Volgens diverse onderzoeken gelooft een meerderheid van de grotere bedrijven erin dat bring your own device (byod) een goede ontwikkeling is voor hun organisatie en werknemers. Hoe je dit op een goede manier implementeert is echter een vraag waarop even zoveel bedrijven, van groot tot klein, het antwoord nog schuldig moeten blijven. Er zijn diverse hordes te nemen voor een succesvolle byod-implementatie. Dit zijn toegang tot data, het kwalificeren van apparaten, beheer en beveiliging van deze apparaten en aansprakelijkheid bij incidenten.
Het vraagstuk is verre van nieuw; het management en/of de it-afdeling willen graag controle houden over de it-omgeving en de bedrijfsprocessen. Veel technologische ontwikkelingen bevorderen hun mogelijkheden, maar sommige uitvindingen roepen nieuwe vragen op. Wat byod betreft speelt dit sinds 2007, toen de eerste generatie ‘echte’ smartphones op de markt kwam, en de vraag is de afgelopen zes jaar exponentieel gegroeid. Door ontwikkelingen als native applicaties op tablets en eenvoudiger te beheren instellingen zijn de mobiele apparaten tegenwoordig wat eenvoudiger in kaart te brengen. Maar werknemers blijven nieuwe apparaten meenemen naar zakelijke omgevingen, en dus is de vraag nog steeds even actueel. Een one-size-fits-all benadering is er niet. Elk bedrijf, zijn werknemers en de it-omgevingen, zijn uniek, maar er zijn wel een aantal cruciale overwegingen te maken.
Horde 1: Toegang op basis van gebruiker
Idealiter wordt per werknemer vastgesteld welke applicaties hij of zij nodig heeft en welke mate van toegang nodig is voor zijn of haar functie. In de praktijk is een individuele aanpak, met name bij grotere bedrijven, nu nog toekomstmuziek. Een aanpak op basis van profielen kan een tussenstap zijn. Deze profielen zijn bijvoorbeeld te definiëren op basis van de functies en taakomschrijvingen van de werknemers. Dit vormt de basis van het byod-beleid en staat los van de apparaten van de gebruikers. De centrale vraag is steeds: wordt deze werknemer hier efficiënter en productiever van?
Horde 2: Accepteert het bedrijf alle apparaten of alleen de apparaten die makkelijk te beheren zijn door it?
De redenen om sommige apparaten te accepteren en andere te weigeren hebben veelal te maken met de ondersteuning van mobile device management (mdm). Als dit een probleem vormt is het verstandig dit direct, transparant en consistent te communiceren, bijvoorbeeld door de beperkingen en een lijst van acceptabele apparaten bovenaan elke memo en mail over het byod-project te zetten. Zelfs dan zullen sommigen de lijst verkeerd lezen (of negeren) en eisen dat hun apparaat direct wordt geaccepteerd. De beste manier om hiermee om te gaan? Verklaar de lijst niet heilig, mits de medewerker aan kan tonen dat zijn of haar apparaat voordelen biedt bij het werk. Accepteer het apparaat als dit het geval is.
Horde 3: Beheer en beveiliging van de apparaten
Effen deze weg vroegtijdig door het mdm-platform te updaten of weloverwogen aan te schaffen. Kijk ook naar een tweede leverancier om eventuele gaten in het platform te dichten en te voorkomen dat het bedrijf te afhankelijk wordt van één leverancier. Een benadering met meerdere lagen valt aan te raden, met specifieke oplossingen voor authenticatie, remote access, encryptie en identiteitsbeveiliging. Elk apparaat, of dit nu eigendom is van de werknemer of het bedrijf, dient te worden beheerd en te voldoen aan het beveiligingsbeleid.
Een gebied dat hierbij vaak over het hoofd wordt gezien is de ‘sync’-functie. Deze kan de bestanden synchroniseren van smartphones, tablet, laptops en desktops. Byod-gebruikers kunnen syncs instellen naar persoonlijke bestandsmappen, waardoor zakelijke data terecht komt op plekken waar het bedrijf geen enkele controle heeft. Dit is bijvoorbeeld te ondervangen door byod-gebruikers doorlopend te informeren over de mogelijk rampzalige gevolgen van het synchroniseren van zakelijke en persoonlijke data. Gebruik hierbij sprekende voorbeelden, zodat de boodschap tastbaar wordt en de eventuele gevolgen voor iedereen helder zijn. Zoals het synchroniseren van de contacten op je smartphone met het adresboek op een laptop, en andersom. Contactgegevens van klanten en collega’s kunnen op die manier terecht komen op apparaten en locaties (in de cloud of op een tablet) waar een werkgever geen controle kan uitoefenen.
Horde 4: Aansprakelijkheid
De regels veranderen als we het hebben over de relatie tussen apparaten die onder de verantwoordelijkheid van de werknemers vallen en apparaten die de verantwoordelijkheid zijn van het bedrijf. De wetgeving op dit gebied blijft zich ontwikkelen en het is zaak deze goed in de gaten te houden en te blijven controleren of de processen en dagelijkse gang van zaken hieraan voldoen.
Wederom is transparante en consistente communicatie een belangrijke voorwaarde. Het maakt niet uit welk kanaal je hiervoor gebruikt, stem dit af op de meest gebezigde communicatiekanalen binnen jouw bedrijf. Zorg er wel voor dat de wetgeving en interne richtlijnen goed zijn gedocumenteerd en altijd beschikbaar zijn op een voor elke werknemer makkelijk toegankelijke locatie. In de richtlijnen staat in hoeverre de werknemers verantwoordelijk en aansprakelijk zijn als ze hun mobiele apparaten voor zakelijke doeleinden gebruiken en waar deze apparaten aan moeten voldoen. Deze laatste voorwaarden gelden ook voor apparaten die eigendom zijn van het bedrijf. Individuele gebruikers zijn hierbij niet aansprakelijk. Maar als een apparaat van een werknemer, zoals de smartphone in jouw binnenzak of de tablet in jouw koffer, bedrijfskritische data naar locaties buiten het bedrijfsnetwerk transporteert, kun je je voorstellen dat je verantwoordelijk bent. In het slechtste geval kan dit zelfs tot rechtszaken leiden.
Denk hierbij ook aan richtlijnen voor social media. De apparaten van werknemers hebben hoogstwaarschijnlijk één of meerdere accounts waar ook tijdens werkuren gebruik van wordt gemaakt. Met name jongere medewerkers zien dit zelfs als vanzelfsprekend en een recht op zich. Daar is in principe ook niets tegen. Maar in sommige omgevingen, zoals overheidsorganisaties of beursgenoteerde bedrijven, zijn regels nodig voor het communiceren van gevoelige informatie. Data waarbij de privacy van mensen en/of bedrijven in het geding is, of statusupdates op Facebook over een leuk project dat een fantastische overeenkomst op kan leveren, zijn nu eenmaal gebonden aan wetgeving en kunnen het hele bedrijf in problemen brengen.
Het mengen van persoonlijke en zakelijke data op één smartphone is mogelijk. Maar zorg er wel voor dat de weg naar byod-implementatie zeer goed geplaveid is voor alle werknemers die (nog) niet helemaal begrijpen welke vraagstukken dit met zich meebrengt. De keten blijft zo sterk als de zwakste schakel.
Vanuit de operationele kant van het spectrum komend kijk ik met een duidelijk pragmatisch oog. Even twee zaken heel goed scheiden.
BYOD
BYOD is feitelijk een totaal onacceptabele definitie. Telkens weer poneert of publiceert de één of ander dat een ieder maar zijn of haar eigen peripheral wil meenemen en gebruiken. Ik haal dan mijn schouders op en denk dan…’You Wish!’
het is niet dat ‘young upcoming talent’ dat dit soort elementaire zaken bepaald maar nog altijd een ‘key postition’ van de organisatie. Die bepaald de strategie en kijkt vast wel, tenminste dat hoop ik voor de betrokkene(n), wel beter uit dan zomaar een peripheral op het netwerk toe te laten.
Beveiliging en impact
Wat in al die hyperige publicaties een volkomen ondergeschoven of gebagatelliseerd punt is is beveiliging. Die begint momenteel vormen aan te nemen waar men wel degelijk bij stil zal moeten blijven staan. De vormen en methoden die criminelen gebruiken lijken momenteel een inhaalslag te maken en het meest komt momenteel vanuit China.
Gebruikers nut per peripheral
Ik zie dan met regelmatig de tablet voorbijkomen als zijnde een ‘nuttig’ perpheral. Vanuit test ervaringen kan ik u nu al zeggen, wil je een filmpje kijken?, wil je internetten?, wil je boeken lezen? Mooi. Be my guest, wel op je eigen netwerk natuurlijk.
Verder heeft het weinig toegevoegde gebruikswaarde. De laptops worden thinner faster en slimmer. Iik de prijzen blijven zakken dus vanuit zakelijk opzicht is dat niet eens een discussie meer.
Androids en Windows
De toegevoegde waarde is, even van branche tot branche bekeken, marginaal. Je kunt er aardig mee emailen, kleine zaken doen maar een werkelijke vervanger is deze voor alsnog nog steeds niet.
In al deze gevallen roept men wat graag hoe mooi die wereld toch wel niet is, of….. ook al wil je er niet aan, daar gaan we wel naar toe, en dat soort opmerkingen.
Uw horde 4, aansprakelijkheid…..
Ik ben nog geen automatiseerder tegengekomen die knikkend en juichend met serpetines liep te strooien over al die hypes en het hele BYOD verhaal. Ik zie geen enkele IT manager if CIO met een brede glimlach al die apparaten verwelkomen en iedere eigenaar een ‘waver’ uit delen.
Kom maar collega, u bent van harte welkom op ons netwerk. Problemen? Mooi, jouw probleem, ‘don’t call us…’ Een beetje slim IT manager en CIO heeft gewoon een extra regel verordonneerd. Wil je byod? Mooi, als je dat maar niet onder werktijd doet. Dan zullen wij op een hele gezonde manier, naast ons netwerk, als we tijd en budget hebben, wel eens een keer gaan testen.
Overigens mijn beate auteur, lezer, heb je al eens met excel gewerkt op tablet o.i.d.? Neen, aanradertje. Eens kijken of de zwaardere excel elementen u dan ook zo bemoedigend en tot voldoening stemmen.
Tenslotte
Het is me wel eens vaker verweten. Ik ben TE senior. Niet flexibel. Ga niet met de ontwikkelingen meer mee, sterker nog, ik ben die senior die ‘vooruitgang’ tegen houd. U kent al die oneliners vast wel.
Ik heb verschillende klanten geholpen met ondermeer strategiën voor de implementatie van ‘anders IT devices’. Ik hou daarnaast ook aardig de ontwikkelingen en de incidenten bij maar kijk ook met mijn beveiligingsoog naar wat er gaande is.
Ik zorg ervoor dat er regelmatig getest word en nog veel belangrijker, dat al die gebruikers met regelmaat op hun ‘plichten’ worden gewezen hoe tegen IT aan te kijken en hoe daarmee om te gaan. Welke plichten en verantwoordelijkheden ze hebben en een duidelijk security proces.
Ik zie daarnaast ook heel veel bedrijven die….. zo maar iets doen. Ik zie ook heel veel hijgerige en hypende verkopers die heel veel roepen maar wanneer we de nuchter inhoud ingaan, mij meewarig aankijken. Ik snap hun klaarblijkelijk niet.
Mijn laatste opmerking is dan ook steevast….. ‘Gelukkig hoef ik de uurtjes en de non productiviteit te betalen. want in meer dan 60% van heel veel veranderingen komen ook heel veel vertragingen mee.
Ik ben zeker voor verandering en vooruitgang, maar wel met rede en nuchterheid. Anders moet je namelijk in in de IT bezig zijn.
My penny’s worth…
Jordy,
Best een aardig stuk. Alleen moet ik wel constateren dat het meeste hier al vaker benoemd en beschreven is. Misschien kan je volgende keer met wat praktijkvoorbeelden komen.
Jordy, aardig stuk maar erg belicht vanuit veiligheid en beheer. Ik zou graag meer nadruk willen leggen op de kansen en mogelijkheden die byod-strategieen bieden. Alleen kijken naar de pijn kan de discussie verstarren.
Ik zie dat ook terug in de reactie van NumoQuest. Foutieve implementaties of implementaties die niet integraal worden aangevlogen zorgen inderdaad voor de door jou genoemde problemen. Trek het breder, beschouw de behoeften van gebruikers, herdefinieer processen en besluit dan tot invulling met bijv. byod. Wanneer er Excel-sheets bewerkt gaan worden is de keuze voor tablets sowieso niet van toepassing. Vraag is: is Excel voor die taak, op dat moment de juiste toepassing? Zo ja: geen tablet! (Maar vaak nee, dus geen Excel graag!)
Beste NumoQuest,
Dank voor je heerlijke reactie, het bevestigt veel van mijn vooroordelen (aanname dat je meer aan de beheerkant van de it zit) 🙂
Volgens mij vervaagt de grens tussen werk en privé en zou je als werkgever dat zo veel mogelijk moeten faciliteren. Als je als it-organisatie (of bedrijf) denkt ermee weg te komen om ‘een peripheral niet op het netwerk toe te laten’ dan denk ik dat je je eens goed achter je oor moet krabben. De tijd waarin de ‘key position’ bepaald is long gone en als je het als interne it-organisatie niet kan leveren dan wordt het ergens anders gezocht.
Ten aanzien van Excel…daar hebben we tegenwoordig gewoon Office 365 (of desnoods SkyDrive) voor.
Ben heel benieuwd hoe je tegen de verschuiving naar de Cloud aan kijkt!
Hopelijk voel je je niet aangevallen, dit is mijn visie als simpele ontwikkelaar (met mijn bijbehorende beperkte kennis).
@Victor,
Noem die kansen dan eens? Iedereen roept wel dat byod vol kansen zit, maar wat zijn die kansen dan?
In dat opzicht ben ik het wel met NumoQuest eens, en noem me dan maar star en ouderwets. Maar leg jij mij maar eens uit welke kansen byod biedt die de implementatie van allerhande techniek om bijvoorbeeld vanuit compliance oogpunt de zaak in de hand te houden kunnen verantwoorden.
Ik snap die hele moeilijkheid van BYOD niet. Bijna een non-discussie.
Het is echt heel simpel. Gebruik Office 365 c.q. Google Apps en bijbehorende mogelijkheden van SharePoint of andere collaboration tool.
Via Windows Azure AD (WAAD) c.q. Google Admin regel je SSO en het liefst zet je 2-factor authentication aan zodat je ook nog een token nodig hebt om je te valideren.
Je browser staat centraal. Waar die browser draait.. is worst. Zet evt. verplicht HTTPS aan voor het sniffen van onbeveiligde WIFI.
Of het “device” (en dat zijn niet alleen telefoons of tablets geachte Numoquest) nu van het bedrijf is of eigendom van de medewerker is helemaal niet de discussie meer.
De tijd van bestanden in mapjes op netwerk shares is voorbij, blijf je hier nog lang aan vasthouden? dan ben je een dinosaurus en betaal je teveel.
Als je allemaal tools of aanschaffen doet om BYOD te faciliteren, dan ben je niet goed bezig en kom aub niet met het argument “leuk voor de eenling of kleine MKB en niet voor de enterprise”, want dat argument is *bewezen* niet waar. Er zijn enterprises die *precies* zo werken.
Wat is de winst van BYOD? Voor 1 ding: Het spaart enorm veel geld uit als je A: Geen devices hoeft te kopen B: als je ze niet hoeft te onderhouden.
En inventariseren van behoeftes? Iedereen wil dat IT werkt en simpel is. Grappig genoeg zijn beide afhankelijk van mensenwerk, de techniek is namelijk niet het bottleneck. Die doet het uitstekend.
En weet je wat het mooie is van deze benadering? Het werkt gedistribueerd! Het werkt namelijk overal en samen hebben we meer bandbreedte dan 1 kantoor.
En als er zo nodig bestanden offline gebruikt moeten worden, faciliteer dan encryptie methoden, tegenwoordig heb je hardware die automatisch versleuteld (data at rest).
Wat rest is gebruikers trainen in het werken met de nieuwe tools, bewustzijn van de gevaren en een set van goede gewoontes. Neem steekproeven en beloon mensen die het goed doen en straf mensen die het niet goed doen.
Het moderne bedrijf wat een beetje toekomst vast is is allang dat station van “to BYOD or not to BYOD” allang gepasseerd.
Ik ben het meer eens met NumoQuest als met Henri.
Als ik dit lees: ‘Office 365 c.q. Google Apps en bijbehorende mogelijkheden van SharePoint of andere collaboration tool.
Via Windows Azure AD (WAAD) c.q. Google Admin.’
Zet dat eens naast de volgende melding:
http://www.automatiseringgids.nl/nieuws/2013/23/amerikaanse-overheid-spioneert-via-internetbedrijven
Beveiliging gaat niet alleen maar om criminelen, er zijn genoeg overheden die maar al te graag in de gegevens van bedrijven neuzen waarbij momenteel de VS en China negatief opvallen.
Het maakt denk ik een levensgroot verschil uit in wat voor organisatie je zit en hoe je applicatielandschap eruit ziet.
Een office 365 in de cloud is misschien leuk voor een kantooromgeving, maar voor een R&D omgeving die softwareproducten ontwikkelt (intellectueel eigendom) met codebases van miljoenen regels code (een Chevrolet Volt zit geloof ik zelfs al op 10M regels), binaries van ettelijke Gigabytes (gelukkig hebben we een snel bedraad netwerk) heb ik daar niet zoveel aan.
Ik heb een laptop voor het thuiswerken en reizen, maar het liefste heb ik hem in mijn docking station hangen, bedraad, met toetsenbord, muis en twee schermen. Dat werkt toch echt nog het fijnst.
@Rob: BYOD is in mijn ogen een middel. Het doel is zoveel mogelijk waarde creeren voor je organisatie (dus in het primaire proces). Die waarde kan vaak beter worden gecreeerd wanneer de medewerker op de juiste plaats zijn werk kan doen, met tools die daar maximaal in ondersteunen. Afhankelijk van het werk is dit vaak ’ter plaatse’, zoals bijv. een arts aan het bed van een patient of een agent direct op straat.
De gedachte van BYOD is enerzijds kostenbesparing, maar (in mijn beleving) vooral in optimale ondersteuning. Een gebruiker zal zijn eigen device beter, liever en makkelijker in gebruik vinden dan een geleverd device. En jaagt dus gebruik aan en daarmee waardecreatie.
@PaVaKe: Uiteraard is BYOD niet voor elk bedrijf en iedere situatie. En wat je specifiek voorbeeld betreft: Je hebt het over source control. Code staat *altijd* op je device maar met source control sync hij dat met de code repository. Dan heb je alle code centraal, maar alleen de wijzigingen brengt hij over. Over je code ga je ook weer praten met anderen en dat doe je dan evt. weer over je Office 365.
@Jan: Ik weet dat je het vaak niet met mij eens bent en wel met NumoQuest. Dat is logisch, want op de schaal van vooruitstrevendheid zitten we redelijk ver van het midden en niet aan dezelfde kant. We hebben dus een mooi spanningsveld en dat is goed. Daar kunnen andere mensen zich aan identificeren waarbij een deel zich kan laven aan jouw mening en een ander deel aan mijn mening. Daar zie ik geen enkel probleem in.
Wat betreft het laatst nieuws dat de VS een stofzuiger heeft om data van VS providers op te zuigen is een kwalijke zaak. Niet VS mensen hebben dus geen enkel recht op privacy bij VS bedrijven. En uiteraard moeten Google en Facebook ontkennen dat dit gebeurt, want dat zijn ze wettelijk verplicht, anders zouden ze staatsgeheimen lekken.
Nu verwacht ik echter wel een politieke discussie omdat in mijn ogen de Safe Harbour principles hiermee gebroken worden en de VS wel wat uit te leggen hebben. En het zou een goede zaak zijn als EU alternatieven de voorkeur krijgen… die zijn er alleen nagenoeg niet!
Natuurlijk kun je alles in eigen datacenters onder brengen, ieder bedrijf moet afwegingen maken hoe belangrijk het is dat een overheid geen inzage krijgt in data.