De markt van mobile device management (mdm) maakt een enorme ontwikkeling door. En dat is met name te danken aan de introductie van Bbring your own device (byod) en choose your own device (cyod). Door de zakelijke inzet van privé devices werken medewerkers op het device met twee verschillende identiteiten, namelijk de sociale identiteit (waarmee zij content delen op social media) en de werk identiteit. Om te zorgen dat de content en applicaties veilig zijn, is het zaak om mobile device management goed in te inrichten. Heb je mdm goed ingericht en wil je dit verder uitbreiden? Kijk dan eens naar de mogelijkheden van identity en access management (idm/am).
Wanneer medewerkers hun eigen device kunnen gebruiken voor werk gerelateerde zaken, is een belangrijke vraag: hoe zorg je ervoor dat een medewerker die al uit dienst is niet meer met zijn smartphone bij allerlei privacygevoelige bedrijfsdata kan? Bij het beheren van de rechten en middelen van medewerkers wordt het proces rondom uitdiensttreding namelijk vaak vergeten. Het is immers van groter belang dat een medewerker productief is.
Hoe vaak komt het niet voor dat een medewerker al is begonnen, maar de eerste drie dagen nog niet kan inloggen en pas na twee weken zijn telefoon en laptop ontvangt? Dat kost handenvol geld. Het hebben van teveel of onjuiste rechten is daarentegen vaak van ondergeschikt belang, maar dit kan zorgen voor grote privacy- en securityrisico’s.
Kortom, er komt ontzettend veel kijken bij het in dienst en uit dienst treden van medewerkers (de user life cycle). Niet in de laatste plaats het toewijzen van rollen en rechten om in systemen te kunnen en de uitgifte van mobiele device.
Rechten in het netwerk
Met identity management is het mogelijk om de user life cycle van een medewerker te koppelen aan de rechten in het netwerk. Dat wordt in de meeste gevallen geautomatiseerd door het koppelen van systemen, zoals het hr-systeem aan enerzijds de Active Directory en anderzijds facilitaire systemen zoals Topdesk, waarin de uitlevering van devices wordt geregistreerd. Vaak zien organisaties pas de noodzaak van deze koppeling als het mis gaat en een medewerker die al uit dienst is nog vrolijk met zijn smartphone bij allerlei privacygevoelige bedrijfsdata kan.
Door Iientity en access management te koppelen aan mobile device management is het mogelijk om een extra autorisatielaag toe te voegen aan mdm. Dat biedt diverse extra functionaliteiten, waarvan een aantal hieronder worden besproken:
Access governance
Access governance is onderdeel van identity management en biedt de mogelijkheid voor een security officer om actief preventiebeleid uit te oefenen. Met access governance is het mogelijk om ervoor te zorgen dat medewerkers de juiste middelen (toegangsrechten, toegang tot applicaties, maar ook faciliteiten zoals een laptop, smartphone, et cetera) hebben om hun werkzaamheden te kunnen uitvoeren.
Dit wordt bepaald aan de hand van het rollenmodel, waarin de werkzaamheden worden gekoppeld aan bepaalde middelen. Met access governance worden precies de juiste middelen (niet te veel en niet te weinig) toegekend wanneer een nieuwe medewerker in dienst treedt en is het mogelijk dat medewerkers afhankelijk van hun locatie, rol en device bepaalde content wel of niet kunnen benaderen.
Er kan onderscheid gemaakt worden tussen privé en zakelijke devices. Bij zakelijke devices heeft de medewerker volledige toegang. Met een privé device kan vervolgens onderscheid worden gemaakt tussen volledige toegang, beperkte toegang (bijvoorbeeld alleen internet) of flexibele autorisaties. Flexibel is bijvoorbeeld wanneer een medewerker zich met zijn smartphone binnen het bedrijfsnetwerk bevindt. Dan heeft hij meer rechten dan wanneer de medewerker zich buiten het netwerk bevindt. En hiermee kan worden vastgelegd welke rechten een medewerkers in de zorg bijvoorbeeld heeft wanneer hij twee dagen op locatie A werkt in functie X en drie dagen op locatie B in functie Y.
Risicoprofielen
In plaats van devicemanagement wordt profielmanagement steeds belangrijker. Het gaat er immers niet om wie welk device gebruikt, maar wie welke data en applicaties mag benaderen vanaf welke plek. Dit wordt vastgelegd in een gebruikersprofiel.
Sommige medewerkers hebben een groter risicoprofiel. Wanneer hun toegang tot bedrijfsdata in handen van een ongeautoriseerd persoon valt, is het risico groter dan voor medewerkers met een lager risicoprofiel. Denk aan medewerkers van de financiële administratie die via hun smartphone betalingen voor de organisatie verrichten. Met idm is het mogelijk om risicoprofielen te definiëren en restricties op te leggen afhankelijk van het risicoprofiel.
Self-service
De meeste idm/am-oplossingen bieden self-service mogelijkheden in de vorm van een webportal. Medewerkers kunnen via dit portal zelfstandig en zonder tussenkomst van de it-helpdesk allerlei resources (bijvoorbeeld toegang tot shares, applicaties, hardware, facility management) aanvragen. Via een vastgelegde workflow wordt de aanvraag automatisch voorgelegd aan de correcte eindverantwoordelijke(n) voor een goedkeuring en na de goedkeuring wordt de aanvraag verwerkt in het netwerk of doorgezet naar de juiste afdeling (bijvoorbeeld facility management voor een nieuwe bureaustoel).
Via dit portal zou een medewerker ook heel goed kunnen aanvragen met welk device hij zou willen werken. Wanneer dit is goedgekeurd, kan dit direct worden doorgevoerd. Daarnaast is het mogelijk dat nieuwe medewerkers na indiensttreding via het portal zelf een device kunnen kiezen uit het aanbod van beschikbare hardware. Deze informatie kan door een idm/am-systeem worden opgehaald uit een service management systeem.
Roosterinformatie
Een belangrijk onderdeel van identity en access management is het koppelen van systemen. Een van die systemen zijn planningssystemen, waarin het rooster van medewerkers bijgehouden. Door een koppeling met dit systeem is het mogelijk om autorisaties op de eigen device te verlenen aan de hand van het rooster van een medewerker. Bij zorginstellingen kan dit er bijvoorbeeld voor zorgen dat medewerkers alleen die patiëntgegevens in het ecd kunnen benaderen voor de patiënten waarvoor zij op dat moment de zorg voor dragen.
Visie blijft achter
In veel organisaties blijft de visie op mobiel werken achter en is de trigger om wat te gaan doen aan mobility management het feit dat een auditor heeft aangegeven dat de organisatie uit de pas loopt bij wet- en regelgeving. Als je de stap zet naar mobility management en beleid gaat maken en processen gaat afstemmen, houdt idm/am dan niet buiten scope.
“hoe zorg je ervoor dat een medewerker die al uit dienst is niet meer met zijn smartphone bij allerlei privacygevoelige bedrijfsdata kan?”
Wij hebben die vraag heel eenvoudig beantwoord door gebruik te maken van een Enterprise application container. Je logt in op de container, en heb dan een beveiligde toegang tot je bedrijfsapplicaties en data. Dit is een sandbox dus applicaties buiten die container (prive applicaties) hebben geen toegang tot bedrijfsdata EN ANDERSOM.
Bij byod wil je ook niet dat het bedrijf toegang heeft tot jouw prive data. En met de enterprise container kan dat ook niet. Bedrijf kan alleen de applicaties binnen de container (en dus niet je prive device) beheren. Daarnaast hoeft de gebruiker maar 1x in te loggen op de container ipv iedere applicatie afzonderlijk, en bepaald de container op basis van bedrijfspolicies tot welke applicaties je toegang hebt, op basis van je user id, je (tijdelijke) rol of taak, je locatie, incidenten of iedere andere conditie.
MDM richtte zich op het beheren van apparaten, terwijl voor een bedrijf het apparaat triviaal en transparant zou moeten zijn, en de focus moet liggen op bedrijfsapplicaties en data. MDM is wat dat betreft passee, en MAM en nu IDM zijn pogingen om dat in stand te houden, maar dit heeft zijn oorsprong in het idee dat je toestel dicht wil zetten voor eindgebruiker, wat tot frustraties en productiviteitsverlies leidt, of gebruik van meerdere devices. Ook zagen wij in de praktijk dat gebruikers voor het werk prive devices gebruiken voor werk omdat het met hun zakelijk toestel niet lukte. Inmiddels wordt het inzicht gedeeld dat je je meot richten op applicaties en data en niet devices (met huidige consumententoestellen is de levensduur immers kort, dus je krijgt vanzelf een gemengde omgeving, meerdere devices, versies, en dus ligt het voor de hand om je applicaties ook cross-platform te maken zodat ze op huidige en toekomstige apps werken zonder aanpassingen).
En dat doen wij. Geen MDM.
Zoals mijn voorganger al zegt richt MDM zich op het device wat voor een aantal uitdagingen zorgt omdat deze steeds sneller wijzigt. Het principe van informatie naar de gebruiker brengen is dan ook de vraag van morgen met de oplossing van gisteren beantwoorden met vooral een leuke markt in scripting e.d. om zodoende de informatie te ontsluiten met oude business software welke ingeblikt is in MAM oplossingen.
De gebruiker naar de informatie brengen ongeacht het device is dus een disruptive verandering waarbij je vooral de (toegangs)controle verlegd door niet het device maar de informatie zelf leidend te maken. Mijn voorganger is dus abuis dat IdM daarin niet belangrijk is, als je niet weet wie aan de toegangspoort staat kun je geen besluit nemen over de toegang.
Oja, vergeet ook niet de andere aspecten in governance maar daar kan Peter Hus van P@sport vast meer over vertellen want soms zitten in je container toch ongenode gasten, grensbewaking blijft een bewegend veld.
byod, dat wil men volgens de auteur, en dat los je op met mdm, dwz cyod met idm/am. Leuk, al die afkortingen.
Volgens Donatello is mdm passee, je moet je op de apps en data richten, niet op de devices. Dekkinga weet het beter, (duh), want idm is wel degelijk belangrijk, ook al lees ik nergens dat Donatello vindt van niet. Hij heeft het over toegang op basis van userid, tijdelijke rol, enz. Allemaal met die Donatello enterprise container.
Stiekem weten we allemaal dat de auteur voorlopig wint. mdm/idm/am zijn vaktechnische afkortingen. Techneuten managen devices, informatie, identities en access, Maar managers managen technici.
“ict-er moet meer als consument denken”, lazen wel laatst. We zijn weer terug bij af. Want die willen byod.