Steeds vaker maken medewerkers gebruik van eigen apparatuur (smartphone of tablet) voor zakelijke informatie. Het lezen van e-mail, het integreren van privé en zakelijke agenda’s zijn slechts enkele voorbeelden. Dit is technisch relatief eenvoudig te realiseren. Maar in hoeverre ben je als ict-manager verantwoordelijk voor bestanden en documenten die vertrouwelijk zijn of die gearchiveerd moeten worden.
Als ict-manager ben je verantwoordelijk voor het secure beschikbaar stellen van digitale informatie aan de medewerkers van je organisatie. Het is echter de vraag: in hoeverre kun je deze verantwoordelijkheid nemen op het moment dat medewerkers gebruik maken van naar het lijkt simpele faciliteiten als Dropbox en Webtransfer. Iedere manager zal het begrijpen als een medewerker zegt: ‘Stuur de offerte of contract naar me toe en ik kijk er vanavond naar’. Dit betekent echter wel dat de mogelijkheid bestaat dat een vertrouwelijk stuk wordt opgeslagen in bijvoorbeeld Dropbox. Dit is echter wel een openbare cloudoplossing. Een van de kenmerken van de openbare cloud is dat het niet bekend is waar het document fysiek is opgeslagen en wat er allemaal mis kan gaan. Ook is de wetgeving omtrent privacy in de VS totaal anders als in de EU.
Maar naast het beschikbaar stellen van informatie, ligt er ook een verantwoordelijkheid over archivering van digitale informatie bij de ict-manager. Het is in de wetgeving vastgelegd welke informatie, hoe lang bewaard moet blijven. Hiervoor zijn richtlijnen gedefinieerd en daarbij zijn ook de controlerende instanties bekend die hierop toetsen. Dan rijst de vraag: hoe borg ik bijvoorbeeld contracten met relaties die beschikbaar zijn voor controlerende instanties als ik weet dat communicatie plaatsvindt via media waar de ict-organisatie geen grip op heeft.
Om deze verantwoordelijkheid te kunnen dragen zul je als Iict-manager een beleid moeten opstellen over hoe de organisatie met digitale informatie om moet gaan. Dit beleid zal alles behalve technisch georiënteerd zijn. Veel zal gericht zijn op hoe gaat de organisatie borgen dat het ‘eindproduct’ (bijvoorbeeld: getekend contract) op de juiste plek wordt gearchiveerd. De belangrijkste rol voor de ict-manager zal in mijn beleving liggen in het uitdragen van dit beleid en het toezien op dat hierop gecontroleerd wordt.
Vanuit security heb je dus een belangrijke verantwoordelijkheid als manager. Het is dus van wezenlijk belang dat je hierbij verder kijkt als de technische voorzieningen. Het zijn immers de gebruikers die bepalen of jij succesvol bent of niet. Je wilt natuurlijk voorkomen dat jouw organisatie de landelijke media haalt omdat je collega wat heeft laten ‘slingeren’.
Vijfluik
In deze serie besteedt Gert-Jo van der Heijden aandacht aan de onderwerpen die wel binnen de verantwoordelijkheid van de ict-organisatie vallen, maar niet altijd technisch zijn. In het eerste artikel van dit vijfluik over het nieuwe werken ging hij in op de gevolgen voor de ict-organisatie. In dit artikel wordt het omgaan met digitale informatie besproken. De gevolgen voor de organisatie en waar de ict-manager mee te maken gaat krijgen. Na het omgaan met de digitale informatie is de technische infrastructuur van belang. Wat zijn de gevolgen voor de ict-manager van alle devices die van de infrastructuur gebruik gaan maken? Hier gaat het derde artikel over. In het vierde artikel wordt gekeken hoe, nu de ict-manager de informatie en infrastructuur onder controle heeft, de interne processen gewijzigd worden. In het laatste artikel besteedt Van der Heijden aandacht aan de gevolgen voor het contract- en leveranciersmanagement.
Deel drie verschijnt op 27 februari 2013
De verantwoordelijkheid ligt nog altijd bij de werknemer zelf. Je kunt beleid definiëren tot je een ons weegt, maar zo lang mensen geprinte kopieën van documenten achteloos thuis bij het oud papier gooien wanneer ze hun tas aan het opruimen zijn heeft het beleid weinig toegevoegde waarde.
Voor digitale opslag kunnen we middels encryptie et cetera de schade vandaag de dag beperkt houden. We kennen allemaal nog wel de voorbeelden van de USB sticks die achter bleven in een trein, of PC’s met allerhande info die gewoon op straat gezet worden.
In het artikel wordt gesproken over contracten, maar wat te denken van beursgevoelige informatie of intellectual property?
Documenten die je moet delen met controlerende instanties hoeft ook geen probleem te zijn. Zoals je contracten afsluit met je externe partij waar jouw data gehost staat (of dat nu cloud is of niet) maak je die ook met zulke instanties. Als ik mijn nieuwe uitvinding aanbied bij een octrooibureau hebben ze daar ook een geheimhoudingsplicht.
Alternatief kan zijn dat ze best mogen komen controleren, maar dan wel op kantoor in een ruimte waar je streng controleert of alle documenten (papier!) die er in gaan ook weer er uit komen.
Maar dan nog steeds is en blijft de werknemer de zwakste schakel!
De manager kan alleen proberen bewustwording te kweken en te toetsen hierop
Goed idee om een vijfluik te maken over niet technische verantwoordelijkheden voor technische afdelingen. Het onderwerp zelf toont namelijk direct al waar de schoen wringt. Dergelijke onderwerpen zullen snel buiten de span-of-control van deze manager vallen en daarom niet op zijn bordje thuis horen. Het voorbeeld uit dit deel is daarom een aardige.
“Als ict-manager ben je verantwoordelijk voor het secure beschikbaar stellen van digitale informatie aan de medewerkers van je organisatie.”
Ik zou dit vervangen door “Als ICT manager ben je verantwoordelijk voor het bieden van een infrastructuur waarmee medewerkers op een veilige wijze informatie kunnen produceren, consumeren en archiveren”
Je kan de faciliterende afdeling niet verantwoordelijk maken voor het gebruik ervan. Je rekent het kantinepersoneel toch ook niet af op het feit dat medewerkers naar de snackbar wandelen tijdens de lunch?
Het ‘motiveren’ van personeel om gebruik te maken van jouw faciliteiten is aan de leidinggevenden in de lijn.
In het verlengde van alle drie, wil ik hier wel een aanvulling op geven.
In de allereerste plaats is het dagelijkse kost wat de heer van der Heijden hier beschrijft. Ik begrijp zijn visie en meningen hierop maar ook hier wil ik zeer helder zijn.
Verantwoordelijkheid
Het is niet zo heel erg relevant waar we/men, in het artikel nu benoemt waar de verantwoordelijkheid zou moeten liggen. Veel belangrijker, jammer genoeg lees ik dat niet in het artikel terug, moet die verantwoordelijkheid procedureel allang vast liggen.(PUNT!) Als die discussie nu nog eens moet worden gevoerd, ben je al mijlen ver weer eens achter de feiten aan aan het hobbelen.
Implementatie Byod peripherals
Er is maar 1 entiteit die besluit tot het toelaten van byod peripherals op het netwerk of als zakelijk instrument. Dat is niet de werknemer, dat is niet de druk en commercieel roepende publicist of het wishfull thinking.
De entiteit die het uiteindelijk beslist en implementeert, is dan hopelijk wel zo slim geweest een gedegen traject te hebben doorlopen en alle criteria meegenomen die nu eenmaal gepaard gaan met een dergelijk project.
Als dat niet het geval is, dan is het gebruik van byod perpherals gewoon een NON! Ik denk dat hier met mijn stellige mening zeer veel IT managers het volkomen eens zullen zijn.
Dit in tegenstelling van al die pro’s en halleluja’s die door velen geroepen worden.
@NumoQuest
Betreffende je goede reactie wil ik aan het punt verantwoordelijkheid toevoegen dat deze ook genomen moet worden, niet alleen ergens naar toegeschoven.
Bij het lezen van deze tekst bigin ik mij altijd af te vragen wat de schrijver wil bereiken?
1. Er moet beleid zijn of komen of bijgesteld;
2. De ICT manager is verantwoordelijk.
Klassiek hierin is het gebrek aan de scheiding tussen business en IT.
De IT manager faciliteert de opslag en ontsluiting van data. De eigenaar van het systeem en dat is iemand aan de kant van de business is verantwoordelijk voor de richtlijnen van opslag en ontsluiting van gegevens. De ICT manager voert uit.
Voor het opstellen van beleid rondom beveiliging van data is de business verantwoordelijk en niet de ICT manager. Bij gebrek aan begint deze er vaak wel aan, maar loopt gauw vast omdat niemand een “klap” kan geven op dit beleid, het immers de business de bepaald.
Als gebruikers in de gelegenheid worden gesteld om cloud opslag te gebruiken dan is dat de verantwoordelijkheid van de gebruiker, als de gebruiker dit op eigen gelegenheid doet dan is de gebruiker verantwoordelijk. Dat staat vaak in je arbeidscontract. Hiermee zijn de verantwoordelijkheden al snel helder te maken.
Het artikel beschrijft de uitvinding van het wiel in een digitaal tijdperk, weinig toegevoegde waarde. Ik begrijp niet dat dit een vijfluik moet worden?
Je kan als manager ook verplichten dat alle mails PGP encrypted worden en dat alleen vertrouwde partijen de publieke sleutel krijgen.
Idem ditto voor bestanden.
Of je maakt gebruik van een cloud dienst die aansluit bij de wensen dat bestanden versleuteld zijn en niet in te zien zijn door de partijen die ze hosten zoals Mega.
Overigens zijn dit soort encryptie mogelijkheden al behoorlijk lang (als OSS) beschikbaar en kan je wat dat betreft ook afvragen waarom hier weinig tot niet gebruik van wordt gemaakt.