Een beetje cybercrimineel speelt er al op in. Hij concentreert zich met zijn activiteiten niet meer op het traditionele datacenter of it-omgeving, maar gaat op zoek naar de kwetsbaarste plaatsen die voor hem een ingang betekenen: de medewerkers. Misschien is dit de reden dat veel it-beslissers (43 procent, blijkt uit recent onderzoek van Telindus) medewerkers met een eigen device nog steeds geen toegang tot het netwerk geven.
Het belangrijkste bezwaar tegen een bring your own (byo)-strategie zit hem in security (92 procent). Maar zijn die risico’s niet juist een gevolg van het ontbreken van een strategie?Ja, het is van groot belang om te zorgen dat medewerkers niet zonder meer met hun eigen telefoon of device bij allerlei bedrijfsgevoelige zaken kunnen komen. Tegelijkertijd wil je hen hier wel in faciliteren, omdat het ook een aantal duidelijke businessvoordelen met zich meebrengt. Deze voordelen wegen voor veel it-beslissers blijkbaar echter niet tegen de nadelen op. Het is echter de vraag of je de problemen op security-gebied onschadelijk maakt als je byo in zijn geheel links laat liggen. Daarmee ‘stimuleer’ je eindgebruikers namelijk om zelf maatregelen te nemen, wat een groot risico kan zijn. De professional van de toekomst zorgt namelijk dat hij toegang tot het bedrijfsnetwerk heeft, of ict het nou wel of niet faciliteert.
De securitybezwaren komen niet uit de lucht vallen. Uit het genoemde onderzoek van Telindus blijkt dat een groot deel van de it-beslissers die byo hebben uitgerold, ook extra securitymaatregelen hebben getroffen. Dit is een goede stap op weg naar een byo-strategie, maar wel slechts een eerste stap. Beveiliging tegen cybercriminaliteit die een ingang probeert te vinden via devices, vraagt om een holistische aanpak: niet alleen op applicatieniveau moeten beveiligingsmaatregelen getroffen worden, de infrastructuur als geheel vraagt om aanpassingen om byo op een goede manier in te richten. De knelpunten zitten hem namelijk niet alleen in beveiliging.
Enterprise access ready infrastructuur
Een byo-beleid vraagt om een enterprise access ready infrastructuur. Dat is een infrastructuur die zelf herkent wie er wanneer en waar gebruik van gaat maken, zonder tussenkomst van de it-afdeling. De eindgebruiker staat hierin centraal. Om dit te kunnen realiseren, is het van belang dat het netwerk wordt ingedeeld op basis van identiteiten: enerzijds identiteiten van devices, anderzijds identiteiten van de eindgebruikers. De enterprise access ready infrastructuur is klaar voor ieder device en ieder persoon. Om de stap naar deze infrastructuur te kunnen maken, zijn er vier vereisten:
1) De identiteiten
Hoe is het op dit moment gesteld met de toegang tot uw bedrijfsnetwerk? Welke devices maken er toegang? En welke personen? Wat doen die identiteiten op het netwerk?
2) Het bestaande netwerk
Is uw netwerk bestand tegen een flinke toename in identiteiten door het toepassen van cyo en byo? Hoe is de dekking van het draadloze netwerk? Hoe is de relatie tussen het vaste en het draadloze netwerk? Hoeveel gebruikers zijn er op dit moment voor de netwerken?
3) Een self provisioning infrastructuur
Een self provisioning infrastructuur stelt eindgebruikers in staat om zelf een service of applicatie in te stellen of uit te rollen, zonder tussenkomst van IT. Iedere identiteit moet automatisch worden herkend, zowel op niveau van device als niveau van gebruiker. Hiervoor is identity management noodzakelijk.
4) Beleid
De laatste stap is natuurlijk het vastleggen van een beleid. Hierin moet bepaald worden hoe om te gaan met diefstal of verlies van een device, hoe het beheer ingericht wordt en of opslag lokaal plaatsvindt.
De vier vereisten met bijbehorende vragen laten zien dat er behoorlijk wat komt kijken bij het op een verstandige manier faciliteren van een enterprise access ready infrastructuur en BYO-beleid. Veel IT-managers laten zich hierdoor blijkbaar afschrikken, terwijl elk van deze checkpoints leidt tot een goede praktijkoplossing en eenvoudig en veilig gebruik van het bedrijfsnetwerk. Dat heeft niet alleen tevreden en effectieve eindgebruikers tot gevolg, maar houdt ook ongewenste gasten buiten de deur. Want als ik cybercrimineel was, wist ik het wel. Ik zou het liefst binnendringen bij een organisatie die níet aan deze checkpoints heeft gedacht.
Ik haak als IT professional na de eerste alinea af. Overigens, met alle respect.
Terecht dat elke gezond nadenkende zichzelf respecterende IT manager byo ver buiten de deur houd.
In de eerste plaats is hij (doorgaans) verantwoordelijk voor het onderhoud van de veiligheid binnen de IT ICT en niet de werknemer van de toekomst.
Doel van IT ICT
Het primaire doel van geïmplementeerde IT ICT is eenvoudig. Winst!. Of het winst is tijd of productie, is dan om het even. IT ICT faciliteert niet de ‘wens’ van de professional van de toekomst en zal zelfs niet toe staan dat die werknemer van de toekomst met ‘vreemde IT peripherals’ verbinding zal proberen te maken.
Het gegeven dat hier in het artikel word gesteld dat die ‘ professional van de toekomst’ klaarblijkelijk, hoe dan ook, zou pogen bij bedrijfsdata te komen, althans de suggestie dat je zonder het byo concept dat zou stimuleren, kan ik denk ik professioneel zeer eenvoudig en helder in zijn. Als een ‘ werknemer van de toekomst’ zich gestimuleerd zou voelen dat te doen, dan staat die snel weer buiten.
Byo en security
IT ICT is een faciliterende vehikel dat de organisatie, de business, de zaak, zakelijke entiteit, ondersteunt meer productie te bereiken en niets anders dan dat. Dit is een, hopelijk, gecontroleerde en beveiligd gegeven. Het idee dat een eindgebruiker standaard gecontroleerde IT ICT taken zou moeten kunnen uitvoeren is vragen om nog meer grootschaliger incidenten met nog groter impact en schade.
Het idee dat ‘ de zaak’ beleid door commerciële entiteiten zouden laten bepalen of door ‘ werknemers van de toekomst’, is wat dit betreft vragen om problemen.
Leuke opsomming maar volgens mij begint het bij beleid en eindig je met de koppelvlakken want archivering in Dropbox en mailbox levert nog wat problemen op met het vinden van de bonnetjes.
Data loss protection omvat dan ook wat meer dan een endpoint protection platform en de offline schijf in een kofferbak bleek ook al lastig remote te wissen. Zeker is Mobile Device Management met BYO beter dan niets maar maar een multi-layered verdediging is uiteindelijk toch aan te raden in een wereld van steeds geavanceerdere malware.
Sorry NumoQuest maar ik denk dat je even wat ontwikkelingen aangaande de ‘arbeidsmobiliteit’ gemist hebt in het vraagstuk, aangaande de impact van incidenten wijs ik je graag op onderzoek uit de jaren 90 met het ICAMP model. Maar ik denk dat jezelf wel weet hoe het zit met modellen, de commerciële entiteiten hierin kennen simpelweg een economische afweging. En kijk nu eens serieus naar de ROI van RBAC in de governance, het is de Separation of Powers die steeds meer knelt in de opt-in van de informatieverstrekking en de opt-out van verwerking.
P.S.
Hoe zat het ook alweer met die infrastructuur van de HSL?
Beste wrm
Ik weet niet goed waar je je mening in je eerste zinsnede op baseert. Die laat ik maar even voor wat het is. Als we sec ROI toepassen is het niet hoeven te investeren in tal van infra vraagstukken betreffende het byo ‘sprookje’ vs een kleiner bedrag in de bestaande infra al meteen een antwoord op de stelling. Het is namelijk nog steeds goedkoper de bestaande infrastructuur toegankelijk te maken voor externe connectie dan weer zaken aan te moeten schaffen en te onderhouden, lees even uw eigen woorden.
Er is een eenvoudige wetmatigheid dat stelt, ‘Less is More’ en vanuit mijn eigen lezing en productie, ‘Simpel, Simpeler, Simpelst. IT ICT gaat wat mij betreft nog steeds over meer bereiken met minder ipv andersom.
Ik geef met regelmaat aan dat al die commerciële templates en modellen vaker meer kosten dan ze feitelijk opleveren en dat je al heel veel kunt winnen door meer en beter gebruik te gaan maken van de bestaande infra ipv telkens maar luisterd naar wat er commercieel allemaal hijgerig word gehyped.
Als je even, for argument sake, wil aannemen dat commerciële ‘vehikel’ IT ICT louter is bedoeld meer productiviteit te bewerkstelligen met minder FTE, waarom zou je het anders doen(?), doe je dat om de Winst en voor mij professioneel en zakelijk is winst ook juist het NIET hoeven uitgeven van budget.
Sec zakelijk
Ik kijk even naar mezelf en de mensen met wie ik werk, ik ben als eigenaar verantwoordelijk voor de strategie van hetgeen we doen en de koers die word gevaren. Ik kijk naar de markt en luister heel graag naar mijn medewerkers maar bepaal toch vooral zelf mijn strategie. Ook ik heb een keer ervaren dat er iemand solliciteerde met heel veel pretentie maar vooral ook heel veel wensen. Ik kan je vertellen dat dat nog steeds een leuk verhaal was en is als rolmodelletje voor seminars en gesprekken.
Datzelfde komt hier in het artikel ook weer naar voren. Ik belees de rode draad, zie er zelfs wel iets in maar wanneer het zo is dat mijn beleid zou moeten worden ingegeven wat mensen in de uitvoering voor mij zouden moeten gaan bepalen, dan ben ik heel kort. Niet dus. Al helemaal niet op het vlak van IT ICT.
Governance
Governance word te pas en te onpas ge/misbruikt vooral op commercieel vlak. IT ICT is gewoon een strategisch onderdeel van de gehele organisatie die naar believen kan worden ingezet op de manier zoals men dat voor ogen staat. Het is overigens een volkomen neutrale materie. De koppeling Governance en de inzet van IT ICT is dus wat mij betreft niet.
Ik geef regelmatig aan in seminars dat veel van dit soort koppelingen waar methodieken en/of governance worden gebruikt met IT ICT volkomen zinloos is. Governance dient namelijk te gaan over te volgen strategie en doel binnen een zakelijk, economische en sociale ‘acceptatie’ en niet sec met welke middelen dit perse zou moeten worden gedaan.
HSL
Ook hier kan ik je enigszins bedienen. IT ICT en treinen kun je moeiteloos wat universele wetmatigheden betreft, aan elkaar koppelen. Het bouwen van een trein, alle in’s en out’s verlopen namelijk op de volkomen zelfde wijze als IT ICT. Al heel vroeg riep ik, en ik was zeker niet de enige, dat de HSL een miljarden debacle zou worden omdat dat, in de opzet, basis, ontwikkeling en latere uitvoering, volkomen voorspelbaar is en was. Zo ook IT ICT.