15 april 2013

Go your own way

image for Go your own way image

Het op elk moment en op elke plek creëren, ontvangen of verzenden van documenten of andersoortige informatie en berichten is heel normaal geworden. Grenzen tussen privé en werk zijn nadrukkelijk aan het vervagen doordat medewerkers ook in hun werkomgeving technologie (willen) gebruiken die in de privé-sfeer vanzelfsprekend zijn.

Het op elk moment en op elke plek creëren, ontvangen of verzenden van documenten of andersoortige informatie en berichten is heel normaal geworden. Grenzen tussen privé en werk zijn nadrukkelijk aan het vervagen doordat medewerkers ook in hun werkomgeving technologie (willen) gebruiken die in de privé-sfeer vanzelfsprekend zijn.

Nieuwe mogelijkheden
Bring your own device (BOYD) is de gehanteerde kreet als de werkgever dit faciliteert. Ook wel onderdeel van de bredere trend consumerization, waarbij nieuwe technologieën eerst in de consumentenmarkt opgang maken en daarna hun intrede doen in bedrijven. Omdat de consument sneller gebruik maakt van nieuwe technologieën is de veronderstelling dat dit innoverend werkt bij de overheid in termen van productiviteit en natuurlijk ook kostenbeperking. Dit wordt in zijn algemeenheid als Het Nieuwe Werken geduid. Daarbij gaat het natuurlijk niet alleen over het gebruik van de own devices, maar ook om het huisvestingsconcept gecombineerd met het flexibel kunnen werken thuis of ergens anders. Het laatste gaat om het geven van meer professionele vrijheid om de ‘afgesproken’ resultaten op een eigen wijze te realiseren binnen eigen tijd, ruimte en tooling. Door hier ruimte in te bieden wordt het werk aantrekkelijker en draagt het bij aan motivatie en arbeidsvreugde. De werknemerstevredenheid neemt toe en maakt het voor een organisatie mogelijk om de goede mensen aan te nemen en vast te houden.
Ook nemen de mogelijkheden toe om werkruimten effectiever te benutten, de werkplekken tegen zo laag mogelijke afschrijvingskosten in te richten en daarmee belangrijke kostenbesparingen te realiseren. Natuurlijk is de aard van het werk in belangrijke mate bepalend in hoeverre dit concept kan worden toegepast. Maar laten we wel zijn, ook administratief registratieve activiteiten kunnen tegenwoordig met cloud computing/virtualisatie zonder hele grote uitdagingen plaats-, tijd- en apparaatonafhankelijk worden uitgevoerd.
Kortom: de nieuwe technologieën bieden allerlei nieuwe mogelijkheden om processen innovatiever in te richten. Met Dropbox, WhatsApp, sms, en andersoortige social media kan overal en op elk moment eenvoudig informatie – tekst, beeld en geluid – worden opgevraagd of vastgelegd (scannen). Deze kunnen ter plekke worden samengevoegd in een verslag of als documentatie dienen voor gedane activiteiten. Ontsluiting aan de bron als het ware en dat kan proces- en efficiencyvoordelen opleveren.

Maar dit roept, naast risico’s op het gebied van informatiebeveiliging, ook vragen op ten aanzien van onder andere reconstrueerbaarheid, betrouwbaarheid en beschikbaarheid van de informatievoorziening.
De own devices zijn over het algemeen unmanaged, waardoor er geen zicht en grip is op de wijze waarop gegevensverwerking en opslag plaatsvinden. Allerlei voorzieningen in de cloud zoals Google Docs, Dropbox en Online Backup maken het voor de gebruikers intuïtief wel heel gemakkelijk. Dat de gegevens ergens in de wereld zijn opgeslagen en makkelijk in handen kunnen vallen van onbevoegden, zal minder tot hun verbeelding spreken.

BYOD-varianten
De AIVD heeft in juli 2012 het adviesrapport1 ‘Bring your own device, choose your own device’ uitgebracht, gericht aan overheidsorganisaties waar overigens ook andere organisaties hun voordeel mee kunnen doen.
De lijn van het rapport is dat de rijksoverheid de risico’s rond BYOD kunnen verminderen door maatregelen te treffen in de techniek, in beleid en processen rond aanschaf en in het gebruik van mobiele apparatuur. Maatregelen die – uitgaande van een degelijke analyse van te beschermen belangen, dreigingen en risico’s – sterk afhankelijk zijn van de BYOD-uitvoering die toegestaan wordt. Strekking is dat als er weinig mogelijkheden zijn om de devices te beschermen, het verstandig is alleen BYOD-varianten toe te staan waarin zo min mogelijk gegevens op het device terechtkomen.

In het adviesrapport worden drie varianten onderscheiden:

  • unmanaged open device, zoals dat in de winkel ligt De controle over de beveiliging wordt overgelaten aan de gebruiker van het device. Voor bedrijfsmatig gebruik worden de standaardapplicaties van het device gebruikt of applicaties die door de gebruiker zelf gekozen zijn.
    Voor- en nadelen:
    + meest flexibele vorm voor de gebruiker;
    – onduidelijkheid over de veiligheid door afhankelijkheid van leverancier en meegeleverde applicatie(s);
    – er kunnen gemakkelijk veel gegevens op het device achterblijven.
  • mobile display
    Er bevinden zich weinig of geen gegevens op het device, maar een toepassing wordt gebruikt om de schermuitvoer van een applicatie in de backoffice op het device ‘virtueel’ weer te geven.
    Voor- en nadelen:
    + minimaliseert de hoeveelheid gegevens op het device;
    + commerciële oplossingen beschikbaar om werkomgevingen gevirtualiseerd op het device weer te geven en te gebruiken;
    + geeft de organisatie ruime controle over het gebruik;
    – is een tussenvorm in de vrijheid van gebruik; privé de eigen apps, zakelijk de mobile display-app;
    – breedbandige en betrouwbare internetverbinding is nodig om te kunnen werken;
    – niet bruikbaar op locaties waar geen internetverbinding beschikbaar is.
  • managed device met beveiligde apps
    In deze vorm worden gegevens alleen op het device ver werkt en opgeslagen binnen een beveiligde applicatie met vertrouwde versleutelde hardware/gegevens en aanvullende technische beveiligingsmaatregelen.
    Voor- en nadelen:
    + de data op het device worden beschermd op het niveau dat de organisatie zelf nodig vindt;
    + de organisatie heeft volledige controle over de gebruikte beveiligingsmaatregelen en kan daarom gevoelige informatie uitwisselen tussen het device en de backoffice;
    + ook zonder internetverbinding kan gewerkt worden (door met enige regelmaat de gegevens met de centrale omgeving te synchroniseren);
    – vergt de ontwikkeling van specialistische software en verhoogt de kosten van deze oplossing.

Ontwikkelfasen
Een ander perspectief om naar de invoering van BYOD te kijken (in termen van ‘waar sta je’) is analoog aan de ontwikkelfasen van het INK-model. De logica gaat ervan uit dat ontwikkelingen zich voordoen in een waarschijnlijke volgorde: een eerste initiatief leidt tot ervaringen en inzichten, roept nieuwe vragen op en verklaart volgende beslissingen. De fasen worden als volgt beschreven:

Fase 1: Honoreren
Deze fase begint met de vraag: kunnen we iets met tablets en/of smartphones. Empowerment van de individuele medewerker (HRM-beleid) is de drijfveer. Medewerkers willen graag gebruik maken van een mobiel apparaat en een of meerdere afdelingen zien het zitten. Er is geen helpdesk, collega’s leggen elkaar uit hoe het werkt en welke handige dingen je ermee kunt doen. Er wordt aangedrongen op wifi in het gebouw en toegang tot niet-kritische werkgerelateerde webapplicaties. De voordelen zitten op het niveau van nieuws volgen, debatten volgen, WhatsApp’n, buienradar raadplegen voor de lunchpauze, files of OV-vertragingen checken et cetera. Risico’s ontstaan als gezocht wordt naar mogelijkheden voor verdere integratie in het werk. Beschikken over en delen van documenten gaat via g-mailaccounts/ dropboxen en contactgegevens gaan in de cloud.

Fase 2: Toegang regelen
Medewerkers met het device krijgen toegang tot functies binnen het beschermde domein van de organisatie. Identificatie en authenticatie worden geregeld en maatregelen worden genomen om data af te schermen. Het gebruik breidt zich uit naar bijvoorbeeld het kunnen raadplegen van vergaderstukken. Risico’s rond informatiebeveiliging en hacking/antivirus spelen een grotere rol. Maatregelen beperken de medewerkers om ongewenste toegang te voorkomen of om tegen te gaan dat data te gemakkelijk naar buiten gehaald worden. De nadruk van het beleid breidt zich uit naar ICT-beheer en -beveiliging. Initiatieven voor digitale bewustwording van gebruikers krijgen vorm.

Fase 3: Integreren bedrijfsprocessen
De vraag naar beschikbaarstelling van data en applicaties neemt toe. Er komen apps en er worden maatregelen genomen met betrekking tot uptime van applicaties. De ontwikkeling zorgt ervoor dat het lekken via de achterdeur afneemt. De aandacht voor digitale bewustwording neemt verder toe. Voor de helpdesk verdwijnt langzaam maar zeker het onderscheid tussen de interne systemen en de mobiele apparaten. De nadruk van de beleidsvorming breidt uit naar Het Nieuwe Werken, ‘any time and any place’. Het inrichten van autorisatieprofielen van medewerkers vergt denkwerk. Monitoring van gebruik en processen wordt ingericht om de overleggen te voorzien van informatie. Er groeit een common sense over de do’s en don’ts.

Fase 4: Samenwerken
Oplossingen worden vanzelfsprekender. Waarom zelf iets verzinnen als hergebruik al heel behoorlijk de oplossing lijkt te zijn? Ingegeven door een visie op het digitaal ‘samen’ werken in de keten worden uitgangspunten en inzichten meer gedeeld en besproken. Een gemeenschappelijk beoordelingskader wordt samengesteld en er worden standaarden afgesproken. Waar opportuun worden gemeenschappelijke functionaliteiten gedeeld. De behoefte aan en afstemming over rijksbrede beleidsvorming groeit. ‘Any time, any place and any device’ komt tot wasdom.

Fase 5: Standaardiseren en uniformeren
Uitrol van releases en het simultaan overstappen op de nieuwe ontwikkelingen zijn aan de orde. Het beheren van standaarden, standaardoplossingen en interoperabiliteit vergen een steeds nauwere samenwerking. De noodzaak om de departementale en rijksbrede beleidsvorming beter op elkaar af te stemmen neemt toe. De integratie van bedrijfsprocessen wordt rijksbreed opgepakt. Opnieuw vergen de inrichting van autorisatieprofielen en de procedures rond autorisatie weer denkwerk.

Geen sinecure
De invoering van het concept BYOD is geen sinecure, laten we wel zijn. Er zal nog het nodige voor moeten worden onderzocht, ontwikkeld of in kaart gebracht om op de goede momenten de juiste keuzes te maken.
Uitgangspunten die als richtlijn kunnen dienen bij invoering, het beheer en gebruik van mobiele devices zijn:

  • Richt het beleid niet in op devices, maar op toegang tot data en functionaliteiten.
  • Niet de techniek is leidend, maar de afspraken die gemaakt worden omtrent (de mogelijkheden van) het werken met mobiele devices, geplaatst in een breder kader van Het Nieuwe Werken en tijd-, plaats- en apparaatonafhankelijk werken.
  • Veilig gebruik van de mobiele devices valt of staat met verantwoord gebruik door de medewerker (awareness). Van belang is medewerkers op hun verantwoordelijkheden te wijzen en richtlijnen voor gebruik mee te geven.
  • Bij het werken met mobiele devices is de afhankelijkheid van de devices en de techniek groot. Wanneer de techniek faalt of niet goed op orde is, wekt dit irritatie op bij medewerkers en zorgt dit voor minder productiviteit. Het is daarom belangrijk dat de basisvoorzieningen, bijvoorbeeld toegang tot een snelle internetverbinding, op orde zijn.

Bring your own device is het lonkend perspectief, maar gezien de voorliggende uitdagingen nog ver van go your own way.

w.a.rombout@minocw.nl, Wil Rombout is wnd. hoofd Centrale Eenheid Informatiehuishouding, Directie FMICT, Ministerie van Onderwijs Cultuur en Wetenschap.



1
https://www.aivd.nl/@2923/bring-your-own/