Bestanden delen met collegas in een Dropboxomgeving, of zakelijke notities maken in Evernote Free. Iedereen herkent dit wel. Voor de it-manager/cio een serieuze zorg. Er zitten immers serieuze risico's aan gebruik van vaak gratis ongecontroleerde publieke clouddiensten. Steeds meer organisaties kiezen voor 'enablen' en ondersteunen in plaats van verbieden. In dit artikel de businesscase achter enablen verdergaand dan de pure risico noodzaak.
Medewerkers die vanuit hun privé gebruik eigen, veelal gratis, cloudtools mee het bedrijfsleven innemen, is in feite de volgende trend volgend op bring your own device. Dit wordt door Gartner ookwel Shadow-IT genoemd. Dit betreft in de regel SaaS, dat buiten de regie van de it-afdeling valt vanuit de medeweker of businessmanager geïnitieerd. ShadowIT is in relatie tot byod minder zichtbaar maar veelal laagdrempeliger voor de medewerkers en business. Net als bij BYOD is er vaak een latente behoefte aan bepaalde functionaliteiten, die medewerkers aanzet tot deze beweging. In de praktijk zijn social media tools, to-do lijstjes, (drop)box/filetrans, notitietools, conferencing en brainstormtools meest populair. De (Drop)box/filetrans is in de praktijk veelal één van de eerste waar de it-afdeling op reageert.
Personal cloud vraagstukken
Het gebruik van al deze (gratis) niet gecontroleerde cloud applicaties brengt vanzelfsprekend nieuwe vraagstukken en risicos met zich mee voor de it-afdeling. Vragen als: ‘Hoe voorkomen we fragmentatie van het it-landschap, hoe houden we het veilig, hoe beschermen we de data en ip en hoe houden we toezicht op al die cloudapplicaties?’ zijn zeer relevant. In de praktijk zijn de onderstaande risico’s vanuit organisaties die deze problematiek herkennen de meest genoemden:
- Risico op lekken van gevoelige bedrijfsdata
- Patriot-act
- Geen data locatie en beschikbaarheidsgarantie, laat staan optimale integratie
- Geen zicht en controle op wie wat waar deelt en toegang heeft
- Gratis diensten bevatten kleine lettertjes, ook over ip
- Data verlies, fraude en inefficiente processen
Met deze risico’s in het visier maken it-managers zich ook terecht zorgen over de impact van Shadow-IT. Gelukkig gaat vrijwel elke organisatie over tot actie op het moment dat de risico’s bekend zijn.
Tijd voor actie!; een alternatief
De eerste reactie vanuit it is vaak beleidsmatig verbieden. In theorie een prima oplossing, maar in de praktijk beperkt effectief. Zeker wanneer technisch de mogelijkheid blijft bestaan, kun je er vanuit gaan dat het probleem even actueel blijft. Misschien als binnen een organisatie medewerkers bij overtreden zichtbaar worden ontslagen, dat verbieden effect kan hebben. Maar wil je een dergelijk beleid als organisatie? Bovendien brengt handhaven kosten met zich mee.
Het alternatief voor verbieden is bewustzijn creëren in combinatie met het aanbieden van goede passende alternatieven. Deze weg slaan steeds meer organisaties in omdat deze veel effectiever blijkt; iedere medewerker begrijpt immers echt wel dat het gebruik van ongecontroleerde clouddiensten veiligheidsrisico’s voor het bedrijf met zich meebrengt. Als een goed bruikbaar alternatief ter beschikking wordt gesteld, zal deze door de werknemer sneller worden opgepakt.
Bovendien is de businesscase van enablen ook vaak zo gemaakt. De clouddiensten die een medewerker meeneemt een organisatie in, lossen immers echt een probleem voor hem of haar op.
Corporate BusinessBox
De businesscase voor de corporate businessbox is gemaakt aan de hand van een aantal praktijk cases.
De investering
Zakelijke boxoplossingen uit de cloud kosten bij Box.net/Dropbox tien tot twaalf dollar per gebruiker per maand. De alternatieven van service providers hebben listprijzen tussen de zeven tot elf euro per gebruiker per maand. Voor deze businesscase wordt gerekend met tien euro per maand. Door uit te gaan van een cloudvariant is er tevens het voordeel dat uitsluitend betaald wordt voor gebruikers die daadwerkelijk het product aanschaffen. Ook zijn er nauwelijks opstartkosten.
De baten
Kosten zijn helder en beheersbaar dankzij het pay-per-use model. Om dat af te zetten tegen de baten, wordt gerekend met een medewerkersuurtarief van veertig euro inclusief alle indirecte kosten.
Risicos zijn onbetaalbaar
Veiligheid en bescherming van bedrijfsdata rechtvaardigen eigenlijk al de businesscase en zijn ook de primaire redenen waarom organisaties de keuze maken voor een eigen zakelijke box omgeving. Het risico van ongecontroleerde diensten is niet alleen het uitlekken van data maar ook zeker oud medewerkers die toegang blijven houden tot de data. Naast veiligheid is beschikbaarheid een relevant risico. Bestanden op een gratis box account zijn niet gegarandeerd gebacked up en beschikbaar. Ook is er geen support beschikbaar en deze combinatie kan op onverwachte momenten tot vervelende situaties leiden. Deze risicos uitdrukken in euro’s is moeilijk, maar de praktijk laat zien dat dit argument alleen al de meeste organisaties doet bewegen. De investering wordt als ‘nobrainer’ gezien.
Productiviteitsverbetering
Het delen van grote bestanden op traditionele manier kost veel tijd. Denk aan zippen, usb-sticks (risico van het kwijtraken ervan), ‘opknippen’ in diverse mailtjes, enzovoorts. Echter, de grootste productiviteitsverbetering is er vooral bij gebruikers met meerdere devices. Het actueel en beschikbaar houden van bestanden op tablet, telefoon en laptop is een zeer tijdrovende klus. Met een box-account zijn de documenten consequent overal en altijd beschikbaar. Dit bespaart naast tijd ook de nodige frustratie. Door boxgebruikers wordt de besparing variërend ingeschat tussen de tien (matig gebruik) tot honderdtwintig minuten (bij intensief, multi-device gebruik) per maand. Met vijftien minuten productiviteitsbesparing per maand is de businescase al gemaakt. Vijftien minuten tijdsbesparing staat gelijk aan de maandelijkse abonnementsprijs.
Storage besparingen
Emailstorage is relatief duur bij het versturen van (grote) bijlages. Doordat meer via de box gedeeld wordt, zit in theorie hier een mogelijke besparing. Ook het minder bestellen van usb-sticks en minder gebruik van klassieke storage levert besparing op.
Echter, omdat de box voor medewerkers te limiteren is en dagelijks actief gebruikt wordt, zijn er al situaties bekend waar een gedragsverandering plaatsvond. Medewerkers houden actief hun bestanden bij en zijn geneigd hun box omgeving netjes opgeruimd te houden. Dit in tegenstelling tot het gedrag bij klassieke opslag. In principe wordt er dus efficiënter met data storage omgegaan.
Voor organisaties die nog een eigen klassiek opslagsysteem in huis hebben, loont het de afweging te maken in hoeverre een box omgeving naast veiliger, ook goedkoper kan zijn. De 0,20 tot 0,50 euro per gigabite per maand bedragen, die redelijk als richtlijn kunnen worden gebruikt, tikken natuurlijk niet hard door. Maar dat hier een besparing zit is niet te ontkennen.
Any place/Time en Device
Altijd overal op elk device de belangrijke bestanden veilig bij de hand hebben, kan het verschil maken. Zeker bij functies in de sales of directie heeft het op het juiste moment de meest up-to-date stukken beschikbaar hebben een groot voordeel. Dit kan soms zelfs het verschil maken tussen een klant winnen of verliezen.
De nextgen it-afdeling
Met de uitrol van een box-oplossing stijgt de gemiddelde medewerkerstevredenheid en verbetert het imago van de it-afdeling die meer mister-no is. Vooral de jongere generatie medewerkers verwacht dit soort functionaliteiten binnen zakelijke omgevingen te kunnen gebruiken.
Tevens is er ook een kostenvoordeel. Basisbeheer en het delen van bestanden en mappen ook binnen het bedrijf wordt met de meeste box-oplossingen kinderlijk eenvoudig. Dit levert een besparing op in it-support kosten. De meeste boxoplossingen bevatten slimme features als versioning en prullenbak waarmee medewerkers zelf verloren of vorige versies als backup kunnen terug zetten. Daarbij hoeft het met elkaar delen van bestanden niet meer te lopen via storage- of sharepoint-beheerders, maar kan het direct zonder extra kosten in enkele muisklikken door de medewerkers zelf gebeuren. Wat dit aan besparing oplevert is per organisatie verschillend, afhankelijk van de hoeveelheid aanvragen en mate van geautomatiseerde oplossingen. Uitgaande van een gemiddelde handeling ongeautomatiseerd, zijn twee maal vijftien minuten inclusief registratie, en oponthoud aan de it, alsook businesszijde zo gemaakt. Ga uit van gemiddeld vier verzoeken per medewerker per jaar en daarmee een besparing van weer zo’n vijf euro per gebruiker per maand.
De ronde businesscase
Alle baten opgeteld die we hebben gekwantificeerd is de vijftien+ euro-besparing per gebruiker, per maand zo gevonden. Los van alle andere voordelen waaronder de verbeterde veiligheid en verminderde beschikbaarheidsrisicos. 30 procent besparing of beter is vaak meer dan voldoende om een positieve keuze te maken wanneer het veiligheidsaspect compleet buiten beschouwing zou worden gelaten. Natuurlijk zijn er altijd mitsen en maren, maar juist bij een cloud pay per use variant loont het de moeite om vanuit it gewoon eens te experimenteren met een kleine pilot. Realiseer dan wel dat zodra er directie en boardmembers in een pilot zijn getrokken, dat er bijna geen weg meer terug is. Zeker bij een box-oplossing.
Dezelfde business cases zijn te maken voor de andere eerder genoemde cloud tools. Vrijwel altijd wint het cloud alternatief van de klassieke it-oplossing. De oplossingen worden nu nog veelal vanuit de gebruikers en de business geintroduceerd. Dat maakt het adaptatieproces overigens over het algemeen veel eenvoudiger dan voor veel andere it-oplossingen die aan de medewerkers worden geïntroduceerd.
Doel van dit artikel was om aan de hand van een sprekend voorbeeld te laten zien dat de business, de medewerker, en de persoon die dagelijks werkt met it, niet voor niets zijn personal cloud services meeneemt de organisatie in en dat ook betaalde varianten de businesscase nog positief maken. Doordat betaalde veilige cloud alternatieven voor bijna alles voorhanden zijn, kan de it-afdeling op deze signalen snel schakelen. Overweeg deze business case benadering eens binnen de eigen organisatie…. En indien je nog niet op een corporate box zit kun je direct gaan rekenen.
Jeroen, je hebt een leuk en prikkelend artikel geschreven. Misschien moet ik het nog een keer lezen en heb ik een paar punten gemist, maar aan de hand van de door jou opgegeven risico’s een aantekening:
1) Risico op lekken van gevoelige bedrijfsdata
2) Patriot-act
3) Geen data locatie en beschikbaarheidsgarantie, laat staan optimale integratie
4) Geen zicht en controle op wie wat waar deelt en toegang heeft
5) Gratis diensten bevatten kleine lettertjes, ook over ip
6) Data verlies, fraude en inefficiente processen
Allereerst, ik zie in je artikel punt 1,2,3 & 6 niet terugkomen.
Een ander punt is wat zijn de drijfveren van medewerkers om bepaalde tools te gebruiken? In mijn ogen:
1) Grote attachments versturen lukt niet met de bedrijfs e-mail
2) Samen kunnen werken met mensen *buiten* de organisatie.
Los je dit (zomaar) op met de corporate business box? En welke product bedoel je hier specifiek? Een KPN CloudNL product of Box.Net?
Hoe ga je om met bijvoorbeeld deduplicatie? Een bedrijf heeft meestal tientallen GB’s aan data, neem je nu afstand van je bestaande file-shares en ga je over op cloud storage? Zo niet, hoe groot is dan de kans dat documenten in verschillende versies in je file-share staan en in je business box?
Hoe maak je onderscheid wat wel in de corporate box gaat en wat niet?
Van je corporate box zul je overigens ook gewoon back-ups moeten maken. Welke dienst zijn daarvoor?
Een ander onderdeel wat bijvoorbeeld Box.net en Dropbox zo sterk maakt is dat je ook je data offline kunt gebruiken doordat je cloud storage gesynchroniseerd wordt met je laptop of bijv. thuis computer. Een gevaar daarbij is dat je vaak geen controle hebt op welk apparaat dat gebeurd. In zo’n geval weet je niet waar je data allemaal staat en of dat apparaat zijn data lokaal wel versteutelt of niet.
Begrijp me niet verkeerd! Ik ben helemaal voor en zeker box.net is meer een oplossing voor het bedrijfsleven dan Dropbox, maar niettemin los je er niet alle problemen mee op en zijn er wel aanvullende diensten nodig om het verhaal compleet te maken. Ook kun je data wel uitbesteden, maar is de factor mens nog steeds de zwakste schakel. Ook zie dat juist de corporate beperkingen (niet delen met users buiten de organisatie) nu juist de drijfveer is waarom alternatieven gebruikt worden.
Dit zijn kritische kanttekeningen die ik ook vaak voor mijn kiezen krijg. Ik ben heel erg benieuwd naar jouw invulling.
De eerste reactie vanuit it is vaak beleidsmatig verbieden …
Waarom wordt dit een “IT” probleem gemaakt?
Dat iets kan, wil dat dan ook zeggen dat je het maar moet doen?
Wat ik wil zeggen: mensen vergeten af en toe dat ze voor hun werk bezig zijn, en niet met een vakantiefoto of een artikel voor het clubblad van de sportvereniging.
Als bedrijf zou ik er niet vrolijk van worden als beursgevoelige informatie, intellectueel eigendom of klantgevoelige informatie langs dit soort “open” kanalen gedeeld wordt en door mijn mensen thuis met privé devices bekeken wordt zonder enige vorm van controle/beveiliging.
Ik ken zelfs (grote) bedrijven die om vergelijkbare reden geen outsourcing doen, niet in de cloud willen zitten en zelfs geen patenten op hun high tech apparatuur en uitvindingen aanvragen, dit alles om de concurrent geen enkele kans te geven.
Je kunt dit mentaliteitsprobleem wel proberen met IT beheersbaar te maken, maar bottom line ligt het echte probleem bij mederwerkers die blijkbaar niet met gevoelige informatie om weten te gaan.
Jeroen,
“De clouddiensten die een medewerker meeneemt een organisatie in, lossen immers echt een probleem voor hem of haar op.”
Het probleemoplossend vermogen van gebruikers is vaak nogal egocentrisch als het gaat om data governance. Ik heb hierover ook een stuk ingediend dat hopelijk deze week online komt waarbij ik wijs op data stewardship, het rentmeesterschap dat vergeten wordt door gebruikers. Want het probleem is niet het naar de cloud gaan maar er zonder verlies uit te komen.
@henri
Risico punten komen inderdaad niet allemaal een op een terug. Als je kiest voor een zuiver Nederlandse of EU box dienst dek je weer meer zaken af als dat je de zakelijke variant van Box.net neemt. Ik heb bewust niet de oplossing voor willen schrijven want dat is ook simpelweg wat je als organisatie aan eisen stelt.
T.a.v. data dublicatie heb je ook een punt anderzijds is het niet anders dan bij de niet”gecontroleerde” variant van de box oplossing. De meeste organisaties hanteren de corporate box als additionele omgeving en de bronbestanden staat ook altijd nog op de klassieke oplossing.
back-ups van je boxdienst t.b.v. continuïteit zit ik vrijwel elke zakelijke box oplossing in de vorm van active data duplicatie in de dienst. Oudere versie terughalen veelal door versioning. Klassieke backup heb ik bij de cloud varianten nog niet gezien eerlijkgezegd.
T.a.v. de mobile device bestaat inderdaad het risico dat data offline ook benaderbaar is. Sommige apps van verschillende leveranciers encrypten tot op de device. Verder zie je vaak device encryptie in geval van een corporate device.
En inderdaad zoals vaak het geval is, is hier ook de mens zelf wederom de zwakste schakel. Tijdens de uitrol van een box oplossing binnen het bedrijf is dan ook weer een mooi moment om stil te staan bij de risicos en gebruiksrichtlijnen.
gr jeroen
@PA VE KE
Is het een IT probleem of niet… ik ken inderdaad een organisatie die zegt, “alles wat buiten IT wordt aangeschaft of gebruikt, ondersteunen we niet, is niet ons probleem en bekostigen we niet”. Anderzijds is door dit soort trends veel te doen over de rol van de CIO/IT en wil die waarde blijven toevoegen.
Persoonlijk denk ik dat ingrijpen vanuit IT erg wenselijk is, als er binnen een organisatie een plek zit waar de kennis en focus zit om dit te doen is het daar.
En ja de mens valt of staat het mee.. ik ben er wel van overtuigd dat het probleem met een corporate box variant weer ietsje kleiner wordt, maar net als gebruik van alle IT middelen is het de medewerker zelf die het grootste risico blijft.
Dag Jeroen, fijne reactie dank en lag in de lijn der verwachting (maar sta altijd open voor extra inzichten)
Kleine aanvulling op je antwoorden:
Ik geloof dat je als bedrijf die stap moet maken om af te stappen van file-shares en over te stappen op cloud storage (behalve de meest kritische zaken of mogelijk intellectueel eigendom). Welk probleem los je anders op? Je hebt meer kosten, meer dingen die fout kunnen gaan, meer risico en het enige wat je terug krijgt is dat je enig gevoel controle krijgt doordat het nu niet in de “shadow” gebeurd.
box.net en gelijken zijn *geen* backup, wel in de letterlijke zin als je ook de offline tools gebruikt, maar ik zal twee scenario’s geven:
– Gebruiker verwijderd per ongeluk data en daar wordt later pas aan gedacht (85% van data verlies is door gebruikersfouten)
– Stel dat de dienst failliet gaat, of een hacker een script maakt die data verwijderd, of de dienst bepaald dat je iets illegaals doet, en je toegang wordt ontnomen
Dit zijn dus bijkomende kosten.
zoals ik in mijn artikel eerder deze week schreef. De echte voordelen van cloud computing haal je door echt iets te veranderen en stappen te nemen anders is het half adopteren van een box oplossing iets wat je uiteindelijk een stap terug zet in plaats van voorruit. Maar goed, dat is opinie.
Gebruikers hebben dan nog steeds de mogelijkheid om ‘jouw’ corporate dropbox te negeren en hun eigen cloud tooltje te gebruiken. En het gaat niet alleen om file sharing, maar ook om social media tools, to-do lijstjes, notitietools, conferencing en brainstormtools zoals je zelf al aangeeft. Is het echt jouw advies dat bedrijven voor elk denkbaar appje een alternatief moeten gaan bieden, en wel in de smaken Windows, Mac, Android, iOS en WP8? Dat kun je toch onmogelijk een ‘enablement strategie’ noemen?
Ik vrees dat we de oplossing toch echt in de richting van emancipatie van de gebruiker moet zoeken. Bij vrijheid hoort immers ook verantwoordelijkheid.
@Henri:
het probleem wat je anders oplost is filesharing met derden, en meer een alternatief voor de wetrans/ yousentit achtige diensten.
@Daan:
klopt maar conferencing/collaboration alternatieven, enterprise socialmedia tools en de benoemde corporate box oplossingen zien we toch regelmatig als alternatief aangeboden worden…
voor inderdaad notitietools, brainstormtools en todo lijstjes is dat minder een optie.
Hoe dan ook zonder verantwoordelijkheidsgevoel blijven ook de corporate geinniteerde tools een potentieel risico.
Ik heb deze week een sopinie ingestuurd met de titel ‘It’s the End of Control as We Know It’ (verschijnt 12-9 om 13.30 uur op de site – red) over het feit dat op veel gebieden de traditionele contolemechanismen tekort schieten en we worstelen met hoe het dan wel moet. Dit is er zo een. Waarbij voor mij een van de terugkerende conclusies is dat steeds vaker de eindgebruiker de belangrijkste schakel is: technisch zijn er meer wegen naar Rome, maar de reizigers moeten wel weten wat ze doen. Wat het des te vreemder maakt dat de menselijke factor binnen organisaties vaak een wat ondergeschoven kindje blijft t.o.v. van techniek. Wel leuk artikel trouwens. Ook omdat het gaat om problematiek die vrijwel overal speelt. En waar we het ‘zelfs wat betreft techniek’ nog niet eens kunnen worden over wat nou de opvolger van ‘de fileshare’ moet worden.
@Jeroen,
De ketting is zo sterk als de zwakste schakel en zoals je kunt lezen uit de commentaren hierboven is (en blijft) de zwakste schakel hier de eindgebruiker. Uiteraard kun je veel met technologie oplossen, maar helaas niet alles. Daarom ben ikzelf ook een grote voorstander van de bewustwording van de gebruiker van dergelijke tools zoals dropbox etc. te stimuleren. Dit kan onder andere door doelgerichte sensibilisering maar daar heeft meestal de IT afdeling geen tijd voor, want zij moeten immers alle systemen draaiende zien te houden, nietwaar?
Ik vind je artikel wel heel goed en vooral om als ‘eye-opener’ te gebruiken en met jouw goedkeuring wil ik hem graag (re)posten op onze portaal site in België om te kijken hoe men er hier over denkt 😉
Gr.
Peter