Enkele jaren geleden is byod, samen met het nieuwe werken gepresenteerd als de ‘silver bullet’ waarmee organisaties hun it-kosten konden verlagen, beter aansluiten op de it-behoefte van de medewerkers en tenslotte ook een hogere medewerkerstevredenheid realiseren. Dat laatste was dan weer goed voor de productiviteit.
Inmiddels is byod alweer diverse posities gezakt op overzichten en bij meerdere organisaties een hoofdpijndossier rijker met name wanneer beveiligingsaspecten aan de orde kwamen. Verder terugkijkend, zien we dat in de praktijk ook het kostenvoordeel erg tegenviel.
‘Utopia’
In een waar Utopia hebben organisaties jonge wizzkids in dienst met de laatste eigen digitale hulpmiddelen waar ze helemaal op ‘los’ zijn. Gemakkelijk switchen ze tussen smartphone, tablet en notebook waar ze eigen apps op hebben lopen. In tegenstelling tot een trage en verouderde it-afdeling die niets snapt van wat ze nodig hebben om effectief te zijn.
Door eigen ‘devices’ toe te staan in de werkomgeving voor een financiële vergoeding, kunnen deze wizzkids veel efficiënter en effectiever werken en zijn ze nog gelukkiger ook. Iedereen winnaar!
‘Disaster’ op de service desk
Helaas is de werkelijkheid anders, veel medewerkers zijn helemaal geen wizzkid. In tegendeel, het zijn eerder digibeten die hun smartphone, tablet, notebook uitsluitend gebruiken voor basics zoals internet, financiële administratie en vooral veel spelletjes en wat porno op zijn tijd.
Als daarnaast de afdelingsmanager, medewerkers ook nog eens stimuleert om gebruik te maken van eigen ‘devices’, wordt byod al snel: Bring Your Own Disaster. Op afdelingsniveau zakken de it-kosten, doch deze komen als een boemerang terug op de support afdeling, te beginnen bij de service desk.
Jarenlang heeft de it-organisatie ingezet op standaardisatie om de (beheer)kosten omlaag te brengen. Met byod gebeurt het tegenovergestelde. Gebruikers brengen niet alleen hun eigen ‘devices’ mee naar werk, ook hun problemen.
Want als iets niet werkt wordt dit als eerste gemeld bij de service desk. Deze moet opeens support leveren op voor hen onbekende ‘devices’ waarvan de melder ook geen kennis heeft. Die kinderen heeft die het ‘device’ gebruiken om spelletjes op spelen, vergeven van virussen, niet kunnen overnemen, et cetera. Het gevolg: De supportkosten vliegen omhoog. Daarnaast is de gebruiker ook veel (niet productieve) uren bezig om een en ander te begrijpen en uit te vogelen.
Bezint eer ge begint
Moeten we dan stoppen met byod? Dat niet perse, maar mijn advies is wel om eerst vooraf inzicht proberen te krijgen in de totale kosten van byod: Total cost of ownership (tco). Een business case opstellen dus. En ook na de invoering van byod is monitoring van de werkelijke kosten op zijn plaats. Hou er hierbij ook rekening mee dat individuele abonnementen op services van medewerkers bij elkaar meer kosten dan een organisatie kan bedingen door een volume afname.
Naast onze eigen praktijkervaring zijn er ook meerdere publicaties geweest die eenzelfde beeld geven: Bij een aanzienlijk deel van de organisaties is de tco juist toegenomen en bij een nog groter deel, zijn de werkelijke kosten van byod zelfs onbekend.
Verschuiving
Inmiddels zien we een verschuiving optreden, waarbij aan de ene kant de verwachting rond byod niet volledig wordt waargemaakt op het gebied van kosten en zeer zeker ook op het gebied van beveiliging. Aan de andere kant zien we it-afdelingen middelen aanbieden die beter aansluiten op de behoeftes van gebruikers en hier ook meerdere keuzes in hebben. In steeds meer organisaties is het dan ook niet meer toegestaan om privé-middelen in te zetten voor zakelijk gebruik, met een verwijzing naar de mogelijkheden die vanuit de eigen organisatie wordt geboden.
Iedereen winnaar?
Goed verhaal en komt sterk overeen met wat ik zelf de afgelopen jaren aan misvattingen en (dus) drama’s heb mogen zien. Pure disasters.
Om aan de voorvechters van ‘vrijheid’ en ‘beter weten’ tegemoet te komen: een bouwbedrijf voert een groot project uit. Sommige bouwvakkers zijn modern en slim en weten zelf wel hoe ze het werk kunnen doen; die nemen hun eigen boormachines, pluggen en bouten mee. Modern spul, echt beter dan wat de uitvoerder op voorraad heeft (omdat het zo op tekening staat). Na oplevering komen er wat balkons naar beneden. Niet correct bevestigd door iemand die het beter wist. En de groeten aan de slachtoffers.
Bring your own Disaster.
Ik zie parallellen met het adopteren van cloud computing.
Als je doet wat je altijd gedaan hebt en dit naar de cloud / hoster /datacenter brengt, dan krijg je wat je altijd al gekregen hebt alleen nu een stukje duurder en complexer.
Zo is het ook met BYOD / CYOD.
Als je nieuwe apparaten op een ouder manier van werken aan wilt sluiten zal dit veelal tegenvallen op alle vlakken. Dan is het heel makkelijk om dit de schuld te geven.
“Zie je wel? BYOD is een disaster”
Als je op de juiste manier cloud computing in zet en een beetje IAM / Governance dan maakt dat BYOD / CYOD namelijk helemaal niet uit en is dat een vrij pijnloze oefening.
To BYOD or not to BYOD is *not* the question.
Als je echter nog met printers werkt en file shares… dan zal het ondersteunen van moderne apparaten inderdaad een ramp blijken.
In IT is de enige constante verandering. Als je daar geen rekening mee houdt (ivm kosten) en niet meeloopt met de ontwikkelingen zul je inhaalslagen moeten maken.
Blij dat iemand op een uitstekend verwoorde manier deze wild west praktijken aan de kaak stelt.
Ik zie BOYD vooral als een modegril.
Toegegeven ik ben ook gewend aan mijn eigen ingerichte bakkie, maar ik heb dan ook altijd zelf mijn problemen moeten oplossen (en die van andere, ‘which comes with the job’).
Dank voor alle reacties. Ik had niet verwacht dat het onderwerp bij velen een dergelijke herkenning zouden oproepen.
@Henri, naar mijn mening zit er een wezenlijk verschil tussen BYOD en CYOD waarbij ik momenteel binnen organisaties vooral CYOD in opkomst zie als reactie op (mislukte?) BYOD. CYOD lijkt in veel gevallen de voordelen te hebben van een modern middel waarmee medewerkers uit de voeten kunnen en willen. Dat wil nog niet zeggen dat gebruikers zelfstandig problemen kunnen oplossen doch door de bekendheid van het beperkte aantal middelen bij Support, blijft het beheer (kosten) voorspelbaar en overzichtelijk.
Mijn 5 centen?
Bedrijfseigen middelen, BYOD, CYOD of wat dan ook, het maakt allemaal niet uit. Welke technologie je ook inzet, welke SLA’s je ook afspreekt en wat de bedrijfsdoelstellingen ook mogen zijn, uiteindelijk gaat dat alleen maar over het antwoord op de vraag “Wie betaald wanneer, welke rekening en hoe hoog mag die zijn?”.
Ik zie weinig of geen aandacht voor het antwoord op de vraag “Hoe erg is het als data en informatie op straat komt te liggen? Hoe komen we daarachter? En als we erachter komen, wat dan?“.
Zelfs als je dankzij een uitgebreide vorm van governance kan aantonen dat je als bedrijf alle maatregelen (technisch en organisatorisch) hebt genomen die je redelijkerwijs mag verwachten, uiteindelijk zit er niet veel anders op dan damage control!
Immers, welke vorm van governance, IAM, devices (oud of nieuw, Android of iOS, Windows of Linux) je verder ook gebruikt, er zijn verschillende manieren waarop data en informatie kan weglekken. Iets simpels en basaals als een schermafdruk naar een printer of (letterlijk) een foto maken van wat er op een scherm staat is domweg niet tegen te houden; hoe modern en vooruitstrevend je als organisatie op IT gebied ook bent.
Ik zou dan ook verwachten dat er minstens zoveel aandacht is voor damage control als voor de rest. Voor zover ik al met dit soort trajecten in aanraking kom moet ik vaststellen dat de meeste aandacht toch uit gaat naar de look-and-feel van het device (welke Android of iOS versie draait er) en of de toegangsmethode technisch gezien goed- en vriendelijk genoeg is zodat mensen niet op zoek gaan naar alternatieven.
@Henri:
[…] Als je echter nog met printers werkt en file shares… dan zal het ondersteunen van moderne apparaten inderdaad een ramp blijken. […]
Bij deze stelling kon ik een glimlach niet onderdrukken. Alsof het allemaal zoveel beter en makkelijker gaat met een Dropbox, een Google Drive, een OnDrive of wat dies meer zei.
Tuurlijk – vooropgesteld dat je device ondersteund wordt door de client-versie gaat het delen van bestanden inderdaad veel makkelijker. Maar in termen van kinken uit de spreekwoordelijke kabel halen gaat het er niet makkelijker op worden. Zeker niet met allemaal die publieke, draadloze netwerken en bijbehorende “gluurders”… 😉
Waarbij het uiteindelijk toch weer terugkomt bij het antwoord op de vraag “Wie betaald de rekening voor die ondersteuning? En hoe hoog mag die zijn?”. Mijn verwachting is dat dat degene is die uiteindelijk het laatste woord gaat hebben.
Onze ervaring met BYOD zijn anders prima!
Alle voor- en nadelen worden gehyped, afhankelijk van wie wat in de aanbieding heeft voor de klant.
Iedereen loopt tegenwoordig met een smartphone rond, tussen 5-95 jaar en de meesten hebben geen last van malware en virussen.
Voor bedrijven staat veel op het spel, want ALS er wat gebeurt, dan kan de schade groot zijn, en dat is zeer zeker een zorgpunt.
Echter de conclusies vandaag de dag dat BYOD zo moeilijk is, is niet omdat er massaal is gehackt en data buitgemaakt. Op dit moment liggen de lekken nog steeds grotendeels ergens anders, websites, usb sticks, phising mails, etc.
Voor BYOD is ons idee altijd geweest dat je als uitgangspunt moet nemen dat een device altijd onveilig is. Je moet dus een veilige sandbox hebben waarin je als organisatie je eigen data, authenticatie, security etc. moet regelen, en je min mogelijk moet bemoeien met de boze biutenwereld.
Dus voor ons is MDM sowieso contraproductief. Je moet je richten op je eigen data. Als je deze BYOD mensen moet geloven, dan zou internet bankieren uberhaupt onmogelijk zijn. Een webbrowser is daarbij vele malen onveiliger, vooral met het gemak waarmee custom extensies als toolbars geinstalleerd worden.
Maar ook banken maken zich meer zorgen om phishing mails dan mobiele apps. Als veilige (MDM) apps mogelijk zijn, zijn er veilige enterprise applications containers mogelijk.
En dat is wat wij doen, wij gebruiken niets meer en niets minder dan een Enterprise Application Container voor BYOD. Voor de eindgebruiker is het een app zoals iedere andere app.
We kunnen multi-step authenticatie implementeren, waarbij onze gebruikers bijvoorbeeld een NFC kaart kunnen swipen om de container te starten, een eenvoudige 4-cijferige pincode of wachtwoord intikken, en automatisch een onzichtbaar een SMS sturen die door container wordt verwerkt. We kunnen dit ook op elk moment wijzigen, aanvullen of aanpassen in de container zonder dat bestaande applicaties ervoor hoeven worden aangepast
Deze container is eenvoudig gekoppeld in de backend met onze Active Directory/LDAP voor authenticatie. Dan krijgt de gebruiker enkel toegang tot applicaties en data op basis van allerlei eenvoudig in te stellen regels zoals zijn rol, functie, locatie en kantoortijden.
Alle data is versleuteld en wordt uitgewisseld met de backend via een enkele SSL tunnel. Dit is een stuk veiliger dan wanneer applicaties allemaal op hun eigen manier op weg naar de backend systemen moeten bepalen en security moeten implementeren. Dat wordt allemaal via de container gedaan.
Kortom, wij beheren onze apps, en bemoeien ons zo min mogelijk met de boze buitenwereld. Vanuit de gebruiker gezien is het gewoon een app zoals iedere andere app, maar wel een die met de juiste security tokens toegang geeft tot verschillende niveaus van toegang, op basis van allerlei regels over gebruiker, toestel, rol, taak, applicatie etc.
De grootste uitdaging die organisaties dan nog hebben is bedrijfsbeleid rondom data-gebruik maar dat probleem staat op zichzelf. Wij kunnen dankzij die ‘single entrypoint’, naast dat dit onze firewall configuratie een stuk eenvoudiger en veiliger maakt, door minder touch-points voor hacks, ook eenvoudig zien hoeveel data er door de container en dus alle applicaties daarbinnen wordt gebruikt. Als alles daarbuiten te hoog is, wordt de werknemer er op aangesproken.
@brainiac:
“De grootste uitdaging die organisaties dan nog hebben is bedrijfsbeleid rondom data-gebruik …”
Klinkt interessant, maar kan die container niet ook zorgen dat er policies op datagebruik worden afgedwongen zodat verkeer buiten de container om wordt geblokkeerd?