Bouwstenen voor een BYOD-beleid

Wat zijn de bouwstenen voor het ontwerpen van een ’bring your own device’-beleid in jouw organisatie? Waar moet je rekening mee houden? Wie zijn er allemaal bij betrokken? Welke afspraken moet je binnen de organisatie maken? Dit zijn zo wat vragen waar ik voor het schrijven van het boek mee bezig ben. Een paar weken geleden liep ik tegen het document “5 Steps to generating a Bring Your Own Device strategy” van #Legal aan. Het document is geschreven vanuit het perspectief van een advocatenkantoor. De aangereikte bouwstenen zijn een nadere beschouwing waard.

#Legal begint met een duidelijke waarschuwing: het voeren van een BYOD-beleid begint met het maken van een afweging tussen de potentiële voordelen (hogere productiviteit) en de potentiële risico’s (minder grip op data en toegang tot die data). Het niet voeren van een BYOD-beleid lijkt echter beroerder:

One thing is certain, without a clear policy based on extensive due diligence into the needs and risks, a law firm will fail to protect itself adequately and run the risk of potential embarrassment down the road.

Het advies is dan ook om een BYOD-beleid in vijf stappen te ontwerpen:

  1. Betrek de belangrijkste partijen;
  2. Breng de risico’s in kaart;
  3. Ontwerp en implementeer een veiligheidsbeleid;
  4. Ontwerp BYOD-richtlijnen voor de medewerkers; en
  5. Ontwerp een ’mobile device management’.

Wie zijn de belangrijkste partijen?

Een BYOD-beleid vraagt, volgens #Legal, om de betrokkenheid van een vijftal partijen. Het hogere management moet goedkeuring geven voor het beleid. De IT-afdeling moet apparaten op hun geschiktheid beoordelen en het geheel beheren en ondersteunen. #Legal ziet ook dat een BYOD-beleid vaak samen gaat met tijd- en plaatsonafhankelijk werken (zoals Het Nieuwe Werken) en bepleit derhalve dat de HR-afdeling bij het ontwerpen van het beleid wordt betrokken. De afdeling die zich bezig houdt met compliance moet aan tafel zitten. Het betrekken van marketing vond ik wel interessant. Je zou er niet direct aan denken, maar de apparaten waarmee jouw medewerkers ’buiten’ rondlopen dragen inderdaad bij tot het beeld van jouw bedrijf of organisatie.

Waar zitten de risico’s?

Om de risico’s van een BYOD-beleid in te kunnen schatten zal een organisatie eerst een databeleid moeten hebben. Welke typen data zijn in jouw organisatie aanwezig, en welke data mag wel of niet van buitenaf toegankelijk zijn? Welke data mag wel of niet via een BYOD-apparaat geraadpleegd, bewerkt en/of opgeslagen worden? #Legal geeft op dit punt een duidelijk advies:

Data that is crucial to the operation of a business, that whenu out of their control would damage that business should potentially not be allowed to be accessed via BYOD or at least protected to a greater level than less important data.

Het is vervolgens belangrijk in kaart te brengen welke rechten je als werkgever hebt om toezicht te houden op de gegevens en activiteiten van je medewerkers? De situatie wordt er bij een BYOD-beleid niet makkelijker op. #Legal noemt het voorbeeld van persoonlijke contactgegevens die door een synchronisatie in het CRM-systeem van het bedrijf worden opgenomen. Mag dat wel? En hoe zit het met de richtlijnen van toezichthouders? Stel dat een toezichthouder informatie wil hebben die op de persoonlijke smartphone van de medewerker is opgeslagen, heb je daar dan toegang toe?

Een goed veiligheidsbeleid

’Veiligheid’ scoort hoog als aandachtspunt in de artikelen over BYOD, maar volgens #Legal moeten we daar ook niet al te moeilijk over doen.

Mobile Platforms are just extensions of the corporate networked devices, therefore the same protections, authentication policies, and access policies should be used. Security controls such as ant-virus, data-loss prevention, anti-malware, encryption and intrusion prevention shouldn’t be diluted just so as to enable a BYOD policy.

In het overzicht van aandachtspunten noemt #Legal een punt waar ik ook al een tijdje op loop te kauwen: wil je devices toestaan die door de gebruiker zijn ’gekraakt’, bijvoorbeeld het ’rooten’ van een Android telefoon of het ’jailbraken’ van een iPhone? Onder normale omstandigheden zijn er al risico’s verbonden aan het gebruik van smartphones (zie ook Welke risico’s lopen smartphones in een BYOD-beleid?), maar dan komt er het risico bij van applicaties die beheerdersrechten (kunnen) krijgen. Zelf ben ik er nog niet helemaal uit of je het wel of niet moet verbieden. En zo ja, hoe ga je dat dan controleren?

BYOD-richtlijnen voor de medewerkers

De BYOD-richtlijnen staan, volgens #Legal, niet los van reeds bestaande richtlijnen over het gebruik van bedrijfshulpmiddelen en -bijvoorbeeld- sociale media. Het stuk stelt voor dat een beleid de volgende punten kan omvatten:

  • Een overzicht van apparaten die zijn toegestaan;
  • Een overzicht van applicaties die aanvaardbaar worden geacht;
  • Een toestemmingsverklaring om vanuit het bedrijf op beheer gerichte software te installeren;
  • Een toestemmingsverklaring omtrent het monitoren en vastleggen van gebruiksgegevens, inclusief het gebruik van het internet;
  • Een richtlijn over de aanschaf van devices en bijbehorende vergoedingen;
  • Een overzicht van wat wel door ICT wordt ondersteund;
  • Een overzicht van wat niet door ICT wordt ondersteund;
  • Een richtlijn over wat te doen bij verlies of diefstal;
  • Best practices.

Bij de eerste twee punten wil ik wel wat vraagtekens zetten. Ik begrijp dat je als bedrijf geen apparatenchaos wil hebben, maar het opstellen van een lijst met toegestane apparaten en applicaties kan snel beperkend werken (en verouderen). Bij apparaten lijkt het me zinvoller om te stellen dat ze in staat moeten zijn om de vereiste applicaties voor beheer, veiligheid en (indien van toepassing) virtualisatie te draaien. Zo zou het in mijn ogen een vereiste moeten zijn dat de data-opslag op het apparaat versleuteld kan worden. Dus niet mikken op een limitatieve lijst van apparaten en applicaties, maar een overzicht van functionele eisen waaraan nieuwe apparaten en applicaties aan moeten voldoen.

Mobile Device management

Uiteindelijk krijgt ICT dagelijks te maken met de gevolgen van het BYOD-beleid en moet het geheel onder controle worden gehouden. Hoe krijgen de apparaten toegang tot het bedrijfsnetwerk? Hoe zorg je dat alle apparaten, applicaties en medewerkers voldoen aan het afgesproken beleid? Dus, hoe beperk je de lokale opslag van data (als dat niet is toegestaand), hoe beperk je de installatie van applicaties die niet zijn toegestaan, et cetera.

#Legal bespreekt onder dit kopje ook het in de gaten houden van de licenties en licentiekosten. En dan gaat het niet zozeer over de applicaties die medewerkers zelf op de devices installeren, maar bijvoorbeeld over de toegang tot de Microsoft Exchange server (mail, agenda, contacten). Wat voor client access licenties (CAL) heb je? Per gebruiker of per apparaat? Dat maakt nogal wat uit, want je wilt niet per medewerker betalen voor het synchroniseren met de smartphone én de tablet én de laptop.

Is dit voldoende voor een BYOD-beleid?

Het stuk van #Legal geeft een aantal mooie handvatten om vanuit het management te kijken naar ’bring your own device’. Persoonlijk mis ik hier het perspectief van de medewerkers. Zij staan er bijvoorbeeld niet bij als belanghebbende partij. Het stappenplan is erg top-down ingevuld, terwijl de impuls om met BYOD aan de slag te gaan juist van de werkvloer komt. De medewerkers die met eigen apparaten willen werken zijn professionals die -mits voorzien van de juiste informatie- prima in staat zijn een eigen verantwoordelijkheid te nemen. Het risico bestaat dat een bedrijf op basis van dit stappenplan een schoorvoetend BYOD-beleid invoert, met meer beperkingen dan mogelijkheden. Verschillende studies wijzen er inmiddels op dat een al te restrictief beleid tot gevolg heeft dat medewerkers om de beperkingen heen gaan lopen. Voor Nederland zou ik dus zeker adviseren om de medewerkers mee te laten denken in het ontwerpen van het BYOD-beleid. Uiteindelijk gaat het, mijns inziens, minder om de spelregels en de technische maatregelen en meer om het gewenste gedrag inzake verantwoord en veilig gebruik. En gedrag is nu eenmaal makkelijker ’af te dwingen’ als de medewerkers zich hierin herkennen.

Geplaatst op 23 januari 2012, in Beleid. Markeer de permalink als favoriet. 9 reacties.

  1. Jan,

    Dank voor het delen van deze inzichten. Goed verhaal.

    Mijns inziens is het betrekken van de medewerkers een must. Al is het maar om inzicht te krijgen in de wensen die zij hebben ten aanzien van de devices. BYOD gaat niet werken als de werkgever te veel beperkingen oplegt aan de keuze.

    Het beleid zou op dat punt inderdaad een aantal generieke eisen moeten bevatten waaraan de hard- en of software moet voldoen. ICT kan naar de collega’s scoren als dienstverlener door een adviesdesk in te stellen waar je als medewerker na kunt gaan of het device dat je voor ogen hebt ook past binnen het beleid.

    Om mij heen zie ik een aantal organisaties kiezen voor Citrix oplossingen. Zelf ben ik daar minder enthousiast over. Ik wil nu juist een Own Device gebruiken omdat ik beter en prettiger werk met de eigen tools dan met die van de organisatie. Zie ook wat gefrustreerde Airbook gebruikers die vervolgens op die manier toch in een Windows omgeving moeten werken. En dat terwijl het merendeel van de software die zij nodig hebben ook een uitstekende webinterface heeft…

    Een groot deel van de informatie waarmee we werken heeft helemaal niet die graad van beveiliging nodig.

  2. Hallo,

    Ik wilde toch even reageren op een stukje hierboven:

    Ik wil nu juist een Own Device gebruiken omdat ik beter en prettiger werk met de eigen tools dan met die van de organisatie.

    Dit kan je dan wel vinden, maar dan moet je wel de informatie en data gebruiken die je organisatie ter beschikking heeft. Het kan niet opgaan dat, omdat je nu juist jouw eigen tools wil gebruiken. Als je dan in staat bent om met je eigen tools te werken en de bedrijfsinfo te gebruiken, dan lijkt alles prima op orde. Maar als je straks ondersteuning nodig mocht hebben omdat je tools toch niet helemaal compatibel zijn met die gegevens van je organisatie, wie is dan verantwoordelijk om je verder te helpen?

    Ik wil ook nog even aanstippen dat ik ook wel een voorstander ben van het BYOD principe. Niet ten alle kosten, maar zeker als oplossing voor de steeds hoger oplopende ‘housing’ kosten.

    Echter..vele managers zullen nog steeds liever mensen managen dan resultaten. Zolang we niet in staat zijn om resultaatgericht te werken en te managen zal BYOD en vb. HNW niet echt gaan functioneren.

    Groeten

    Bart

    • Dit is ook de reden waarom er een tweede artikel op de site staat over een onderzoek van Accenture waarin de strategie en de organisatiecultuur meer centraal staan. Als organisatie kun je kiezen voor een ‘simpele’ BYOD-uitrol (‘hier heb je een vergoeding voor device X’) of voor het inbedden in een bredere strategie met bijpassend HR- en ICT-beleid. Op voorhand kan ik niet zeggen dat het eerste minder zinvol of effectief zal blijken dan het tweede. Of dat het voor alle rollen en medewerkers binnen een organisatie even zinvol of effectief zal uitpakken.

  1. Pingback: BYOD op Ambtenaar 2.0 « Bring your own device

  2. Pingback: Bouwstenen voor een BYOD-beleid | BYOD en WIFI | Scoop.it

  3. Pingback: Bouwstenen voor een BYOD-beleid: Strategie « Bring your own device

  4. Pingback: Bouwstenen voor een BYOD-beleid | Het Nieuwe Werken | Scoop.it

  5. Pingback: BYOD op Ambtenaar 2.0 « Jan Stedehouder

  6. Pingback: Bouwstenen voor een BYOD-beleid: Strategie « Jan Stedehouder

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers op de volgende wijze: