Ik zit er niet op te wachten dat iedereen zijn eigen hardware meeneemt. Wordt ICT belaagd met vragen die geen betrekking hebben op problemen van de business

2017 hè? Dachten we niet 4 jaar geleden dat alles er nu ook heel anders uit zo zien? Vliegende auto's, snelle computers... dat soort dromen. Het zal wel weer schikken.

BYOD, de nachtmerrie voor veiligheid. Kan eigenlijk alleen gebruikt worden met remote desktop oplossingen, want dan heb je controle over de data en de software. Anders ontstaat door de grote verscheidenheid aan software-versies een probleem. Bovendien zal de werkgever toch een vergoeding moeten betalen, want de meesten vertikken het, om te betalen voor spullen die ze voor de baas gebruiken.

Bij ons is dat al een enkele jaren aan de gang. Je stopt het niet. Het beste wat je kunt doen, is er voor zorgen dat je ICT omgeving is ingericht op wijzigingen.

Het management is in het verleden al een paar keer geschrokken van het feit dat men niet was ingericht op wijzigingen. Zie hoe lang het duurt voordat men overal Windows XP werkplekken heeft gemigreerd. Nog erger is het met IE6. Er zijn diverse bedrijven die grote aantallen virtuele werkplekken met IE6 hebben ingericht omdat hun applicaties iets anders niet ondersteunen.

Men raakt steeds meer doordrongen van het feit dat men (open) standaarden moet gebruiken. Dan maakt vervolgens het apparaat niet meer uit. Een nieuwe Android versie is niet zo veel anders dan een nieuwe Outlook (of Microsoft Office).

Peter

Misschien ben ik een old-school informatiebeveiliger, maar heel vrolijk word ik niet van BYOD. Zolang we de Jericho-principes nog niet afdoende technisch kunnen indekken (=bescherm informatie daar waar 't zich bevindt), blijf ik me zorgen maken...

"Met name het vergroten van de toegang voor werknemers en innovatie zijn volgens Gartner de grootste twee ontwikkelingen van het BYOD-fenomeen. Veel bestuurders zouden de voordelen van BYOD echter nog niet begrijpen. "

En Gartner negeert, omdat ze er commercieel belang bij hebben, de nadelen van BYOD.

Als werknemer lijkt het me ook niks... Moet je 2 devices aan gaan schaffen... 1 voor de baas en 1 voor jezelf - je denkt toch niet dat de 'kill switch' van de baas of welke andere software van de baas op een machine waar mijn prive data op staat gezet gaat worden?!

Grappig, ik zie juist dat de BYOD aan het uitsterven is. Na een korte opleving hebben ze bedacht dat er regels moeten komen voor het gebruik van niet bedrijfs middelen. Hieruit blijkt dat de BYOD een draak is. We mogen niet eens meer een eigen USB-stick gebruiken. En ik kan ze geen ongelijk geven.
En hoezo verplicht? Ik heb op mijn thuis PC dingen staan die ik niet op mijn werk PC wil hebben, ik doe thuis ook dingen die ik niet op mijn werk doe. Ik draai thuis OpenSuSE mag ik dat dan ook op mijn werk gebruiken, of verplichten ze mij om ook een Windows licentie te kopen? ICT wordt al nerveus als ik Libre-Office wil gebruiken.
Goedkoper is het natuurlijk niet. Als je je eigen laptop gebruikt heeft het bedrijf geen enkel recht. Wie is er verantwoordelijk bij data verlies/diefstal? Er moet dus een vergoeding tegen overstaan als ze BYOD verplichten.
Ik kost (kost maar krijg het niet) 1,5 ton per jaar en mijn laptop is 1500,- per 5 jaar (en nog 500,- voor software).
BYOD is interessant doenerij.
Als je als bedrijf wilt besparen stuur je een vragen lijst (onder de managers) rond met de vraag of ze BYOD als verstandig bedrijfsvoering zijn. Is het antwoord "ja" kan je deze manager gelijk ontslaan als onbekwaam slecht inzicht en achter hypes aan lopen. Daar heb je dus niks aan.

Ik zit er ook niet op te wachten dat de controlfreaks van IT beheer aan mijn hardware gaan prutsen. Ik heb een keer de fout gemaakt mijn prive telefoon aan de Exchange server van het bedrijf te hangen, en meteen werden er allerlei policies naar het toestel gestuurd die IT beheer toestonden MIJN telefoon remote te wipen en het toestel moest na 15 minuten inactiviteit een lockscreen met een lastig wachtwoord tonen. Verwijderen van het Exchange account verwijderde die policies niet. :-(

Nadat ik m'n eigen telefoon weer heb vrijgehackt wil ik dat dus nooit meer, nu meldt ik IT beheer wel dat mijn toestel geen Exchange ondersteund en dat als ze willen dat ik onderweg bedrijfsmail lees ze me maar een toestel moeten geven dat dat wel ondersteund.

Bijzonder om te lezen dat alle beveiligers hier zo tegen BYOD zijn. Het blijkt toch lastiger dan ik had verwacht om die mindset nu eens om te gooien. Als IT doorgaat met tegen dit soort veranderingen te stemmen, dan zullen ze zich meer en meer buitenspel gaan zetten. Natuurlijk mag je kritisch zijn over wat privé gegevens zijn en wat zakelijk. En natuurlijk wil je niet dat je baas jouw eigen smartphone gewoon kan wipen.
Maar probeer naar de mogelijkheden te kijken i.p.v. alleen naar de problemen.
Als beveiligingsadviseur wil ik met een beperkt aantal devices mijn werk kunnen doen. Dat kan nu nog niet op een eenvoudige en veilige wijze, maar het is wel waar een gemiddelde gebruiker op zit te wachten.

In Azie zijn ze al veel verder en zijn er al bedrijven waar het meenemen van een eigen laptop een onderdeel om ergens aan de slag te kunnen.

Ik heb ooit als systeemontwikkelaar meegemaakt dat een afdeling die de automatisering te omslachtig, te ouderwets en te weinig dynamisch vond verlopen zelf aan het ontwikkelen sloeg. Het moet gezegd worden dat ze geweldige ideeën hadden en uitwerkten, en daar had ik beslist respect voor. Maar na een aantal jaar kwamen ze wel met hangende pootjes bij de professionals aankloppen omdat ze niet meer in staat waren de complexiteit die ze in hun enthousiasme opgebouwd hadden nog te overzien en te beheersen. Ze zaten muurvast. Toen realiseerden ze zich dat die starheid van de automatiseringsafdeling een functie had: continuïteit is op termijn belangrijker dan het gemak van op dit moment met alle winden mee te kunnen waaien, en helaas kost dat inspanning en geld.

Het conservatisme van beveiligers tegen de laatste modegrillen heeft dezelfde functie. Beveiligers zijn verantwoordelijk voor beveiliging. Om die verantwoordelijkheid te kunnen nemen moeten ze regelmatig op de rem trappen. Misschien moeten ze zich inderdaad buitenspel laten zetten in plaats van mee te gaan in ontwikkelingen waar ze eigenlijk geen verantwoordelijkheid meer voor kunnen nemen. Als dan blijkt dat via BYOD wel heel vaak klantgegevens en bedrijfsgeheimen op straat komen te liggen kunnen ze zichzelf en hun management in de ogen blijven kijken. Da's integriteit, en aan een beveiliger zonder integriteit zou ik de beveiliging niet willen toevertrouwen.
Ik neem aan dat de dat niet wilt omdat je beveiligingsadviseur bent maar omdat je het makkelijk vindt. Het heeft altijd gekund, trouwens: het is niet lastig om je werk op een beperkt aantal apparaten te doen; het is lastig om het mengen van werk en privé op een beperkt aantal apparaten te doen.
Dat het nog niet op een eenvoudige en veilige wijze kan is precies de reden dat men er tegen tekeer gaat hier. De opdracht van een beveiliger is om de veiligheid op een vereist niveau te houden, op een redelijk betaalbare en dus eenvoudige manier. Een beveiliger kán niet anders dan hier moeilijk over doen zolang dat niet goed te regelen is.

Natuurlijk moeten beveiligers openstaan voor de wensen van gebruikers. Maar de gebruikers moeten net zo goed openstaan voor eisen die beveiligers stellen. Prettig en vlot kunnen werken met de beschikbare hulpmiddelen is in het bedrijfsbelang, maar beveiliging is dat ook.

De "gemiddelde" gebruiker bestaat overigens niet. Van die "gemiddelde" gebruikers zitten sommigen op het volledig mengen van werk en privé te wachten, maar verlies niet uit het oog dat er ook anderen zijn wiens nekharen daar juist bij overeind gaan staan. Vraag aan vijf mensen hoe volgens hun de ideale oplossing eruitziet en je krijgt gewoonlijk vijf wezenlijk verschillende antwoorden, en veel mensen kunnen zich maar slecht voorstellen dat anderen het anders zien. Als je iets opzet dat iedereen letterlijk zijn zin geeft krijg je een inconsistent en onbeheersbaar gedrocht. Maar ook als niemand strikt genomen zijn zijn krijgt is het meestal wel degelijk mogelijk om iets op te zetten dat consistent en logisch in elkaar zit waar iedereen redelijk tot goed mee kan werken.

Logisch dat mensen een vergoeding willen waarom moet je dat zelf betalen, dan betaal je dus om te werken. Denk dat het ook niet echt handig is als mensen belkosten zelf moeten betalen. Dan bellen ze niet wat veel sneller is maar sturen ze een emailtje waar je misschien 2 dagen op antwoord moet wachten. En wie betaalt je bel/data/sms kosten die je voor de baas maakt? Maar erger dan geen vergoeding is nog dat sommige werkgevers beperken opleggen in elke apps je wel en niet installeren mag. Dus bijvoorbeeld geen games, dropbox, google drive etc. Zit je met je dure smartphone waar je 50 euro abbo per maand voor betaald. Dan zou ik gewoon een pre-paid telefoon kopen van 20 euro.