De ingrijpende verschuiving van pc naar cloud stelt organisaties en hun it-afdelingen voor flinke uitdagingen. Medewerkers zijn mobiel geworden en werken zakelijk of privé met hun laptop of tablet op een plek die hun het beste uitkomt. Vertrouwelijke gegevens staan niet langer veilig in het datacenter, maar worden uitgewisseld via gratis en niet per se veilige cloud-diensten.
Waar organisaties voorheen te maken hadden met kantoormedewerkers die werkten op Microsoft Windows-pc’s die door it werden gekocht en beheerd, is de huidige situatie totaal anders. Deze verschuiving heeft snel plaatsgevonden en zadelt de it-afdeling op met een lastige situatie. It krijgt te maken met onveilige, persoonlijke mobiele apparatuur waarop apps en data uit het datacenter worden gebruikt naast cloud-diensten en -data die soms buiten elke controle vallen. Wil it alle apps, devices en gebruikers weer onder controle krijgen, dan is een implementatie van een enterprise app store de oplossing. Gebruikers zijn vrij om te werken waar ze willen en met ieder device, terwijl applicatie- en datatoegang door it kan worden geregeld door middel van een beveiligingsbeleid.
Voor een geslaagde implementatie van een enterprise app store moeten vijf stappen worden doorlopen.
Stap 1: evalueer je apps
Het is belangrijk alle applicaties van alle groepen gebruikers die gebruik gaan maken van de enterprise app store nader te bekijken. Documenteer bij het samenstellen van de lijst de volgende zaken:
– Het type applicatie (Windows, interne webapplicaties, SaaS-applicaties, mobiele applicaties)
– Wordt de applicatie aangeboden aan alle gebruikers of aan een specifieke groep?
– Blijft de applicatie beschikbaar of wordt deze vervangen?
Stap 2: evalueer de gebruikers
Iedere organisatie heeft verschillende soorten gebruikers met verschillende behoeften qua devices, apps en data. De it-afdeling moet daarom bij de implementatie van de app store goed nadenken over de devices, apps en data die de gebruikers nodig hebben. Alleen als dat goed in kaart is gebracht kan de app store zo worden ingericht dat iedere gebruiker de juiste content krijgt, passend bij het device dat op dat moment wordt gebruikt.
Stap 3: bepaal het beveiligingsbeleid voor de devices, apps en data
Bring your own device (byod) is een ontwikkeling die niet meer voorbij gaat. Mensen willen op hun werk hun eigen apparatuur kunnen blijven gebruiken. Het is aan de organisatie zelf om maatregelen te nemen die ervoor zorgen dat bedrijfsdata beveiligd blijven. De it-afdeling zou daarom goed moeten kijken naar de betrouwbaarheid van de verschillende toegangsscenario’s. Belangrijke overwegingen daarbij zijn:
– Device profiel
* Is het device eigendom van de organisatie en beheert de organisatie het device?
* Is er actuele antivirus/antimalware/antiphishing aanwezig op het device?
* Is het device voorzien van de laatste beveiligingsupdates voor het besturingssysteem?- Toegangslocatie: is het verzoek tot toegang afkomstig vanuit het bedrijfsnetwerk of daar buiten?
– Toegangsnetwerk: is het netwerk van de gebruiker privé/veilig of openbaar/onveilig?
Op basis van bovenstaande scenario’s moeten vertrouwensniveaus worden bepaald en uniek beleid worden vastgelegd die de specifieke acties bepalen die zijn toegestaan op elk vertrouwensniveau voor applicaties en data.
Stap 4: plan de infrastructuur
Bij het ontwerp van de infrastructuuroplossing voor de enterprise app store moeten vijf principes centraal staan:
Beveiliging van apps en data door containerisation
Containerisation (het groeperen van apps) kan controlemechanismen bieden voor de meest uiteenlopende typen applicaties en data en daardoor problemen met gegevensbeveiliging oplossen.
Windows
Er zijn steeds meer devices in omloop met een ander besturingssysteem dan Windows. Daarom is het van belang om (Windows-)desktopapplicaties vanuit de cloud aan te bieden door middel van virtualisatie.
Interne webapplicaties
Slechts een kwart van de organisaties heeft unified access tot webapplicaties. In dit geval wordt containerisation gebruikt voor nieuwe single sign-on gebruikt waarmee unified access tot verschillende websites mogelijk wordt, zowel binnen als buiten de organisatie.
Gegevens in de cloud
Containerisation van gegevens in de cloud betekent dat de toegang tot bestanden moet worden gekoppeld aan de enterprise directory, zodat de rechten voor het opslaan en delen van gegevens door it kunnen worden geregeld.
Software as a Service
SaaS heeft ervoor gezorgd dat er geen controle meer is over belangrijke applicaties, omdat deze extern worden beheerd. Containerisation van SaaS-applicaties met interne controle over de toegang en gebruik van standaarden kan ervoor zorgen dat een organisatie opnieuw zicht krijgt op het SaaS-gebruik.
Veilige data op mobiele devices door middel van containerisation
Device containerisation maakt de toegang tot en beveiliging van devices abstract en zorgt ervoor dat dit helemaal los komt te staan van het device. Hiermee ligt de controle over de gegevens bij de it-afdeling.
Mobiele applicaties
Voor de beveiliging van mobiele applicaties zijn twee zaken belangrijk: het wrappen van de clientapplicatie en het mogelijk maken van flexibiliteit voor crossplatform-ontwikkeling. Door het wrappen van een applicatie kan een mobiele applicatie apart worden gehouden met aparte toegang, zodat de applicatie conform een it-beleid kan worden geblokkeerd of gewist.
Gegevens uit de cloud op mobiele devices
Bestanden op mobiele devices moeten worden versleuteld en ‘follow me-toegang’ moet worden gerealiseerd. Ook moet het mogelijk zijn om data op afstand te wissen, bijvoorbeeld in het geval van verlies of diefstal van het device.
Toegangscontrole op basis van identiteit
Door het grote aantal applicaties dat een organisatie gebruikt is het noodzakelijk apps te koppelen aan de functie die mensen uitvoeren binnen de organisatie. Dit kan met rolgebaseerd identiteitsbeheer, waar het volgende mogelijk is:
– Flexibele ondersteuning voor verschillende vormen van verificatie
– Koppelen van rollen aan applicaties en gegevensopslag
– Actief identiteitsbeheer om de toegang tot resources automatisch op te zetten en weer in te trekken.
Toegangscontrole op basis van policy
Naast toegangscontrole op basis van identiteit moet het mogelijk zijn om het mobiele informatiegebruik te regelen met slim beleid dat de hele context meeneemt. Daarbij wordt gekeken naar:
– Locatie (kantoor, extern)
– Type device (smartphone, tablet, besturingssysteem)
– Netwerk/toegang offline
– Verificatie-eisen (single/multi-factor)
– Onmogelijk maken van toegang op basis van event
Alles samen in een enterprise app store met zelfbediening
Als alle bovenstaande stappen zijn gezet, dan kan it alle applicaties, devices en data de baas. Er moet nog wel een goede balans worden gevonden tussen de controlemogelijkheden die it heeft en de gebruikerservaring van de medewerkers. En dit is precies waar een enterprise app store voor zorgt. Belangrijke componenten van een enterprise app store zijn:
– Eenduidige opslag voor alle apps en data
– Toegang op maat voor elke functie binnen de organisatie
– Workflows voor het aanvragen van applicaties
– Selfservice-registratie voor applicatie updates
– Aanbieden van native apps aan mobiele devices
– Follow me access tot applicaties en data over apparaten heen
Stap 5: implementeer je eigen enterprise app store
Uit ervaring is gebleken dat een effectieve uitrol gebeurt in fases. Begin met de gebruikers voor wie de voordelen het grootst zijn (bijvoorbeeld medewerkers met meerderde mobiele apparaten en een grote behoefte aan mobiliteit). Implementeer de nieuwe infrastructuur voor de enterprise app store bij voorkeur naast de bestaande app delivery infrastructuur. Op deze wijze wordt de onderbreking voor gebruikers tot een minimum beperkt en kan it alles eenvoudig beheren. Wacht met het toevoegen van een tweede groep gebruikers tot de eerste groep een aantal weken bezig is geweest. Zo kan er eerst worden gekeken of de gebruikssituatie en de nieuwe infrastructuur werken zoals voorzien. Als dat het geval is, kunnen er meer gebruikers worden toegevoegd aan de enterprise app store.
Andreas van Wingerden, manager system engineering Netherlands bij Citrix
Andreas,
‘Begin met de gebruikers voor wie de voordelen het grootst zijn’ lijkt me een goed uitgangspunt voor het opstellen van de business case. Oftewel een bottom-up inventarisatie die je correleert aan een business-proces analyse zodat er inzicht in de kosten verkregen wordt en je dus niet onnodig veel geld uitgeeft aan overbodige licenties. Het is namelijk nogal ‘penny wise and pound foolish’ om aan alle grillen van gebruikers te voldoen.
Andreas,
Leuke technocratische beschouwing.
Ik heb zelf ook wat ervaringen op dit gebied en wat blogs erover geschreven.
Twee punten die ik hier aan zou willen toevoegen is
Punt 1. Je moet proberen de achterdeur echt dicht te gooien. Begin met bijvoorbeeld een applicatiecriteria lijst bij de afdeling inkoop. Want ook al zijn softwarebudgetten decentraal in een organisatie, dan nog kun je met een door de CIO vastgestelde lijst van applicatiecriteria al een sense & simplicity filter inbouwen. Dan staat in ieder geval de achterdeur op een kier en niet meer wagenwijd open. Ultiem is dat de achterdeur dicht zit (er zijn geen decentrale software budgetten).
Een tweede punt is: maak een grootformaat architectuurvisualisatie van het software applicatielandschap zodat je de beslissers/eigenaren helpt beter en meer impactvol keuzes te maken. De kansen op rationalisatie en daaruit voortvloeiende business benefits worden vaak niet verzilverd omdat de keuzes die gemaakt moeten worden daarvoor ingrijpend zijn. Het in beeld brengen van zaken helpt daarbij.
Ik heb verder nog een vraag.
Je stelt: “Mensen willen op hun werk hun eigen apparatuur kunnen blijven gebruiken.” Kun je ons een link geven naar onderzoeken waar dit uit naar voren komt?
Alvast bedankt.
@Ewout: Je hebt zeker gelijk dat je altijd een goede afweging moet maken tussen de wensen van verschillende groepen gebruikers.
@Mark: Erg goede toevoegingen, dank! Wat betreft het onderzoek: in 2011 liepen we in Nederland al voorop met BYO : http://www.marketingfacts.nl/berichten/20111107_gebruik_eigen_apparaten_zeer_populair_onder_werknemers/.
Full disclaimer: het gaat om onderzoek van Citrix zelf. Sinds die tijd is het meebrengen en gebruiken van eigen devices op de werkvloer alleen maar populairder geworden…
Typisch dat doorgaans alleen naar de technische kant van het “probleem” gekeken wordt.
Zeker zo belangrijk is het opvoeden van de gebruikers. Wanneer mensen met eigen devices aan de slag gaan voor het werk, dienen ze zich (uiteraard afhankelijk van hun rol) er ook bewust van te zijn dat ze privacy gevoelige gevevens, zakelijk belangrijke gegevens, intellectueel eigendom etc. op hun device hebben staan, en daarmee dan ook op een verantwoorde manier om dienen te gaan.
De zwakste schakel in dit soort beleid is en blijft namelijk de mens…
@Mark
Aan de bovenkant van de architectuur zijn het vaak gebruikers gedreven oplossingen, voor CIO is hier veel te verzilveren met chargeback. Dus liefst wel decentrale budgetten om business units zodoende bewust te maken van de kosten en motivatie voor rationaliseren te geven. De legacy in applicatie-portfolio die soms meer uit nostalgie dan functionaliteit wordt onderhouden verdwijnt hiermee als sneeuw voor de zon. Een slimme CIO prijst namelijk niet de delivery maar de support, toch al gauw 80% van het IT budget.