Bring your own device (byod) heeft it snel veranderd, door de revolutionaire manier waarop mobiele werkers worden ondersteund. De eerste golf van byod bracht mobile device management (mdm)-oplossingen voort die de gehele device onder controle hielden. In de volgende golf, byod 2.0, wordt controle alleen toegepast op zaken die van toepassing zijn op het bedrijf. Corporate security-beleid wordt voortaan afgedwongen met behoud van de persoonlijke privacy van de gebruiker.
Werken op de laptop, tablet en smartphone is een van de sterkste trends van dit moment. De ontwikkeling om voor het werk een eigen smartphone te gebruiken brak door toen in 2007 managers hun eerste iPhone kregen en daarmee toegang wilden tot de bedrijfssystemen. Sindsdien heeft byod enterprise it op zijn kop gezet. Het heeft ertoe geleid dat de verhouding tussen de it-organisatie en de medewerkers is verschoven van eentje waarin it namens het bedrijf standaard laptops en Blackberries verstrekte en beheerde, tot een waarin het medewerkers vrij staat om het device van hun keuze (laptop, tablet en smartphone ) mee te nemen en aan te sluiten. Deze privé-apparaten worden gebruikt voor zowel zakelijke als persoonlijke doeleinden.
Dit vormt een enorme uitdaging voor de it-afdeling. It heeft niet langer de totale controle over wat er op de apparaten gebeurt. Bovendien willen gebruikers bedrijfszaken afhandelen op een grote verscheidenheid aan persoonlijke apparaten. In eerste instantie lagen it-afdelingen dwars vanwege zorgen over de beveiliging, nu gaan ze schoorvoetend overstag, ook al houden ze hun bedenkingen over de inherente risico’s van het ophalen en bewaren van gevoelige bedrijfsinformatie op privé-apparaten. Hun bezorgdheid is terecht. Het is duidelijk dat er bedrijfsrisico’s kleven aan byod. Maar byod gaat niet meer weg.
In de geschiedenis van byod zie je nu een breuk ontstaan. Was byod 1.0 vooral gericht op het apparaat, vanaf nu ontstaat byod 2.0, waarin het beveiligen en beheren van de data en de apps centraal komt te staan. Byod 1.0 bestaat in beginsel uit twee componenten: mobile device management (mdm) en het device-level, layer 3 vpn. Het primaire doel van mdm is het managen en beveiligen van het end-point device zelf, in uiteenlopende mate van de beveiliging van data op het apparaat. Dit blijft beperkt tot native device encryptie via configuratie. Het primaire doel van het layer 3 vpn is om het device te koppelen aan het bedrijfsnetwerkvoor data-in-transit beveiliging van corporate traffic.
Beide byod 1.0-elementen hebben een nadeel: ze zijn paraplu’s die het gehele apparaat beschermen en beheren, in plaats van zich te beperken tot uitsluitend de bedrijfsgegevens en -toepassingen op het apparaat. Aangezien dit meestal voor twee doeleinden wordt gebruikt (werk en privé), wekt de device-georiënteerde aanpak weerstand op bij zowel de werknemer als bij it. De werknemer houdt er niet van dat het bedrijf toegang heeft tot zijn privéinformatie, en al helemaal niet als bij beëindiging van de samenwerking de inhoud van het complete apparaat wordt gewist, inclusief de gezinsfoto’s en de privéadressen.
It wil geen verantwoordelijkheid nemen over persoonlijke informatie en apps. Als ze het apparaat beheren of zodra het device connectie heeft met het bedrijfsnetwerk, wordt dat persoonlijke verkeer een zaak van it.
Byod 2.0 lost deze tekortkomingen op. De verschuiving van byod 1.0 naar 2.0 komt voort uit de concepten die ontwikkeld zijn gedurende 1.0, maar voegt daar een set raamwerken aan toe waarmee it-organisaties in staat zijn enterprise applicaties in een security laag in te pakken.
Byod 2.0 bouwt dus verder op de door byod 1.0 gelegde basis, maar het betekent een fundamentele verschuiving van de focus op device-niveau naar eentje op applicatieniveau. Byod 2.0 is er op gericht dat de tentakels van het bedrijf naar het privéapparaat beperkt blijven tot de enterprise data en applicaties, en niet meer dan dat. Mobile device management maakt plaats voor mobile application management (mam). Device-level vpn’s worden verwisseld voor applicatie-specifieke vpn’s. Deze applicatie-specifieke vpn’s omvatten technologie zoals big-ip APM apptunneling, een enkele secure, encrypted connectie naar een specifieke service zoals Microsoft Exchange.
Medewerkers vinden dit fijner, omdat het bedrijf alleen maar de subset van bedrijfsdata en -applicaties ziet en kan benaderen. De eigenaar van het device doet zelf het beheer over het apparaat, zijn privégegevens en apps voor persoonlijk gebruik. It geeft om dezelfde redenen de voorkeur aan de byod 2.0 aanpak omdat ze zich alleen maar hoeven bezig te houden met de beveiliging, het beheer en de controle van enterprise data en applicaties.
Om kort te gaan: mam, onthoudt die naam!
uit het artikel:Het primaire doel van het layer 3 vpn is om het device te koppelen aan het bedrijfsnetwerk voor data-in-transit beveiliging van corporate traffic
Op zich heeft dit niet zo veel met byod te maken, maar is wel een interessante stap om de communicatie beter te beveiligen. End to end vercijfering er overheen, defacto en dan ook het spraakpad er overheen. Een 2Gbyte databundel met voldoende netwerkkwaliteit geeft al ongeveer 140 uur spraak als equivalent als transportvolume en wel goed te beveiligen.
Je hebt ook Web 2.0, ambtenaar 2.0, beheer 2.0, management 2.0, virtualisatie 2.0. Alles moet opeens 2.0 zijn. Is dit 2.0 gedoe niet meer hype dan een goede beschrijving van de ontwikkeling?
Als ik naar de geschiedenis van BYOD kijk dan tel ik anders.
BYOD 1.0 / BYOPC Dat was breng je eigen PC mee omdat de baas de PC nog te duur vond, en omdat het rekencentrum deze concurrent van de terminal niet wilde of kon ondersteunen.
BYOD 2.0 Was breng je laptop mee omdat de opdrachtgever jou als externe kracht geen PC of laptop van het bedrijf wilde lenen, maar je wel flexibel aan het bedrijfsnetwerk wilde koppelen.
BYOD 3.0 Was haal als afdeling je eigen decentrale systeem binnen, omdat de centrale ICT-afdeling niet kan/wil leveren of ondersteunen wat je nodig hebt en je eigen leverancier wel.
BYOD 3.1 Was breng als baas je gadget (Palm, etc.) mee en zodat je mail en agenda op je gadget kon bekijken en vooral aan anderen kon laten zien.
BYOD 4.0 Dat is gebruik je eigen smartphone of tablet voor je werk, omdat de baas denkt daar voordeel bij te hebben.
BYOD 4.1 Dat wordt waar de auteur over schrijft, het inrichten en beheren van het bedrijfsnetwerk op een zodanige wijze, dat er met BYOD een beter beheersbare win-win situatie ontstaat.
Qua opzet lijkt BYOD 4.1 heel veel op BYOD 2.0. Managed devices zijn in principe prima thuis te gebruiken, en unmanaged devices kunnen heel vaak ook zakelijk goed ingezet worden. Leer daarbij van het vallen en opstaan bij vroegere concepten.
In een andere reflectie eerder en vandaag over dit onderwerp heb ik mijn idee en visie weer gegeven betreffende stellingen zoals deze.
Toevoegde waarde per byod peripheral
Vanuit de operationele en functionele techniek komende heb ik altijd een open oog voor IT omdat IT als vehicle een toegevoegde waarde moet hebben. Als dat niet zo is, dan vergeet ik elk verkoop en hyperig verhaald dat links en rechts de lucht in word geschoten.
“Het is duidelijk dat er bedrijfsrisico’s kleven aan byod. Maar byod gaat niet meer weg.”
Als ik dit soort zinnen tegen komt haal ik meteen mijn schouders op om verschillende redenen.
– U bepaald niet maar ik
Dat klinkt ietwat hautain, maar het geeft aan dat het niet de werknemer is die roeptoeterend zal verordonneren hoe ik als CI(T)O mijn IT in richt maar de corporate doet dat. en als het een beetje slimme CITO is dan gaat die eens rustig achterover nadenken welke toegevoegde waarde het byod verhaal voor de betreffende organisatie heeft.
– Connectiviteit corporate vs privé
Wanneer er mensen zijn die hyperig hijgen over corporate connectiviteit met privé peripherals en bovenstaande zin, dan heb ik daar zo mijn eigen gedachte over.
Dat is niet bijvoorbeeld aan de auteur dat te stellen maar mijzelf als ‘strategisch professional’.
Vaste medewerker vs zzp
Ik kan me aardig indenken dat er situaties te bedenken zijn dat je vanuit ‘anywhere’ een secure verbinding op wil zetten ‘naar de zaak’ omdat… Daar heb je technisch gezien verschillende prachtige oplosssingen voor. Ik kan me op geen enkele wijze iets voorstellen dat ik mij als IT manager plots zorgen moest gaan maken dat de betreffende werknemer plots ook data zou kunnen transfereren tussen zijn pc/laptop en ‘de zaak’. Alleen al het idee.
De zzp-er word al helemaal een ander verhaal. Doorgaans, in deze wereld van kort, korter, helemaal niet meer aannemen, gebruik makend van een zzp-er, word dit al een heel ander verhaal. Een andere discussie is dat de kennis en ervaring die een zzp-er op doet van mijn organisatie, voor meer dan 50% NIET word geborgd en dat die zzp-er, hoe pathetisch soms betaald, wijzer weer weg gaat als dat hij kwam.
Hierbij eenvoudig bekeken doe ik er wijs dus alles aan er voor te zorgen dat er geen corporate data met die zzp-er mee zal gaan. Neen ik laat het aspect ‘betrouwbaarheid’ en ‘loyaliteit’ hier volkomen buiten beschouwing. Maar dat om andere redenen.
Als ‘vreemden’ toegang hebben tot corporate data, op wekle wijze dan ook verwoord, dan zal ik daar zeker professioneel een stokje voor zien te steken. Dus vanuit die optiek word het hyperige byod of byos gehijg al een stuk minder interessant.
Tenslotte
Mijn bescheiden mening heeft niets te maken met onwil, weerzin of iets in die geest. Het heeft alles te maken met het feit dat meer dan 35% van belangrijke corporate data met byod naar buiten gaat waar de kans op verlies of exposure van die data alleen maar ongecontroleerd toe neemt.
Uiteraard vind ook ik dat uiteindelijk best, zolang het maar niet mijn data betreft. Ik hoef namelijk niet de rekeningen van die mishaps te betalen. Zo is het natuurlijk ook nog eens een keer.