Maandelijks archief: oktober 2012

Mobiel en BYOD belangrijk, maar het beleid ontbreekt

Het SANS instituut heeft in opdracht van een aantal leveranciers gekeken naar het (veiligheids-)beleid van bedrijven rondom mobiliteit en BYOD. De leveranciers (Box, F5 Networks, McAfee, MobileIron, Oracle and RSA) hebben allen een belang in deze markt, dus -zoals altijd- moeten de bevindingen met enige voorzichtigheid bekeken worden. De 650 respondenten in het onderzoek vertegenwoordigen een aardige doorsnede qua sectoren. Jammer genoeg zie ik weinig informatie over de geografische spreiding. Een eerste conclusie uit het onderzoek springt er wel uit: 97% van de respondenten vindt het belangrijk een mobiele toegangs- en veiligheidsbeleid op te nemen in het algehele veiligheidsbeleid, maar 38% heeft geen formeel BYOD-beleid en 25% verbiedt simpelweg het gebruik van persoonlijke apparaten voor zakelijke doeleinden. Er zit duidelijk een kloof tussen zien wat er nodig is en daar ook echt iets mee doen.

Een tweede bevinding is dat minder dan 50% van de respondenten met BYOD aan de slag gaat ter ondersteuning van innovatie. SANS heeft een stevig oordeel over deze houding:

Interestingly, less than 50% of respondents said that supporting new innovations or changes were a reason for implementing policy—indicating that IT organizations still don’t understand or work within the language of business. Given the availability and power of smartphones, along with the shift to using mobile applications, the change in the typical IT infrastructure is already occurring.

Oftewel, IT-afdelingen die BYOD vooral vanuit security-oogpunt aanvliegen snappen niet wat er gaande is.

Qua te nemen maatregelen weten de respondenten wel wat ze graag zouden zien. Maar ook hier een kloof tussen weten en doen. Positief is wel dat het trainen van gebruikers wordt genoemd als tegenmaatregel tegen het installeren van malware op mobiele apparaten.

Op het gebied van remote access worden de plannen ook al gemaakt. De korte termijn oplossingen zijn het toestaan van toegang via VPN en het alleen toelaten tot een apart deel van het netwerk. Authenticatiemechanismen, virtualisatie en clouddiensten staan vooral op de agenda voor de komende twaalf maanden.

SANS gelooft overigens niet zo heel erg in de mogelijkheden van de gebruiker om zijn/haar eigen veiligheid te bewaken:

While many people believe that we need to control mobile devices and that policy is crucial, we have not met the security needs of the mobile workforce of today and tomorrow. Practices rely heavily on traditional controls such as VPN, authentication and network !rewalls. More alarmingly, most organizations fall back on user awareness and user agreements to provide security. While users are the ones demanding mobile access, depending on them to do the right thing is a path to failure.

Tja, daar ben ik het een stuk minder mee eens. Het is een opmerking die wel erg in het straatje van de sponsors past.

SANS Survey on Mobility/BYOD Security Policies and Practices (PDF)

Advertenties

Bring iT: Cisco, Vodaphone en Imtech promoten BYOD

In het artikel Bring your own …. tuindorp (PDF) schreef ik over de noodzaak om te investeren in strategische partnerschappen in plaats van in tools:

Maar u moet ook niet op de eerste plaats investeren in tools. Mijn advies is: investeer in relaties met partijen die de bereidheid hebben om het oude weg te gooien en samen met u de nieuwe tools te ontwikkelen. Investeer in strategische partnerschappen met andere bedrijven en organisaties die het nieuwe ICT-paradigma mede vormgeven, die het lef hebben om bestaande tools echt te vernieuwen, samen met u.

Het samenwerkingsverband van Imtech, Cisco en Vodaphone had ik niet direct in gedachten toen ik het bovenstaande opschreef. De drie genoemde bedrijven voeren de komende maanden onder de vlag Bring iT een actieve campagne om BYOD te promoten. Cisco timmert met Cisco ISE al stevig aan de weg in BYOD-land. De samenwerking tussen een aanbieder van netwerkoplossingen, mobiele connectiviteit en een brede implementatiepartner is interessant genoeg om in de gaten te houden.

Op de Bring IT-site staat een quick scan om te kijken of jouw organisatie klaar is voor BYOD. De whitepaper (PDF) is zeker het lezen waard. Maar, zoals ik niet vaak genoeg kan herhalen (zie ook het artikel van gisteren), kies niet te snel voor het mooie verhaal van een aanbieder.

Wat hebben leveranciers te bieden voor jouw BYOD-implementatie?

InformationWeek heeft een onderzoekje gedaan naar het BYOD-aanbod van veertig leveranciers. In het onderzoek is gekeken naar de functionaliteiten van de tools die worden aangeboden, maar ook naar de wijze waarop de leveranciers hun producten in de markt zetten. Is het Mobile Device Management, Mobile Application Management of een Bring your own device-oplossing? De titel van het onderzoeksverslag spreekt boekdoelen: 40 BYOD Vendors, One Confusing Market. Soms weten de aanbieders zelf niet onder welke vlag hun product moet varen of ze beweren dat het product ‘alles kan’, hetgeen in de praktijk moeilijk hard te maken is. In hoeverre dit onderzoek te vertalen is naar de Nederlandse markt is even de vraag, maar het dient in ieder geval als een waarschuwing voor bedrijven en organisaties die op het punt staan harde euro’s te committeren aan hun BYOD-beleid.

IT Consumerization voor zeerovers

Heliview organiseert op 11 december aanstaande de conferentie "Consumerization of IT". Een groot deel van het programma is ingevuld rond het Bring your own-fenomeen en hoe bedrijven en organisaties concreet aan de slag kunnen. De vraag: "Waarom moeten we met BYOD aan de slag?" lijkt inmiddels wel beantwoord en de focus verschuift naar het "wat en hoe?". In mijn lezing: "IT Consumerization voor zeerovers" ga ik nader in op de vraag of bij de voorgenomen investeringen in BYOD voldoende rekening is gehouden met bredere strategische ontwikkeling. De outline van de lezing is:

BYOD is een van de meest in het oog springende onderdelen van Consumerization of IT, en we hebben er bijna grip op. Het BYOD-beleid ligt klaar, het selectietraject voor de juiste tools is opgestart, een hype getemd! Toch? CoIT omvat meer dan BYOD alleen en is op haar beurt onderdeel van bredere culturele, economische, technologische en (geo-)politieke ontwikkelingen. Zorgt uw BYOD-investering dat u de kansen en mogelijkheden van die ontwikkelingen optimaal gaat benutten?

Jan Stedehouder bespreekt in zijn lezing Consumerization of IT in het licht van deze bredere trends en de impact die het kan hebben op uw organisatie. Wat is de overeenkomst tussen CoIT, BYOD, cloud, de nymwars, Clean IT, Quantified Self, de patentoorlogen, genome sequence mapping en de eurocrisis? Aan u de vraag of u daar voldoende rekening mee heeft gehouden!

BYOD: een kwestie van onderbouwd ‘nee’ zeggen

Bedrijven en organisaties zijn zo langzamerhand wel klaar met de vraag: “Moeten we wel met Bring your own aan de slag, en waarom eigenlijk?”. De tijd van implementatie is aangebroken en de leveranciers van tools kunnen een mooi vierde kwartaal realiseren. De waarde van die tools hangt af van de policies die je daarbij hebt bedacht of wilt bedenken. De neiging is groot om als bedrijf of organisatie bij het formuleren van de policies te beginnen bij: “Wat willen we in eerste instantie toestaan?”. Dat lijkt mij niet verstandig.

BYOD is een fenomeen dat op de werkvloer (en in de directiekamers) is ontstaan, bij medewerkers die de beperkende maatregelen al een tijdje zat zijn. Een beleid dat uitgaat van wat je wilt toestaan resulteert in een geleidelijke opschaling van aangeboden functionaliteiten welke ver achterloopt bij de realiteit op de werkvloer. Mijns inziens moet je als bedrijf een ander vertrekpunt kiezen, namelijk: “Wat moeten we verbieden?”.

Welke redenen zijn er om het gebruik van (sommige) apparaten, apps en functionaliteiten niet toe te staan, ongeacht hoe graag je jouw medewerkers de vrijheid gunt met hun eigen apparaten voor jou prachtig werk te leveren? Er zijn vier redenen:

  1. wet- en regelgeving;
  2. de noodzaak van samenwerking binnen een zakelijke omgeving;
  3. bedrijfsspecifieke richtlijnen;
  4. ontbrekende vaardigheden bij de medewerker.

We kunnen veel of weinig mopperen over de beperkingen die bijvoorbeeld een Wet Bescherming Persoonsgegevens oplegt, over de problemen om een clouddienst te mogen gebruiken als je rekening houdt met de richtlijnen van het CBP, over hoe moeilijk de Belastingdienst doet over persoonlijke tablets die zakelijk worden gebruikt et cetera, et cetera. Maar helaas, het overtreden van de wet kun je niet in een BYOD-beleid opnemen. De werkgever is en blijft aansprakelijk voor zijn medewerkers en dus zul je op een aantal punten “nee” moeten zeggen. Mag je wel toestaan dat je medewerkers Evernote en Dropbox gebruiken? Het zijn twee prachtige tools, maar als je merkt dat privacygevoelige gegevens in deze diensten terecht komen, dan zul je twee keer achter je oren moeten krabben. Wellicht kun je volstaan met een richtlijn dat dergelijke gegevens niet in Evernote of Dropbox opgeslagen mogen worden, maar is dat voldoende? Een kwestie van onderbouwd “nee” zeggen.

Een bedrijf of organisatie is een samenwerkingsomgeving. Je zult met elkaar moeten communiceren en gegevens, bestanden en data moeten uitwisselen. Dit legt per definitie een beperking op aan de apps en diensten die jouw medewerkers mogen gebruiken. Een prachtige app die alleen voor de BlackBerry beschikbaar is? Prima, zolang je ‘m naar niet gebruikt voor het uitwisselen van informatie met je collega’s die het met iOS of Android moeten doen.  Dit aandachtspunt is voor mij een van de belangrijke legitimeringen van een open standaardenbeleid binnen je organisatie. Je spreekt simpelweg af welke standaarden gebruikt worden voor communicatie en gegevensuitwisseling en het is aan de medewerker zelf daar de geschikte apps bij te vinden.

Een gemiddeld bedrijf of organisatie heeft eigen spelregels op het gebied van veiligheid, samenwerking, gebruik van sociale media, gedragsregel, wat maar ook. Voor een deel hebben die spelregels een impact op wat je met BYOD wil en niet wil. Mijns insziens is het legitiem om –opnieuw onderbouwd- op basis hiervan “nee” te zeggen tegen een bepaald gebruik van apparaten, apps, diensten of functionaliteiten.

Een laatste reden om “nee” te zeggen is gerelateerd aan het niveau van digitale vaardigheden van de betrokken medewerker. Een beleid dat maximale vrijheden geeft aan de medewerker, met specifiek benoemde onderbouwde uitzonderingen, legt een grote verantwoordelijkheid neer bij die medewerker. Is hij of zij wel in staat daarmee om te gaan? Kan hij zij problemen zelf oplossen? Soms moet je als bedrijf ook eerlijk zijn en tegen de CEO durven zeggen: “Heel leuk dat je een BYOD tablet wil, maar dat gaan we niet doen, niet voor jou in ieder geval”, simpelweg omdat de CEO al niet met de oude GSM uit de voeten kan en iedere dag de helpdesk belt voor een probleem met de webbrowser.