Management special
BYO-Beleid:
waar ligt de grens tussen privé en zakelijk? Door: Bram Semeijn
Management special - BYO-beleid: de grens tussen privé en zakelijk
BYO-beleid:
waar ligt de grens tussen privé en zakelijk? Door de consumerization of IT begint het onderscheid tussen het zakelijke en het privé domein van gebruikers steeds meer door elkaar te lopen. Bedrijven die het mobiele werken ondersteunen moeten daarin keuzes maken, maar hoe maak je nu die scheidslijn zodat ieders belang gedekt is?
Introductie Vroeger was het onderscheid tussen zakelijke en privé software en apparatuur erg eenvoudig. Datgene waarmee je op de zaak zat te werken was van de zaak. Al je werkprogramma’s stonden erop en als je iets nieuws nodig had kreeg je de spullen van de facilitaire dienst of de IT-afdeling. Op je thuiscomputer stonden je eigen programma’s, je foto’s, je muziek en je films. Was je thuiscomputer kapot? Dan was dat voor je eigen rekening. Deed de computer op de zaak het niet? Dan kon je bij de IT-afdeling terecht. Tegenwoordig is die grens echter niet meer zo scherp afgetekend. De apparaten waar de mensen thuis mee werken zijn vaak beter dan die van de zaak en worden daarom vaak meegenomen naar het werk (Bring Your Own Device; BYOD). Daar komt nog bij dat veel bedrijven zaken als thuiswerken en mobiel werken willen ondersteunen. Ze geven de gebruiker daarbij zelf vaak de keuze met welk apparaat ze wensen te werken. Die apparaten worden bovendien ook nog eens voor privé-zaken gebruikt. Zakelijke en persoonlijke data staan vaak naast elkaar op hetzelfde apparaat en ook de programma’s waarmee gewerkt wordt zijn vaak niet van de zaak. Omdat de IT-afdeling ook in deze nieuwe situatie scherp moet hebben hoe ze toestellen gaan beheren en beveiligen is nieuw beleid nodig. Centraal staat daarbij steeds de vraag waar je verantwoordelijkheden legt. Bij de gebruiker? Of is het juist de organisatie zelf die invloed houdt op de beveiliging en het beheer van toestellen? En in hoeverre is dat beheer wel gewenst als dat het persoonlijke leven van de werknemer raakt?
2
Management special - BYO-beleid: de grens tussen privé en zakelijk
BYO... een veelzijdig landschap Bedrijven die het mobiele werken faciliteren hebben een ruime keuze in de wijze waarop ze de uitgifte van die toestellen organiseren. Het zijn de bekende varianten, zoals Buy Your Own, Choose Your Own en Here’s Your Own. Hieronder staat een kort overzicht met een uitleg: • • •
•
Here’s Your Own (HYO): De werkgever stelt apparatuur ter beschikking. De medewerker heeft geen keuzevrijheid. Choose Your Own (CYO): De werkgever biedt keuze uit voorgeselecteerde apparatuur. De apparatuur blijft echter van de werkgever. Buy Your Own (BYO): De werkgever verschaft een budget waarmee de medewerker zelf een apparaat aan kan schaffen. De gebruiker kan deze zakelijk gebruiken, binnen de gestelde kaders en randvoorwaarden van de organisatie. On Your Own (OYO): De medewerker koopt van zijn eigen geld apparatuur om deze zakelijk te gebruiken.
Los van de uitgiftemodellen (waarbij je je kan afvragen of OYO wel een ‘uitgiftemodel’ is) is er nog de ontwikkeling van Bring Your Own Device. Mensen nemen zelf eigen apparatuur mee, buiten de organisatie om. Overigens zal BYOD wel afnemen als uitgifte van mobiele toestellen goed geregeld is, want mensen hebben nu eenmaal liever één toestel. Geheel uitbannen kun je het echter niet.
Van de zaak of van jezelf Hoewel er dus veel vormen van BYO zijn, is volgens Harrie Gooskens het belangrijkste aspect de vraag wie eigenaar is van het apparaat. Gooskens is beleidsadviseur bij item-c en consulteert organisaties bij het opstellen van ICT-beleid. “Wanneer het apparaat van de organisatie zelf is, kan je eisen stellen wat er wel en niet aan software en apps op zo’n apparaat draait. Wanneer de werknemer de eigenaar van het apparaat is, is hij daar vrij in. Je kan ook niet afdwingen dat er beheertools op zo’n toestel worden gezet en alleen maar afspreken dat de werknemer zich conform de veiligheidsregels van de organisaties gedraagt.” Ook Martin van Dijk, beleidsconsultant bij Native Consulting, heeft veel met BYO-beleid te maken. Welk van de verschillende BYO-varianten wordt neergezet heeft volgens hem vooral te maken met de capaciteit van de IT-afdeling en de beheersbaarheid van alle mobiele apparaten. “Mijn persoonlijke voorkeur (vaak ook de voorkeur voor de ITafdeling) is HYO, omdat je daar als organisatie het meeste regie houdt. Deze komt in de praktijk echter weinig voor. De meeste organisaties kiezen voor CYOD. De gebruiker behoudt zelf een beperkt aantal toestellen die hij kan kiezen.” Net als Gooskens benadrukt hij dat het alle verschil maakt of toestellen inderdaad corporate owned zijn. (COPE: Corporate Owned Personally Enabled) De werkgever behoudt zich zodoende het recht voor om eigen software op de apparaten te zetten en te bepalen wat er wel en niet op wordt gebruikt.
3
Management special - BYO-beleid: de grens tussen privé en zakelijk
Beheer en beveiliging: afspraken maken... Omdat je je als organisatie niet kan bemoeien wat iemand allemaal privé op zijn apparaten installeert, zijn privéapparaten per definitie ‘untrusted’ en zal de organisatie aanvullende maatregelen moeten nemen op het gebied van beheer en beveiliging. De belangrijkste indamming van veiligheidsrisico’s bestaat volgens van Dijk en Gooskens in het maken van afspraken over de omgang met bedrijfsinformatie. “Mensen zijn vaak in hun arbeidsovereenkomst een bepaalde geheimhoudingsplicht aangegaan”, zegt van Dijk. “Als ze nu op een onverantwoordelijke manier met bedrijfsdata omgaan, bijvoorbeeld door discutabele software te downloaden, kan je ze daar echt wel op aanspreken.” Ook Gooskens benadrukt dat er vaak al de nodige afspraken bestaan op het gebied van het gebruik van bedrijfsgegevens. “Veel zaken waren ook voor de komst van smartphones en tablets een issue”, zegt hij. “Data was bijvoorbeeld ook al mobiel door de komst van USB-sticks en die regels zijn al lang helder. Het BYO-beleid moet voortbouwen op het bestaande arbeidsbeleid, informatiebeleid en als het kan daar alleen maar naar verwijzen.” De organisatie kan de medewerker er ook toe verplichten een overeenkomst te tekenen voor gebruik van het toestel binnen het bedrijfsnetwerk. Je kunt je er zo in ieder geval van vergewissen dat de medewerker zich rekenschap heeft gegeven van bepaalde afspraken over de omgang met gegevens. Ook kan je bepaalde risico’s op een gebruiker afschuiven. “Wanneer er een beveiligingslek is, kan je de verantwoordelijkheid voor het lek niet zuiver bij de werknemer leggen. Maar je kan dan bijvoorbeeld wel afspreken dat de kosten voor het herstellen van het apparaat bij de werknemer komt te liggen, wanneer hij onzorgvuldig met het apparaat omspringt”, zegt Gooskens.
…of technisch afdwingen Naast het maken van afspraken met de gebruikers, zijn er ook technische maatregelen te nemen. Zo kan je gebruikers enkel toegang geven via een netwerkgateway voor extern verkeer. De ‘externe’ privé apparaten worden dan op een gastnetwerk met beperkte toegang gezet. De toegang van een privé-apparaat op het netwerk is dan beperkt. Jordy Bax (Technology Lead) en Vincent Zeebregts (Manager Solutions) van Bring IT benadrukken vooral het gebruik van Mobile Device Management oplossingen om de toegang van privé apparaten op het netwerk te faciliteren. Bring IT is een samenwerkingsverband tussen Vodafone, Cisco en Imtech dat zich richt op het helpen van klanten bij het maken van technologiekeuzes bij BYOD. “De reden waarom we deze campagne gestart zijn is dat de meeste bedrijven in de markt eigenlijk maar stukjes van oplossingen aanbieden”, vertelt Zeebregts. “Een partij doet een stuk toegangscontrole, de ander een stuk Mobile Device Management (MDM). Door samen te werken met Cisco en Vodafone willen we een end-to-end oplossing kunnen aanbieden. Cisco levert daarbij vooral de infrastructuurproducten, zoals WiFi access. Vodafone zit meer aan de gebruikerskant. Denk daarbij aan abonnementen, het type toestellen, de MDM-oplossingen etc. Wij (Imtech) doen de implementatie bij de klant.” Mobile Device Management werkt goed, omdat je een binnenkomend apparaat aan een gebruiker kan koppelen. “Dat biedt op de eerste plaats een stuk veiligheid”, vertelt Technology Lead Jordy Bax van Bring IT. “Je kan zien met wat voor soort toestel er gewerkt wordt. Gejailbreakte apparaten kan je dan van het netwerk weren. Het geeft de IT-afdeling daarnaast behoorlijk wat inzicht in het gebruik van een toestel. Je kunt bijvoorbeeld zien met welke besturingssystemen mensen werken en wie er binnen het bedrijf aan een update toe zijn. Ook kan MDM helpen om bepaalde technische ondersteuning te bieden. Denk daarbij aan het configureren van bepaalde bedrijfsapplicaties. Je bent met MDM dus niet enkel het beleid aan het enforcen, maar biedt ook een stuk service naar de gebruikers toe.” Het mooiste is volgens Bax nog wanneer het Mobile Device Management is afgestemd met andere veiligheidshulpmiddelen, zoals bijvoorbeeld een beveiligde VPN-toegang tot het netwerk. De ondemand VPN-toegang zorgt er voor dat gebruikers ook wanneer ze niet op kantoor zijn bij hun applicaties kunnen, zelfs wanneer deze op het wireless netwerk van een restaurant zitten.
4
Management special - BYO-beleid: de grens tussen privé en zakelijk
…of technisch afdwingen (vervolg) Uiteraard grijp je met MDM wel sterk in op het privéleven van mensen. Veel mensen zullen het geen prettig idee vinden dat de IT-afdeling meekijkt of dat hun telefoon met privéfoto’s gewiped kan worden door een IT-afdeling. Bax en Zeebregts stellen daarom dat beleid en heldere communicatie van dat beleid erg belangrijk is voor het welslagen van een BYO-traject. “Human resource is bij het maken van BYO-beleid daarom ook een heel belangrijke stakeholder”, stelt Bax. “Zij moeten de drempels die de werknemers hebben voor die technische hulpmiddelen wegnemen.” In een whitepaper die Bring IT over het onderwerp publiceerde wordt onder andere ook voorgesteld een deel van het beheer bij de eindgebruikers zelf neer te leggen. De gebruiker kan via een portaal een aantal functies bedienen, zoals het beheren van wachtwoorden en het wipen van gegevens na verlies. Martin van Dijk van Native Consulting is overigens geen voorstander van MDM. “Mobile Device Management is vaak duur, moeilijk en geeft veel weerstand”, stelt hij. “Grote organisaties passen het veel toe, maar in de praktijk vind ik niet dat de kosten voor zo’n oplossing opwegen tegen beveiligingsrisico’s. Het is veel eenvoudiger om heldere afspraken te maken over de omgang met data.”
Informatie management Wanneer een toestel officieel van het bedrijf zelf is, kan je je als bedrijf wel bemoeien met de software die op een toestel draait. Het gebruik van sommige applicaties kan ongewenst zijn. Dropbox is zo’n voorbeeld, als organisatie kan je er moeite mee hebben dat data naar een externe server buiten je bedrijf wordt verplaatst. Ook vinden sommige organisaties het niet prettig wanneer er gebruik gemaakt wordt van Facebook. Toch is geen van de geïnterviewden erg enthousiast over het ‘blacklisten’ van applicaties. “Het is moeilijk te controleren waarmee mensen werken. Bovendien is het juist prettig dat mensen hun eigen voorkeuren kunnen volgen”, zegt van Dijk. Het monitoren van netwerkverkeer kan volgens hem helpen om gebruik van bepaalde apps in te tomen. “Wanneer dan blijkt dat er bovenmatig veel Facebook gebruikt wordt kan je daar intern een discussie over beginnen.” “Wanneer het aankomt op je werkapplicaties maakt het de meeste bedrijven niet zoveel uit hoe je een bepaalde output hebt gemaakt. Een goede manier is bijvoorbeeld niet zozeer afspraken te maken over de applicaties waarmee je werkt, maar afspraken te maken over de uit te wisselen bestandsformaten. Je kunt tevens afspraken maken over de beveiliging. Zo kan je afspreken dat bepaalde gevoelige bestanden alleen binnen het CMS bekeken worden.” Dat het hele bedrijf met eigen software werkt en er een versnipperd applicatielandschap ontstaat hoeft volgens Van Dijk geen probleem te zijn. Je moet als organisatie een bepaalde standaardset met applicaties, software en besturingssystemen formuleren waarvan je zegt dat je ze gaat ondersteunen. Eigen voorkeur mag, maar bedenk dan wel dat je een eigen verantwoordelijkheid hebt met betrekking tot de technische ondersteuning. Naast het verbieden van applicaties kan je het gebruik van bepaalde software ook stimuleren door die aan te bieden via enterprise app stores. Bedrijven maken dan binnen de applicatiewinkels van bijvoorbeeld Google of Apple een eigen app store, waar werknemers uit kunnen downloaden. Voordeel is dat je veilig en efficiënt software door je organisatie kan distribueren. Het maken van zo’n app store is echter behoorlijk veel werk en het is de vraag of het dat waard is. “Bedrijven worstelen er echt mee”, zegt Bax. Volgens Bax zijn er allerlei technische en financiële zaken waar een bedrijf rekening mee moet houden. “Hoe ga je dat bijvoorbeeld doen met afrekenen? Stel nu je haalt Keynote op, wordt dat dan afgerekend via Apple of via het bedrijf? Ook heb je te maken met vier verschillende app stores en vier verschillende betalingsplatformen. Een behoorlijke investering om dat allemaal te ondersteunen.”
5
