cloud innovation by Macaw
Een veilige, kostenefficiënte Bring Your Own Device-omgeving Zo hou je grip op mobiele apparatuur
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Onder invloed van Het Nieuwe Werken brengen steeds meer medewerkers hun eigen apparatuur mee naar hun werk. Daarbij gaat het vooral om smartphones en tablets. Het is aan CIO’s en IT-managers om hiervoor een Bring Your Own Device (BYOD)-programma op te stellen. Want Bring Your Own Device is geen overwaaiende ontwikkeling. Deze ontwikkeling draait de verhoudingen om: bepaalde eerst de IT-afdeling welke apparatuur en applicaties binnen het bedrijfsnetwerk gebruikt mochten worden, tegenwoordig bepalen de medewerkers dit. De IT-afdeling dicteert niet meer, maar faciliteert. Toch dienen de bedrijfsgegevens zich te bevinden in een veilige, betrouwbare en kostenefficiënte omgeving. Er zijn ook fiscaal-juridische en HR-aspecten mee gemoeid en het is zaak softwarelicenties goed te regelen. Het beheer van al die apparaten dient bij voorkeur te gebeuren in een en dezelfde beheeromgeving als voor het bedrijfsnetwerk plus aangesloten apparatuur. Microsoft heeft hiervoor het Unified Device Management (UDM) ontwikkeld. In deze whitepaper beschrijven we waarom het BYOD-fenomeen zo’n opgang maakt en hoe hiervoor een veilige, kostenefficiënte omgeving is te maken.
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Bepaal tevoren welke visie en strategie de onderneming heeft ten aanzien van BYOD. Betrek daarbij alle betrokkenen: IT-afdeling, HR-afdeling, juridische zaken, financiën, beveiliging en de gebruiker. En bedenk dat de organisaties die dit goed aanpakken in staat zijn talentvolle medewerkers aan te trekken en over het algemeen beter presteren dan bedrijven die geen mobiele strategie uitwerken en toepassen.
van 2012, terwijl het aantal verkochte tablets zal stijgen met 67,9 procent.
Ontstaan van BYOD Sinds de opkomst van het client/server platform zijn IT-afdelingen bezig geweest de automatisering strak in de hand te houden. Consolideren, standaardiseren, documenteren en verordonneren waren de steekwoorden. De IT-afdeling bepaalde welke apparatuur op het bureau kwam, met welke applicaties de medewerkers aan de slag mochten gaan en hoe de software werd gedistribueerd. Dit alles om de kosten van het automatiseringsplatform binnen de perken te houden.
Trends Dat de directie als eerste met tablets en smartphones toegang wilde hebben tot bedrijfsgegevens zal zeker hebben bijgedragen tot de snelle acceptatie van deze apparaten in een zakelijke omgeving. Toch past het gebruik ervan binnen een aantal andere ontwikkelingen.
Bepaalde eerst de IT-afdeling welke apparatuur en applicaties binnen het bedrijfsnetwerk gebruikt mochten worden, tegenwoordig bepalen de medewerkers dit. De IT-afdeling dicteert niet meer, maar faciliteert. Dit concept is volkomen op losse schroeven komen te staan toen de eerste iPads zich begin 2010 aandienden. De interface en het gebruiksgemak bleken overrompelend. Nadien is het iPad-concept veelvuldig ook door andere fabrikanten toegepast en ontstond er een nieuw type computer: de tablet-pc. De iPhone kreeg eveneens snel navolging, waardoor de smartphone zich in de binnenzak nestelde. Volgens onderzoeksbureau Gartner zal in 2013 het aantal verkochte pc’s (dat is inclusief notebooks) dalen met 10,6 procent ten opzichte
Kwade tongen beweren dat het gebruik van dergelijke mobiele apparaten zo’n grote vlucht kon nemen, omdat in eerste instantie de directieleden en ander hoger management met deze ‘speeltjes’ het bedrijf binnen kwamen. Daar kon de IT-afdeling niet tegenop en het concept van Bring Your Own Device vond ingang.
Dan hebben we het over consumentisme: het verschijnsel dat de medewerker in zijn dagelijkse leven beschikt over snellere apparatuur en eenvoudiger te bedienen applicaties dan op het werk. ‘Als ik privé hierover kan beschikken, waarom dan niet op het werk?’ De IT-afdeling kreeg steeds meer het stempel van hindernis, de afdeling die altijd ‘neen’ verkoopt. Mobiliteit is de tweede trend die bijdraagt aan BYOD. Veel medewerkers zijn vaak onderweg. Denk aan verkopers, vertegenwoordigers, maar ook onderhoudspersoneel. ’s Morgens eerst naar het kantoor om de werkbon op te halen en aan het eind van de dag weer naar kantoor om de documenten in te leveren. De gegevens van die werkbonnen moeten dan vervolgens in het systeem worden ‘ingeklopt’. Als de monteur onderweg zelf zijn gegevens invoert, scheelt dat veel (reis)tijd en kosten. Dat kan namelijk onderweg ook gebeuren via internet of een directe telefoonverbinding met ‘het werk’. Door medewerkers op door hen gewenste tijdstippen en plaatsen toegang te verlenen tot het bedrijfsnetwerk kan de organisatie veel kosten besparen. Bovendien zijn verkopers beter voorbereid als zij voordat zij bij een klant op bezoek gaan, op locatie eerst de klantgeschiedenis nog kunnen raadplegen. En bijwerken na afloop van het bezoek.
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Social media: medewerkers willen ook tijdens hun werk in contact blijven met vrienden, maar net zo goed met partners, klanten en prospects.
helpt bij de uitoefening van hun taken. Daarom is het beter een strategie te ontwikkelen opdat ‘illegale BYOD’ niet meer kan voorkomen.
Dankzij steeds betrouwbaardere en snellere (mobiele) netwerken zijn medewerkers in staat om voortdurend contact te onderhouden met het bedrijfsnetwerk en social media. Met Fibre to the Home en 4G kunnen apparaten beschikken over een bandbreedte van bijna 1 GBps.
Dat medewerkers hun eigen tablets en smartphones meenemen, heeft wel wat consequenties. Allereerst op het gebied van beheer. Want ze draaien onder diverse besturingssystemen, waarvan Android, iOS, Windows 8 RT (voor tablets) en Windows Phone 8 de belangrijkste zijn. De vraag is of het bedrijf die allemaal wil ondersteunen. In de praktijk zie je dat sommige organisaties hier paal en perk aan willen stellen. Zij gaan voor het CYODconcept: Choose Your Own Device. Dit laatste biedt medewerkers de mogelijkheid te kiezen uit ‘goedgekeurde’ tablets en smartphones volgens het cafetariamodel. Inkoopvoordeel, betrouwbaarheid en continuïteit in beheer en ondersteuning van ICT spelen een doorslaggevende rol voor organisaties die de keuze beperken.
Tot slot is cloud computing een stimulans gebleken voor BYOD. Want voor velen, vooral voor MKB-bedrijven die niet beschikken over een uitgebreide IT-afdeling, is het een uitkomst de data in de cloud op te slaan, zodat ze niet aanwezig zijn op de mobiele apparatuur en daar een risico vormen bij verlies of diefstal. Microsoft heeft in 2012 aan 250 IT-managers in het MKB gevraagd hoe zij aankijken tegen dit fenomeen. Ze verwachten allen een snelle groei van tablets en smartphones binnen hun organisatie. 27 procent heeft evenwel nog geen beleid opgesteld; en 53 procent geeft zelfs aan de mobiele telefoon niet als onderdeel van hun IT-infrastructuur te zien. Dit is zorgelijk, omdat via e-mail steeds meer zakelijke documenten worden afgehandeld op smartphones.
Dat medewerkers hun eigen tablets en smartphones meenemen, heeft wel wat consequenties. Allereerst op het gebied van beheer. Ze draaien onder diverse besturingssystemen en de vraag is of het bedrijf die allemaal wil ondersteunen. Strategie opstellen Of de IT-afdeling het nou leuk vindt of niet: medewerkers zullen hun eigen apparaten meenemen en zelfs apps erop plaatsen. Gewoon omdat het kan, en omdat het hun
Het is van belang te inventariseren welke medewerkers vragen om BYOD, wat hun beweegredenen zijn, wat hun manier van werken is. Het is van belang te inventariseren welke medewerkers vragen om BYOD, wat hun beweegredenen zijn, wat hun manier van werken is (Zijn ze bijvoorbeeld veel onderweg? Werken ze eerst thuis? enz.?). Kunnen ze goed overweg met de apparatuur, waardoor ze geen beroep hoeven te doen op de helpdesk van de organisatie en genoeg hebben aan zelfhulp? Classificeer vervolgens de data: welke waarde hebben de gegevens voor de organisatie. Dat is nodig om het risico bij verlies of diefstal te bepalen. Stel een gedragscode op voor het gebruik van zelf gekochte apparatuur. Want de gebruikers zullen de zeggenschap over het apparaat moeten delen met het bedrijf waarvoor ze werken. En zij zullen zich moeten
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Een voorbeeld van een Unified Device Management oplossing van Macaw verplichten de apparaten te voorzien van beveiligingssoftware; of akkoord gaan dat ze geen toegang krijgen tot het bedrijfsnetwerk als dat niet in orde is. Zij zullen het beheer van het apparaat in handen moeten geven van de organisatie waarvoor ze werken, ook al staan er privégegevens (als foto’s en filmpjes) op. Spreek ook af waarvoor zij een beroep mogen doen op de helpdesk en wat ze zelf moeten oplossen.
Het valt te overwegen een ‘bedrijfs appstore’ in te richten. Hierin staan alle apps die de onderneming geschikt vindt voor de medewerkers. Juridische aspecten Aan het toestaan dat medewerkers hun eigen apparatuur meenemen, zitten wel wat juridische aspecten. Allereerst de financiën. Tenslotte kopen de medewerkers iets wat zij voor het werk gebruiken. Het is zaak om daar een regeling voor te treffen, waarbij u moet letten of de fiscale aspecten. Dat geldt ook voor de apps die zij zelf aanschaffen. Wat dat laatste betreft: zorg dat je weet welke
apps er in gebruik zijn om licentieproblemen te voorkomen. Het valt te overwegen een ‘bedrijfs appstore’ in te richten. Hierin staan alle apps die de onderneming geschikt vindt voor de medewerkers (uitgekozen na intensief en continu overleg met die medewerkers). De medewerkers verplichten zich alleen apps uit deze bedrijfsomgeving te halen. Compliance – het voldoen aan bestaande wet- en regelgeving – speelt hier ook een rol. Ondernemers zijn verantwoordelijk voor klantgegevens. Zij zijn aansprakelijk als die ‘op straat komen te liggen’. Dat geldt evenzeer voor gegevens die via apparatuur van de medewerkers lekken. Dit moet worden afgedicht. Ten slotte noemen we de mogelijkheid dat een medewerker verboden materiaal op zijn tablet op smartphone heeft staan (denk aan illegale software of seksueel getinte content) dat door een onveilige koppeling het bedrijfsnetwerk kan vervuilen. Een goede beveiliging en beheer en vooral een goede communicatie met de medewerkers zijn hierbij de sleutelbegrippen. Zorg ervoor dat iedereen op de hoogte is van de bedrijfsstrategie en de regelingen die hieruit voortvloeien.
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Goede beveiliging Wie bovenstaande tot zich laat doordringen, bekruipt wellicht de neiging toch weer alles te verbieden. Maar dat is geen optie. We beschreven al dat de organisatie voordeel heeft bij BYOD. Ook zou je kunnen denken dat het een onbegonnen zaak is om dit alles goed te beveiligen en te beheren. Maar dat is niet waar. Daar gaan we nu verder op in. Beveiliging begint met het vaststellen van de gedragsregels. Wie zijn e-mail via de smartphone of tablet laat lopen, of andere bedrijfsgegevens erop bewaart, dient zijn apparaat te beveiligen via minstens een (complex) wachtwoord of pincode. En bovendien zo instellen dat het apparaat zich meteen vergrendeld als het niet wordt gebruikt. Op die manier kan iemand een onbeheerd toestel niet zomaar gebruiken. Ook is het verstandig afspraken te maken over welke informatie wordt gesynchroniseerd en wanneer, en wat de maximale grootte is van bestanden die mogen worden gedownload en gesynchroniseerd.
Microsoft heeft de laatste tijd mobiel gebruik als speerpunt bij de ontwikkeling van zijn producten en diensten en biedt de beheerder tools om dit goed te regelen. Zorg ervoor dat alle gegevens versleuteld op het draagbare apparaat staan. Zorg er ook voor dat de besturingssystemen en applicaties op de tablets en smartphones steeds up-to-date zijn om een doorbraak te voorkomen. Dit kan geautomatiseerd, onder toeziend oog van de beheerafdeling. Microsoft heeft de laatste tijd mobiel gebruik als speerpunt bij de ontwikkeling van zijn producten en diensten en biedt de beheerder tools om dit goed te regelen. Regel ook de toegang tot het bedrijfsnetwerk. Zorg voor authenticatie, zodat je zeker weet dat de medewerker in kwestie hoort bij het apparaat dat toegang vraagt. Draadloos netwerk Medewerkers die met een smartphone en/ of tablet rondlopen, verwachten meteen en automatisch verbinding te krijgen met het draadloze bedrijfsnetwerk zodra zij het kantoor, de winkel of de bedrijfshal binnenstappen.
Zorg dus voor een draadloos netwerk met de juiste dekking. Ook hier geldt weer de authenticatie als beheermiddel. In verband met het beheer is het belangrijk uit te zoeken welke tools hier de beste oplossing bieden. Een interessante ontwikkeling is Meraki, dat eind 2012 door Cisco is gekocht. Meraki is gespecialiseerd in Wi-Fi technology, switching, security en mobile device management (MDM). Het is een cloudgebaseerde netwerkoplossing die goed aansluit bij BYOD. Goed beheer Dan komen we bij het beheer van al die draagbare apparatuur. De term mobile device management is al gevallen; Het meest efficiënt is het natuurlijk als de beheertool naadloos aansluitop de beheersoftware die al in gebruik is binnen de organisatie. Voor het beheer van de traditionele pc’s en notebooks gebruiken veel grotere organisaties al Microsoft System Center Configuration Manager. Binnen het MKB is daarvoor de cloudgebaseerde evenknie Windows Intune. Met de gebruikers is – via het indiensttredingcontract - al afgesproken dat wanneer zij hun persoonlijke mobiele apparaten zakelijk willen gebruiken zij het beheer moeten toelaten op hun apparaten, zoals eerder besproken. Traditionele MDM-oplossingen fungeren als een soort SILO. Dat wil zeggen dat elke SILO een bepaald probleem oplost, in dit geval MDM. Voor elk van de problemen gebruik je een eigen SILO-oplossing. In de tijd waar TCO van de werkplek voortdurend onder druk staat kan je wel nagaan dat het toevoegen van dergelijke oplossingen niet bijdraagt aan een verlaging van de TCO. Unified Device Management De MDM-oplossing van Microsoft sluit naadloos aan op de al bestaande beheeromgevingen System Center Configuration Manager en Windows Intune. Daardoor ontstaat er een Unified Device Management (UDM)oplossing. Dit betekent dat de beheerder vanuit één console alle apparaten (traditionele en mobiele) kan overzien en beheren. De UDM-oplossing is geïntegreerd met Active Directory, zodat alle rechten en plichten van gebruikers (de policies), automatisch zijn te benutten. Er is geen dubbel werk nodig op dit vlak, hetgeen het beheer efficiënter maakt. Microsofts UDM (inclusief de eerste service pack) biedt ondersteuning aan Windows 8, Windows RT, Windows Phone 8, Android en het Apple-platform iOS.
Een veilige, kostenefficiënte BYOD-omgeving| Whitepaper Macaw
Eén van de uitkomsten van het eerder aangehaald onderzoek door Microsoft naar BYOD was dat ITmanagers graag meer tijd willen besteden aan het volgen en invoeren van nieuwe ontwikkelingen. Nu zijn ze vooral veel tijd kwijt aan reguliere werkzaamheden (26%) en het oplossen van helpdeskproblemen (24%). Door een geïntegreerde UDM-oplossing te gebruiken, kunnen zij efficiënter met hun tijd omgaan en hebben dan inderdaad de gelegenheid om zich met nieuwe zaken bezig te houden.
Omdat het MDM-component standaard onderdeel is van Windows Intune, worden elke zes maanden automatisch nieuwe of verbeterde functionaliteiten doorgevoerd, zodat de beheerafdeling hier geen omkijken naar heeft. Geen agents Voor het beheer van mobiele apparatuur worden gewoonlijk agents op de tablets en/of smartphones geplaatst. Dit zijn kleine stukjes software die continu controleren wat er op dat apparaat gebeurt en dit terugkoppelt naar een server. De beheerder heeft dus de volledige controle over het apparaat. Omdat de verbinding altijd open staat, kan hij software pushen naar het mobiele toestel maar heeft hij bijvoorbeeld door het gebruik van GPS ook altijd inzicht waar het apparaat zich bevindt. Microsoft pakt dit met UDM anders aan en legt de controle bij de gebruiker neer. UDM gebruikt geen agents (zogenoemd agent less beheer). Er wordt standaard gebruik gemaakt van de beheermogelijkheden die in het mobiele besturingssysteem zitten. Daarmee legt Microsoft, vanuit functioneel oogpunt, de focus op de controle van het apparaat bij de gebruiker. Want de medewerker wil toch dat hij/zij zelf – en niet de organisatie – bepaalt wat er met zijn/haar (particulier) apparaat gebeurt? Omdat het MDM-component standaard onderdeel is van Windows Intune, worden elke zes maanden automatisch nieuwe of verbeterde functionaliteiten doorgevoerd, zodat de beheerafdeling hier geen omkijken naar heeft. Het component integreert naadloos in System Center, zodat alles vanuit één console is te beheren.
Microsoft omarmt met UDM de eerder aangehaalde ‘bedrijfs appstore’. In de company store worden bedrijfsapplicaties centraal aangeboden en kiezen gebruikers zelf welke toepassingen ze willen installeren. Door dit onderdeel te centraliseren is licentiebeleid beter uit te voeren en kunnen ook selectief gegevens van de apparaten worden verwijderd bij uitdiensttreding. Bij het selectief verwijderen van gegevens worden alleen de applicaties en bestanden die zakelijk gebruik werden of eigendom zijn verwijderd van de apparaten. Privé applicaties en e-mail blijven netjes achter op het toestel. Conclusie BYOD is een niet te stuiten ontwikkeling, omdat het de organisatie voordelen biedt. Beveiliging en beheer zijn goed en kostenefficiënt in te richten. Microsoft heeft speciaal voor het beheer van al die apparaten het Unified Device Management in het leven geroepen. Voorwaarden zijn wel dat de organisatie een strategisch plan opstelt over hoe om te gaan met dit fenomeen. Daarbij is niet alleen aandacht nodig voor de technische aspecten, maar ook voor de juridische/ financiële aspecten die hiermee samenhangen.
*********************************** Colofon Deze whitepaper is een uitgave van Macaw. Auteur(s): Maarten Wiese, solution architect Macaw Copyright © Niets uit deze uitgave mag worden overgenomen en/of op enigerlei wijze worden gereproduceerd zonder toestemming van Macaw Contact Macaw | Beechavenue 140 | 1119 PR Schiphol-Rijk T: +31 20 8510 510 | E:
[email protected] | www.macaw.nl Onze visie op cloud-technologie en -ontwikkelingen kunt u vinden op www.cloudaviator.nl
