Volgens diverse onderzoeken gelooft een meerderheid van de grotere bedrijven erin dat bring your own device (byod) een goede ontwikkeling is voor hun organisatie en werknemers. Hoe je dit op een goede manier implementeert is echter een vraag waarop even zoveel bedrijven, van groot tot klein, het antwoord nog schuldig moeten blijven. Er zijn diverse hordes te nemen voor een succesvolle byod-implementatie. Dit zijn toegang tot data, het kwalificeren van apparaten, beheer en beveiliging van deze apparaten en aansprakelijkheid bij incidenten.
Het vraagstuk is verre van nieuw; het management en/of de it-afdeling willen graag controle houden over de it-omgeving en de bedrijfsprocessen. Veel technologische ontwikkelingen bevorderen hun mogelijkheden, maar sommige uitvindingen roepen nieuwe vragen op. Wat byod betreft speelt dit sinds 2007, toen de eerste generatie ‘echte’ smartphones op de markt kwam, en de vraag is de afgelopen zes jaar exponentieel gegroeid. Door ontwikkelingen als native applicaties op tablets en eenvoudiger te beheren instellingen zijn de mobiele apparaten tegenwoordig wat eenvoudiger in kaart te brengen. Maar werknemers blijven nieuwe apparaten meenemen naar zakelijke omgevingen, en dus is de vraag nog steeds even actueel. Een one-size-fits-all benadering is er niet. Elk bedrijf, zijn werknemers en de it-omgevingen, zijn uniek, maar er zijn wel een aantal cruciale overwegingen te maken.
Horde 1: Toegang op basis van gebruiker
Idealiter wordt per werknemer vastgesteld welke applicaties hij of zij nodig heeft en welke mate van toegang nodig is voor zijn of haar functie. In de praktijk is een individuele aanpak, met name bij grotere bedrijven, nu nog toekomstmuziek. Een aanpak op basis van profielen kan een tussenstap zijn. Deze profielen zijn bijvoorbeeld te definiëren op basis van de functies en taakomschrijvingen van de werknemers. Dit vormt de basis van het byod-beleid en staat los van de apparaten van de gebruikers. De centrale vraag is steeds: wordt deze werknemer hier efficiënter en productiever van?
Horde 2: Accepteert het bedrijf alle apparaten of alleen de apparaten die makkelijk te beheren zijn door it?
De redenen om sommige apparaten te accepteren en andere te weigeren hebben veelal te maken met de ondersteuning van mobile device management (mdm). Als dit een probleem vormt is het verstandig dit direct, transparant en consistent te communiceren, bijvoorbeeld door de beperkingen en een lijst van acceptabele apparaten bovenaan elke memo en mail over het byod-project te zetten. Zelfs dan zullen sommigen de lijst verkeerd lezen (of negeren) en eisen dat hun apparaat direct wordt geaccepteerd. De beste manier om hiermee om te gaan? Verklaar de lijst niet heilig, mits de medewerker aan kan tonen dat zijn of haar apparaat voordelen biedt bij het werk. Accepteer het apparaat als dit het geval is.
Horde 3: Beheer en beveiliging van de apparaten
Effen deze weg vroegtijdig door het mdm-platform te updaten of weloverwogen aan te schaffen. Kijk ook naar een tweede leverancier om eventuele gaten in het platform te dichten en te voorkomen dat het bedrijf te afhankelijk wordt van één leverancier. Een benadering met meerdere lagen valt aan te raden, met specifieke oplossingen voor authenticatie, remote access, encryptie en identiteitsbeveiliging. Elk apparaat, of dit nu eigendom is van de werknemer of het bedrijf, dient te worden beheerd en te voldoen aan het beveiligingsbeleid.
Een gebied dat hierbij vaak over het hoofd wordt gezien is de ‘sync’-functie. Deze kan de bestanden synchroniseren van smartphones, tablet, laptops en desktops. Byod-gebruikers kunnen syncs instellen naar persoonlijke bestandsmappen, waardoor zakelijke data terecht komt op plekken waar het bedrijf geen enkele controle heeft. Dit is bijvoorbeeld te ondervangen door byod-gebruikers doorlopend te informeren over de mogelijk rampzalige gevolgen van het synchroniseren van zakelijke en persoonlijke data. Gebruik hierbij sprekende voorbeelden, zodat de boodschap tastbaar wordt en de eventuele gevolgen voor iedereen helder zijn. Zoals het synchroniseren van de contacten op je smartphone met het adresboek op een laptop, en andersom. Contactgegevens van klanten en collega’s kunnen op die manier terecht komen op apparaten en locaties (in de cloud of op een tablet) waar een werkgever geen controle kan uitoefenen.
Horde 4: Aansprakelijkheid
De regels veranderen als we het hebben over de relatie tussen apparaten die onder de verantwoordelijkheid van de werknemers vallen en apparaten die de verantwoordelijkheid zijn van het bedrijf. De wetgeving op dit gebied blijft zich ontwikkelen en het is zaak deze goed in de gaten te houden en te blijven controleren of de processen en dagelijkse gang van zaken hieraan voldoen.
Wederom is transparante en consistente communicatie een belangrijke voorwaarde. Het maakt niet uit welk kanaal je hiervoor gebruikt, stem dit af op de meest gebezigde communicatiekanalen binnen jouw bedrijf. Zorg er wel voor dat de wetgeving en interne richtlijnen goed zijn gedocumenteerd en altijd beschikbaar zijn op een voor elke werknemer makkelijk toegankelijke locatie. In de richtlijnen staat in hoeverre de werknemers verantwoordelijk en aansprakelijk zijn als ze hun mobiele apparaten voor zakelijke doeleinden gebruiken en waar deze apparaten aan moeten voldoen. Deze laatste voorwaarden gelden ook voor apparaten die eigendom zijn van het bedrijf. Individuele gebruikers zijn hierbij niet aansprakelijk. Maar als een apparaat van een werknemer, zoals de smartphone in jouw binnenzak of de tablet in jouw koffer, bedrijfskritische data naar locaties buiten het bedrijfsnetwerk transporteert, kun je je voorstellen dat je verantwoordelijk bent. In het slechtste geval kan dit zelfs tot rechtszaken leiden.
Denk hierbij ook aan richtlijnen voor social media. De apparaten van werknemers hebben hoogstwaarschijnlijk één of meerdere accounts waar ook tijdens werkuren gebruik van wordt gemaakt. Met name jongere medewerkers zien dit zelfs als vanzelfsprekend en een recht op zich. Daar is in principe ook niets tegen. Maar in sommige omgevingen, zoals overheidsorganisaties of beursgenoteerde bedrijven, zijn regels nodig voor het communiceren van gevoelige informatie. Data waarbij de privacy van mensen en/of bedrijven in het geding is, of statusupdates op Facebook over een leuk project dat een fantastische overeenkomst op kan leveren, zijn nu eenmaal gebonden aan wetgeving en kunnen het hele bedrijf in problemen brengen.
Het mengen van persoonlijke en zakelijke data op één smartphone is mogelijk. Maar zorg er wel voor dat de weg naar byod-implementatie zeer goed geplaveid is voor alle werknemers die (nog) niet helemaal begrijpen welke vraagstukken dit met zich meebrengt. De keten blijft zo sterk als de zwakste schakel.
Wat bedrijven eerst moeten doen is de capaciteit van het netwerk/wifi verhogen.
Hypes gaan ALTIJD samen met teveel Ad-Hoc
De omgeving waar wij beheren vond de klant het zo nodig om het maar snel toe te staan, zij doen eerst dan gaan ze nadenken.
Sinds het BYOD gaat het wifi netwerk voortdurend over zijn nek.
Wat men niet beseft is dat de gemiddelde gebruiker binnenkomt rennen met een GSM, iPad en laptop, voor je het weet hebben de meeste gebruikers 3 IP adressen in gebruik en loop je uit je DCHP scoop.
En de bandbreedte van je Wifi kan dit vaak niet aan.
Daarnaast BYOD gaat de productiviteit echt niet verhogen, in tegendeel, de gebruikers gaan nog meer met gadgets pielen i.p.v te werken.
Alles wat op vaste werkplekken niet mag, gaan ze nu omzeilen met een eigen device, dus als een werkplek niet voorzien is van patience of whatever dan heb je op eens een eigen device nodig en met BYOD kun je opeens een valide argument maken.
BYOD zal meer nadelen kunnen hebben dan voordelen, de enigen die hier het meeste baat bij hebben zijn de resellers, dienstverleners want het creert weer business onder het mom van alleen maar voordelen kostenbesparingen en nog meer gouden bergen.
Wat houden wij met z’n allen toch van hypes
All,
Bedankt voor jullie reacties hierop. Het is een onderwerp wat uiteraard allang speelt en waar al veel over gezegd en herhaald is en toch zien we nog steeds dat veel organisaties zoekend zijn naar een startpunt en en goede strategie. En uit de discussie hier blijkt maar weer eens dat de meningen ook verdeeld zijn over wat dat precies is.
In mijn optiek benadrukt deze discussie maar weer eens dat BYOD geen “one size fits all” is, in feite heeft iedereen gelijk want het moet passen binnen de strategie van je organisate maar zeker ook bij de cultuur. Bovenal moet het waarde toevoegen voor gebruikers en de business, waardoor het heel goed kan zijn dat BYOD slechts voor een deel van de profielen binnen een organisatie toepasbaar is. Zoals Victor van der Hulst hier al mooi zegt, het is een middel en geen doel op zich. BYOD kan een onderdeel zijn van de IT- en organisatiestrategie naast traditioneel “company issued” en CYOD.
@Ruud en @Victor, ik ben het met jullie eens dat dit onderwerp ook belicht moet worden vanuit kansen en mogelijkheden en aan de hand van concrete voorbeelden waar mogelijk. Die neem ik mee voor een volgend stuk.
Als IT-manager voor een bouwbedrijf heb ik vaak te maken met een conservatieve houding t.o.v. ICT. Behalve als het op de mobiel aankomt, dan moet iedereen ineens een smartphone hebben.
Vanuit directie wordt dit niet gefaciliteerd, dus gebruikers kopen deze zelf.
Zelf op laten lossen is een leuke kreet, maar in de praktijk werkt dit totaal niet. Er zijn altijd wel redenen waarom juist die persoon wel even geholpen moet worden (‘het zijn toch maar een paar instellingen’).
Daarnaast laait de discussie iedere keer weer op wanneer een medewerker zijn (prive)toestel stuk gaat op het werk.
Om maar niet te spreken van alle illegale content/spyware/etc. die op deze toestellen rondzwerft.
Het blijft moeilijk te verkopen dat jij als werkgever bepaalt wat een medewerker met een zelf gekocht toestel wel of niet mag.
@ emiel,
Ik voel me nooit aangevallen omdat, wat mij betreft, reageren op dit forum zakelijk is. Heb je vragen, nodig ik je graag uit die te stellen en te mailen.
Vr. gr.
René
r.civile@numoquest.nl