BYOD moet toch kansen bieden?

Een van de reacties op de BYOD-dag van Ambtenaar 2.0 was waarom ik zoveel over risico’s en beheersing daarvan sprak. De vraagsteller had liever gezien dat ik meer had verteld over de kansen en mogelijkheden van bring your own device. Astrid Tol was zo te lezen met een soortgelijke insteek naar de BYOD-dag gekomen. In het artikel “BYOD: Boeven, beren en ander gespuis” schrijft ze:

Voor mij als niet-digitaal onderlegde gebruiker is het heel eenvoudig: ik wil een middel gebruiken waarmee ik tijd- en plaatsonafhankelijk bij informatie en documentatie van mijn verschillende opdrachtgevers kan. Geen gedoe met in- en uitloggen, tokens en oneindige hoeveelheid wachtwoorden.
Een dag vol nieuwe kansen, tips en trucs was mijn verwachting.

Maar helaas, mijn keynote met als titel: “Argeloos en naïef wandelen in het mijnenveld – Bring your own disaster?” maakte snel een einde aan die verwachting. Haar zoontje was een van de eerste slachtoffers:

Onder de indruk van de info van de BYODdag heb ik mijn zoon afgelopen weekend verboden om op zijn eigen laptop Teamviewer te installeren voor een online game die hij speelt. Eigenlijk geen idee of dit kwaad kan, maar hij moet het doen met een gewaarschuwd en iets minder naïef mens ….

Sorry Astrid, maar helemaal ongelukkig kan hier niet mee zijn, al was het ook niet helemaal de bedoeling om het enthousiasme voor BYOD te dempen. Ik ben het met je eens dat het echt afgelopen moet zijn met al dat in- en uitloggen, de tokens en de vele wachtwoorden. Het wordt hoog tijd dat organisaties hun ICT-omgeving dusdanig inrichten dat ze veel en veel soepeler om kunnen gaan met de groter wordende schil van ZZP-ers en ZZP-achtige medewerkers, want dat is mijns inziens de toekomst van de arbeidsorganisatie. Maar dat is in de keynote ook aan bod gekomen.

Biedt BYOD wel nieuwe kansen? Absoluut, alleen zijn het kansen die veel verder gaan (en veel dieper ingrijpen) dan het gebruik van eigen smartphones en tablets op korte termijn. Op korte termijn is er veel mogelijk, al is dat afhankelijk van het type organisatie, de huidige ICT-omgeving en de rol die iemand in die organisatie vervult. Hoe meer je te maken hebt met persoonsgegevens of gevoelige informatie, des te beperkter zal het BYOD-beleid voor je uitpakken, op dit moment. Hoe meer je bewerkbare documenten moet uitwisselen met collega’s die met andere apparaten en software werken, des te beperkter de ruimte om je eigen apps te kiezen, op dit moment. Des te vaker we horen over het uitlezen van contactgegevens door ‘rogue apps’, of over slecht beveiligde databases met onze wachtwoorden (LinkedIn), of over tekortkomingen in het wachtwoordbeleid van online diensten (Google Apps for Business en de Cloudflare case), des te meer weerstand zul je ondervinden bij het bepleiten van meer vrijheden ten aanzien van apparaten en apps. Dat is, helaas, een vervelende realiteit.

Maar BYOD verschaft ons een prima gelegenheid om daar verandering in aan te brengen, een verandering die er hoe dan ook moet komen gezien de bredere maatschappelijke en technologische trends. BYOD is mijns inziens een belangrijk breekijzer om te komen tot fundamentele veranderingen in de wijze waarop wij met ICT omgaan. Het vereist een andere ziens- en denkwijze van de zijde van ICT-beheerders: minder gericht zijn op end-to-end controle en beheersing, meer gericht op controle en beheersing van de gegevens; minder gericht op standaardisatie, consolidatie en centralisatie, meer gericht op flexibiliteit en een open ICT-architectuur. Maar het vereist ook een andere ziens- en denkwijze bij de gebruikers. De vrijheid om meer met innovatieve technologie te kunnen werken en zelf je tools te kiezen gaat vergezeld met extra verantwoordelijkheden ten aanzien van de reële risico’s.

Het BYOD-fenomeen maakt zichtbaar waar we de komende jaren echt in moeten investeren en waar de status quo tekort schiet. Mijn advies voor Astrid is dan ook om Teamviewer niet te verbieden, maar eens goed met junior aan tafel te zitten om te kijken waarom hij dat programma moet of wil gebruiken en samen met hem te bekijken onder welke voorwaarden het programma wel of niet actief mag zijn, welke toegang het programma heeft tot de gegevens die op de harde schijf zijn opgeslagen en hoe junior de risico’s kan beheersen. Astrid, je investeert dan in een betere awareness bij je zoon en je geeft dan thuis invulling aan een van de belangrijke opdrachten van organisaties voor de komende jaren. Het lijkt me dat je daar bij je opdrachtgevers prima mee aan kan komen😉.

Geplaatst op 18 juni 2012, in Beleid. Markeer de permalink als favoriet. 6 reacties.

  1. Ik begrijp niet zo goed waarom er dit geschreven wordt: ‘Ik ben het met je eens dat het echt afgelopen moet zijn met al dat in- en uitloggen, de tokens en de vele wachtwoorden. Het wordt hoog tijd dat organisaties hun ICT-omgeving dusdanig inrichten dat ze veel en veel soepeler om kunnen gaan met de groter wordende schil van ZZP-ers en ZZP-achtige medewerkers, want dat is mijns inziens de toekomst van de arbeidsorganisatie.’

    Ik denk dat het weldegelijk noodzakelijk is om iets te doen aan autorisatie en authenticatie met de komst van BYOD. De architectuur die daar voor nodig gaat zijn, is er misschien bij de meeste op centraal beheer ingestelde organisaties nog niet voorhanden. Juist de inzet van BYOD brengt supergrote risico’s met zich mee dat onbedoeld informatie en bewerking op informatie ongecontroleerd en dus fout plaatsvindt.

    Misschien is een op bioscan afgestemde GlobalDirectoryService die deze problematiek kan gaan afdekken een optie….?

    • Goedemorgen Leon,

      Je bent me – eerlijk gezegd – kwijtgeraakt bij de uitspraak dat “juist” BYOD “supergrote risico’s” met zich meebrengt. Ik vind dat onzin. BYOD maakt dat je op een andere manier met reeds bestaande risico’s om zult moeten gaan. Mijn hele pleidooi rond BYOD is dat we af moeten stappen van controle, controle, controle en naar een nieuwe verdeling van verantwoordelijkheden moeten groeien.
      Ik zou zeker niet willen pleiten voor één centrale identity service (al was het maar omdat je dan echt een single point of failure hebt), maar voor een model van gedecentraliseerde, door de gebruiker beheerde indentiteitsdiensten. Zodra ik in dienst kom, of ingehuurd wordt, door een organisatie zorg ik voor het koppelen van mijn digitale identiteit aan het authorisatie- en authenticatiemechanisme van die organisatie. Hoe ik mijn digitale identiteit regel is mijn zaak, maar ik zal mij daarbij aan vooraf bepaalde standaarden moeten houden. Bij een dergelijk mechanisme heb ik niet te maken met meerdere wachtwoorden en tokens (een ramp in een situatie waar je meerdere opdrachtgevers hebt, wat op zich ook weer risico’s met zich meebrengt), maar met één mechanisme waarbij ik de digitale identiteit zelf beheer. Ik heb er alle belang bij om dat zo bewust en zo veilig mogelijk te doen, want maak ik daar grove fouten bij dan ben ik mijn toegang tot alle netwerken kwijt.
      Je ziet, er is een model denkbaar waarbij je enerzijds nog steeds robuuste autorisatie en authenticatie kan gebruiken en anderzijds de gebruiker meer vrijheden (en verantwoordelijkheden) geeft.

      Groetjes,

      Jan

  2. Bestaat er al een implementatie van de situatie die u zojuist schetst: een digitale identiteit, waarmee ik kan aankloppen bij organisaties die deze vorm van identificeren ondersteund?

    Dus: kunnen bedrijven al hun IT-infrastructuur zodanig koppelen aan één zo’n generiek systeem en kunnen gebruikers zich al een digitale identiteit aanmeten? En kunnen die twee al tot elkaar komen.

    Overigens, lijkt ook wel op een single-point-of-failure: zodra iemand mijn digitale identiteit kan nabootsen bij bedrijf X, ligt heel bedrijf X open?

    • Goedemorgen Patrique,

      Voor zover ik weet bestaat er op dit moment geen systeem waarbij de gebruiker de “eigenaar” van de identiteit is. Wat we de afgelopen jaren wel hebben gezien is de groei van gecentraliseerde identiteitsdiensten (Google, Facebook, DigID), maar dat heeft niet mijn voorkeur.

      Ik denk dat we nog een aantal stappen moeten zetten om een gedistribueerde identiteitsdienst te realiseren. Het technisch ontwerp moet duidelijk zijn (welke informatie moet uitgewisseld worden, welke standaarden gebruiken we dan). De verificatie van de identiteit bij het eerste gebruik is niet zo ingewikkeld voor bedrijven. Immers, zodra een medewerker binnenkomt wil je al een kopie paspoort hebben. Daar komt dan nu een identiteitssleutel bij. Het gaat mij niet om een generiek systeem, maar om generieke afspraken over de uit te wisselen identiteitsgegevens.

      Natuurlijk, zodra iemand jouw identiteit kan overnemen (identiteitsdiefstal komt voor) heeft deze persoon toegang tot alle applicaties in het bedrijf waarvoor deze toegang heeft gekregen. Dat betekent dat je dus wel een veilig gedistribueerd systeem moet hebben. Maar waarvan is het risico groter: een hack waarbij de gegevens van één centraal identiteitssysteem worden overgenomen, of een hack waarbij de identiteit en de hardwaresleutel van een persoon worden overgenomen?

  3. pieter hogendoorn

    Ik verbaas met over het veiligheidsbeleid van veel organisaties. Dat is geheel op ‘toegangscontrole’ gericht. Als je maar eenmaal ‘binnen’ bent kun je alles lezen, wijzigen e.d. Ter vergelijking: de toegang tot mijn eigen PC is slechts licht beveiligd, maar de echt belangrijke bestanden zijn zwaar versleuteld.

    Voor e-mail geldt hetzelfde. Er is een e-mail beleid met strenge regels voor forwarden, gebruik van webmail e.d., maar van ‘encryptie’ heeft niemand gehoord.

    Als je als organisatie de inhoud van je data beschermd, kun je de regels voor toegang (dus ook via eigen apparaten) wat losser maken. Of mis ik hier iets?

  4. Via http://bit.ly/MWjqvo leerde ik de term iNIK kennen: elektronische Nederlandse Identiteitskaart. Ik moet er nog meer over lezen, maar misschien is dit wel een antwoord op een dergelijk uniforme identificeringsmechanisme? Bent u hier al mee bekend?

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers op de volgende wijze: