijke bedrijfsgegevens op straat komen te liggen maar daar lijkt een ‘for your eyes only’ aanpak me beter te werken. Data management in plaats van device management zorgt ervoor dat niet alleen het probleem van byod en cloud computing gedekt wordt maar ook de steeds vaker voorkomende fout van rondslingerende data op testsystemen.
Ik ben het niet eens met ‘vroeger had bijna iedereen dezelfde computer met hetzelfde operating systeem’. Vroeger waren er een groot aantal verschillende computerbedrijven met elk hun eigen type computers en nog meer operating systemen. Computerbedrijven als IBM, Burroughs, Univac, Control Data, Honelwel, Bull, ICL, Fujitsu, Hewlett Packard, Digital, met bijvoorbeeld voor IBM operating systemen als VM, VS, MVS, DOS, OS, OS-360, OS-370, S-30, met nog veel meer en allen incompatable. Ook de andere computerbedrijven hadden diverse operating systemen.
Wat uiteindelijk voor compatibiliteit zorgde was het internet. Hierdoor konden alle systemen met elkaar communiceren, voornamelijk doordat ze elkaars bestanden konden lezen. Dat is dan ook het werkelijke probleem, niet het gebruik van allemaal dezelfde computersystemen (hardware dan wel OS).
Het centrale probleem is dus altijd de data en de beveiliging. Als dat goed wordt geregeld zouden er nauwelijks problemen moeten zijn.