Wanneer wordt IT volwassen?

Regelmatig krijg ik ‘oplossingen’ onder ogen van de grote IT producenten om de door hen geconstateerde uitdagingen van het BYOD (Bring Your Own Device) concept op te lossen. Dit betreft vrijwel altijd issues met betrekking tot beveiliging en beheer.
Ik vraag me af waar deze MDM (Mobile Device Management) producten vandaan komen: zijn er echt zoveel IT-ers die denken dat ze dit nodig hebben, of laten ze zich deze behoefte aanpraten door de industrie, die denkt: “een nieuwe hype, dan ook nieuwe management tools”.

In ons vakgebied komt het regelmatig voor dat werknemers rondsjouwen met 2 of zelfs 3 laptops, één voor iedere klant waar zij op dat moment voor werken en één van de eigen werkgever. Waarmee ze ook nog proberen om de belangrijkste gegevens gesynchroniseerd te houden met hun privé laptop. Omdat voor de verschillende bedrijfssystemen alleen specifieke, volledig beheerde en volledig dichtgezette laptops ingezet mogen worden. En bedenk dan dat het in 90% van de gevallen om mail, agenda, documenten en web interfaces naar die bedrijfssystemen gaat. Dat is toch niet wenselijk? Bovendien nog slecht voor je rug ook.



Stel dat je eenzelfde beleid invoert voor smartphones of tablets. Als je meerdere opdrachtgevers tegelijkertijd hebt, loop je dus de kans met 3 of 4 smartphones rond te lopen, meerdere laptops en/of tablets. Met 3 of 4 verschillende nummers, verschillende agenda’s, verschillende mail systemen. Dat zou toch niemand als reële optie willen zien.
De tijd dat organisaties gesloten bolwerken waren waar onder door IT opgestelde restricties toegang tot kon worden verkregen is echt voorbij. En daarmee dus ook de tijd dat IT kon bepalen waaraan een apparaat moest voldoen om die toegang te krijgen.
Het moet echt anders. Banken doen dat al. Ongeacht het apparaat en ongeacht hoe de beveiliging ervan geregeld is, banken leveren ‘apps’ waarmee we geld kunnen overmaken door middel van niets meer dan een 5-cijferige code. Weliswaar beperkt tot een bepaald bedrag, maar toch. We kunnen zonder verdere toestanden onze rekening gegevens opvragen, saldo’s bekijken, kortom al die zaken die wij erg graag ‘geheim’ willen houden en een hoge mate van vertrouwelijkheid hebben.

Als banken onze meest vertrouwelijke gegevens op deze wijze kunnen aanbieden, ongeacht het apparaat en ongeacht hoe dat beveiligd is of niet, waarom zouden bedrijven hun interne gegevens dan ook niet op die manier aan hun medewerkers ter beschikking kunnen stellen? Waarom is het nodig dat daarvoor de apparaten beheerd worden, dat er specifieke toepassingen voor nodig zijn of dat er beperkingen zijn in de locatie van het apparaat?

Het antwoord is: omdat er vanuit IT geredeneerd wordt en IT denkt verantwoordelijk te moeten zijn voor de vertrouwelijkheid van gegevens. Maar feitelijk vraagt IT daarmee meer van zichzelf dan nodig en terecht is. Informatiebeveiliging is niet de taak van IT, het is de taak van de eigenaar van de gegevens om ervoor te zorgen dat misbruik ervan wordt voorkomen. Als een gegevenseigenaar van mening is dat zijn gegevens niet zo gevoelig zijn, prima. Omgekeerd, is hij van mening dat zijn gegevens erg ‘geheim’ zijn, dan moet hij ervoor zorgen dat degene die van die gegevens gebruik maken, er secuur mee om gaan. IT kan dat faciliteren indien gevraagd, maar moet het niet per se afdwingen.

Dat geldt zeker voor ‘own devices’. De eigenaar van het apparaat is verantwoordelijk voor het apparaat en daarmee ook de gegevens die erop staan. Niet een IT afdeling, en niet een organisatie. Als de eigenaar daar onzorgvuldig mee omgaat, bestaat de kans dat bij verlies of diefstal de gegevens die opgeslagen zijn op het apparaat, misbruikt worden. Nu zijn dat bij privé apparaten voor het grootste deel privé gegevens: persoonlijke adresboeken, social media gegevens, foto’s, agenda (met je vakantie erin) etc. Die zijn interessant voor een aantal kwaadwilligen: je vakantieplanning omdat het huis dan niet bewoond is, je adresboek voor spam, je social media gegevens voor identiteitsfraudeurs en als je toevallig ook nog e-wallet of e-banking gebruikt valt daar mogelijk ook nog wel wat te misbruiken. En foto’s of filmpjes die ongewild op Youtube terecht zouden komen kunnen voor afpersing worden gebruikt.

Daarnaast zullen er, bij zakelijk gebruik van het privé apparaat, ook nog wel wat zakelijke e-mails op staan, misschien wat documenten, een zakelijke agenda en contactpersonen en applicaties die toegang bieden tot bedrijfsinformatie. Ook vervelend als die in verkeerde handen komen, maar voor de eigenaar van het apparaat lang niet zo vervelend als al die privé zaken. Het is dus eigenbelang voor bezitters van smartphones, tablets en andere mobiele apparatuur, dat zij die voorzien van middelen om ze bij verlies of diefstal zaken van afstand te kunnen wissen en blokkeren. Om persoonlijke schade te voorkomen. En daarmee volgt automatisch een zekere bescherming voor de zakelijke zaken die op het apparaat gebruikt worden.

Het is een kwestie van tijd voor dit bij de bezitters van deze apparaten doordringt. ‘Je kunt alles van me krijgen, behalve mijn pincode’ heeft ook even tijd nodig gehad. En dat geldt ook voor de access code van smartphones.

Wordt zo’n privé device zakelijk gebruikt, dan is het in ieder geval niet de bedoeling dat er allerlei zaken op geïnstalleerd moeten worden die het gebruik van het apparaat beperken en tegen het beleid van de eigenaar in, allerlei instellingen gaan aanpassen. Net zoals de banken dat doen, zou een simpele app met een eenvoudige toegangscode voldoende moeten zijn om bij de bedrijfsgegevens te kunnen komen.

Ook de gegevenseigenaar heeft een verantwoordelijkheid. Hij zal eisen dat de gegevensgebruikers de nodige maatregelen nemen om verlies of diefstal van vertrouwelijke gegevens te voorkomen. Hoe? Door het belang daarvan bij de gegevensgebruikers duidelijk te maken. Door de gegevensgebruikers verantwoordelijk te maken voor het behoud van vertrouwelijkheid. Dat is een management taak en geen IT verantwoordelijkheid.

Vervolgens kan de gegevenseigenaar samen met IT kijken op welke wijze de gegevensgebruiker geholpen kan worden bij het nakomen van zijn of haar verantwoordelijkheid. Daar zijn meerdere technische invullingen voor. Mogelijk is een ‘virtual machine’ daar een invulling van, zoals flink wat leveranciers graag als oplossing aandragen. Misschien ook niet. Misschien is het voor bepaalde gegevens toch zowel in het belang van de gegevenseigenaar als de gegevensgebruikers beter om dat alleen met een volledig beheerd en gecontroleerd apparaat te doen. Zoals veel beveiligingsbedrijven als oplossing aandragen. Maar waarschijnlijk is dat niet en het is dan geen ‘own device’ meer.

MDM is daar dus geen oplossing voor, sterker, het zal het gebruik van ‘own devices’ alleen maar remmen waardoor het werk uiteindelijk minder effectief gedaan zal worden omdat de medewerkers dan nog werk en privé zaken blijven scheiden en niet de voor hen meest optimale instrumenten kunnen gebruiken voor het werk. Uitgaan van de noodzaak tot beveiliging en beheren van de apparaten zelf met als doel het beperken van de toegang tot het netwerk van een organisatie is overbodig en ongewenst. Nee, de echte oplossing zal liggen in het ‘immuniseren’ van de gegevens. Leven als een kasplantje in een volledige afgeschermde en steriele ruimte zal ons niet beschermen tegen alle kwade invloeden van buitenaf, bovendien is het geen leven. Daarom proberen we ons tegen de meeste kwade invloeden te immuniseren. En mocht dat onvoldoende blijken, geneesmiddelen voorhanden te hebben.

Gegevens bewaren als een kasplantje in een volledig afgeschermde en gecontroleerde omgeving zal evenmin beschermen tegen alle kwade invloeden van buitenaf, en dus is immuniseren de logische volgende te nemen stap. En net zoals in het echte leven, zal de basis van immuniseren het accepteren van een bepaald risico zijn: we kunnen ons niet tegen alles immuun maken; we zorgen er voor dat geneesmiddelen voorhanden zijn als het mis gaat. Daarbij ontwikkelen we steeds meer en betere geneesmiddelen.
Banken accepteren een zeker risico met internet bankieren of bankieren via apps. Het geneesmiddel is de schadeloosstelling voor gedupeerden, omdat zij de slachtoffers zijn. En naarmate er meer gebruik wordt gemaakt van deze bank toepassingen, evolueert de wijze waarop schadelijke elementen gedetecteerd worden en wordt de immuniteit van het systeem verbeterd.

Kern hierbij is dat de immuniteitsschil direct rond de vatbare gegevens zit, onze bankrekeninggegevens, en niet, zoals bij MDM, geprobeerd wordt te voorkomen dat er schadelijke elementen optreden door van het hele ecosysteem één steriele ruimte te maken.

Immuniseren vereist in de basis anders denken over applicaties. Als er goede apps gemaakt worden die vrijwel geen lokale gegevens opslaan, alleen de puur noodzakelijke en versleuteld, is er al weinig reden om je als organisatie of IT afdeling druk te maken over het gebruikte apparaat, laat staan de controle erover moet hebben. Maar er zijn nog veel CRM en ERP applicaties die monolitisch van opbouw zijn. Die zullen in ieder geval aangepast moeten worden. Dankzij de opkomst van social media wordt het principe van totaal gescheiden gegevensopslag en gebruikerstoepassing al steeds vaker toegepast, maar er is nog een grote hoeveelheid legacy systemen die niet op deze wijze kunnen werken. En daar willen we echt van af.

De volgende stap is het creëren van bewustwording en verantwoordelijkheid bij de gebruikers van de toepassingen. Ook dit verschilt niet van het gewone leven. Ook daar moeten we ons bewust zijn van de wijze waarop we allerlei ziektes kunnen oplopen, en maatregelen nemen om dat risico zo klein mogelijk te houden. Handen wassen na toiletbezoek, hand voor de mond als je niest, geen eten van de straat in je mond steken; het wordt ons al vroeg geleerd. En dat zal ook moeten gebeuren met IT toepassingen.
Dat kan, maar zo’n traject moet niet onderschat worden. Het overslaan van deze stap of het nog werken met legacy toepassingen die geen duidelijke scheiding tussen gegevens en gebruikerstoepassingen hebben zijn redenen dat BYOD invoeringen vaak niet het gewenste resultaat opleveren.

Als BYOD alleen zou gaan om de keuze tussen een privé of zakelijk apparaat, wat letterlijk gezien wel is wat BYOD betekent, dan schiet het BYOD concept tekort. Ongeacht of MDM ingezet wordt of niet, het zal eerder geld kosten dan iets opleveren voor de organisatie die BYOD in de meest letterlijke interpretatie invoert.

Willen organisaties echt voordeel halen uit de uitgangsgedachte van BYOD, dan zal er veel omvattender gedacht en gehandeld moeten worden: immuniseren van systemen, bewustwording en verantwoordelijkheid creëren bij de gebruikers. En dat alles ingebed in een organisatiecultuur en een beleid dat werken op deze manier toelaat en de risico’s die aan deze wijze van werken verbonden zijn erkent en er rekening mee houdt.

Hiertoe is een nieuwe visie nodig. Een visie waarin met al die zaken rekening wordt gehouden die het werken met persoonlijke voorkeuren van mensen, op een wijze waarmee zij hun werk naar hun mening het makkelijkst en beste kunnen doen, op een wijze die voordeel oplevert voor de organisatie waarvoor zij werken.