Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

BYOD: Bring your own disaster

 

Kurt de Koning

Enkele jaren geleden is byod, samen met het nieuwe werken gepresenteerd als de ‘silver bullet’ waarmee organisaties hun it-kosten konden verlagen, beter aansluiten op de it-behoefte van de medewerkers en tenslotte ook een hogere medewerkerstevredenheid realiseren. Dat laatste was dan weer goed voor de productiviteit.

Inmiddels is byod alweer diverse posities gezakt op overzichten en bij meerdere organisaties een hoofdpijndossier rijker met name wanneer beveiligingsaspecten aan de orde kwamen. Verder terugkijkend, zien we dat in de praktijk ook het kostenvoordeel erg tegenviel.

'Utopia'

In een waar Utopia hebben organisaties jonge wizzkids in dienst met de laatste eigen digitale hulpmiddelen waar ze helemaal op ‘los’ zijn. Gemakkelijk switchen ze tussen smartphone, tablet en notebook waar ze eigen apps op hebben lopen. In tegenstelling tot een trage en verouderde it-afdeling die niets snapt van wat ze nodig hebben om effectief te zijn.

Door eigen ‘devices’ toe te staan in de werkomgeving voor een financiële vergoeding, kunnen deze wizzkids veel efficiënter en effectiever werken en zijn ze nog gelukkiger ook. Iedereen winnaar!

‘Disaster’ op de service desk

Helaas is de werkelijkheid anders, veel medewerkers zijn helemaal geen wizzkid. In tegendeel, het zijn eerder digibeten die hun smartphone, tablet, notebook uitsluitend gebruiken voor basics zoals internet, financiële administratie en vooral veel spelletjes en wat porno op zijn tijd.

Als daarnaast de afdelingsmanager, medewerkers ook nog eens stimuleert om gebruik te maken van eigen ‘devices’, wordt byod al snel: Bring Your Own Disaster. Op afdelingsniveau zakken de it-kosten, doch deze komen als een boemerang terug op de support afdeling, te beginnen bij de service desk.

Jarenlang heeft de it-organisatie ingezet op standaardisatie om de (beheer)kosten omlaag te brengen. Met byod gebeurt het tegenovergestelde. Gebruikers brengen niet alleen hun eigen ‘devices’ mee naar werk, ook hun problemen.

Want als iets niet werkt wordt dit als eerste gemeld bij de service desk. Deze moet opeens support leveren op voor hen onbekende ‘devices’ waarvan de melder ook geen kennis heeft. Die kinderen heeft die het ‘device’ gebruiken om spelletjes op spelen, vergeven van virussen, niet kunnen overnemen, et cetera. Het gevolg: De supportkosten vliegen omhoog. Daarnaast is de gebruiker ook veel (niet productieve) uren bezig om een en ander te begrijpen en uit te vogelen.

Bezint eer ge begint

Moeten we dan stoppen met byod? Dat niet perse, maar mijn advies is wel om eerst vooraf inzicht proberen te krijgen in de totale kosten van byod:  Total cost of ownership (tco). Een business case opstellen dus. En ook na de invoering van byod is monitoring van de werkelijke kosten op zijn plaats. Hou er hierbij ook rekening mee dat individuele abonnementen op services van medewerkers bij elkaar meer kosten dan een organisatie kan bedingen door een volume afname.

Naast onze eigen praktijkervaring zijn er ook meerdere publicaties geweest die eenzelfde beeld geven: Bij een aanzienlijk deel van de organisaties is de tco juist toegenomen en bij een nog groter deel, zijn de werkelijke kosten van byod zelfs onbekend.

Verschuiving

Inmiddels zien we een verschuiving optreden, waarbij aan de ene kant de verwachting rond byod niet volledig wordt waargemaakt op het gebied van kosten en zeer zeker ook op het gebied van beveiliging. Aan de andere kant zien we it-afdelingen middelen aanbieden die beter aansluiten op de behoeftes van gebruikers en hier ook meerdere keuzes in hebben. In steeds meer organisaties is het dan ook niet meer toegestaan om privé-middelen in te zetten voor zakelijk gebruik, met een verwijzing naar de mogelijkheden die vanuit de eigen organisatie wordt geboden.

Iedereen winnaar?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5432614). © Jaarbeurs IT Media.

8,4


Lees meer over


 

Reacties

Prima verwoord wat mijn bedenken zijn tegen dit soort zaken is. Hoewel het niet eenvoudig is dat een bepaalt soort medewerker aan zijn/haar verstand te peuteren.
Als werkgever kun je het nooit iedereen naar de zin maken maar je kunt wel duidelijke en logische regels opstellen die iedereen kan begrijpen.

In de TCO berekening zouden dan voor een volledige businesscase ook de rendementsvoordelen moeten worden opgenomen. Het gegeven dat men effectiever kan werken is eveneens uit te drukken in een getal. Sluit me aan bij de schrijver dat ook mijn verwachting is dat BYOD meer een hebbedingentje voor vele is, dan een hulpmiddel om effectiever te werken! Erik

En ondertussen werken we heel effectief verder op onze Citrix terminal met Internet Explorer 7.

Inderdaad goed artikel, er wordt vaak BYOD ingevoerd (al dan niet officieel) zonder goed plan. Ik ben persoonlijk meer voor CYOD zodat je zelf als IT shop de inregeling van de devices in de hand hebt (wat kan en wat kan niet). Verder kun je evt tooling/SW (zoals Good Technology) gebruiken om in een veilige omgeving te werken.

Ik zou zeggen: wen er maar vast aan. Clouddiensten zullen de komende jaren meer en meer het IT-landschap veroveren en dan is de vraag welke device daarvoor gebruikt wordt echt minder relevant.
Sterker nog: ik denk dat veel bedrijfsprocessen juist kunnen verbeterd worden door de inzet van (persoonlijke) devices. Denk bijvoorbeeld aan het bekijken van user manuals als pdf op een telefoon of tablet door ambulante medewerkers.

wat ik mis is de vraag hoe het staat met de bedrijfscontinuïteit met byod. Wat als iemand zijn eigen smartphone kwijt raakt, of het ding gaat stuk. Wel rustig een week niet bereikbaar, omdat betrokkene geen tijd heeft om een nieuwe te kopen of te laten repareren.

De opmerking van Kees de Koter komt mij bekend voor: de IT-afdeling probeert nog steeds voor "Almachtige" te spelen en dwingt de gebruikers om "oude meuk" te gebruiken. BYOD gedrag treedt meestal op als de IT afdeling de snelheid van de wereld niet meer kan volgen en dus oude oplossingen aan biedt. Dit pikken de nieuwe gebruikers niet meer.

Dat is ook vaak de reden waarom business vaak voor SAAS kiest: de eigen IT afdeling staat buiten spel en we hebben wel het nieuwste van het nieuwste.

Leuk artikel Kurt!

Ik heb kort geleden een traject rondom BYOD begeleid bij een zorgorganisatie met 4500 medewerkers. Ik kwam in het initiële adviesrapport (dat ik in mijn handen gedrukt kreeg) veel lacunes tegen waardoor ik het adviestraject opnieuw heb uitgevoerd.


1- Strategie: Het is zeer belangrijk om eerst digitalisering van je business in je strategie op te nemen. Dit is de basis van een BYOD traject

2- Doelstelling: Het is zeer belangrijk dat je eerst inzichtelijk maakt welke delen van de organisatie nu (met de huidige middelen) en later (met extra investering) van deze oplossing gebruik kunnen maken en welke voordelen ze ermee realiseren. Segmenteren van je organisatie gebaseerd op je digitale strategie is het sleutelwoord voor de start van dit traject.

3- Kosten: Afhankelijk van je doelstelling en je aanvliegroute kom je tot de initiële kosten. Zeer belangrijk om de kosten "in de hele keten" te bekijken en niet alleen beperkt tot device of BYOD oplossing. In dit kader kun je denken aan verschillende zaken rondom beheer, (Microsoft) licenties, benodigde Tooling, aanvullende zaken (zoals oplossing voor bestanden op het netwerk benaderen, editen, delen etc), beveiliging, training, effect op de bezetting/kosten van je helpdesk en nog meer

4- SLA: Het is belangrijk om van tevoren met je organisatie afspraken hierover te maken. Deze afspraken hebben ook een effect op niet alleen de verwachtte dienstverlening maar ook op de kosten die hieraan gerelateerd zijn.

Heeft BYOD nut? Ja zeker! BYOD is een middel dat de digitalisering van je business(processen) bevordert. Toegang tot data en informatie onafhankelijk van plaatst, tijd en device heeft zeker veel voordelen voor je onderneming alleen ....................als je dit traject goed aanpakt, anders heb je zoals Kurt zei, Bring Your Own Disaster.

Dit verschijnsel hebben we eerder verder toelicht in:

BYOD heeft onzichtbare kanten

http://www.computable.nl/artikel/achtergrond/mobility/4633076/1277034/byod-heeft-veel-onzichtbare-kanten.html

Abstracte ROI van BYOD gaat om flexibilisering van de arbeid want het gaat niet om wat je meeneemt naar je werk maar naar je huis. De business case van BYOD gaat dan ook niet om de informatiedrager, in prehistorie van BYOD met afschrijvingen op PC-privé projecten een floppy, maar de informatie en de verwerking ervan zelf.

Dat BYOD problematisch wordt als je informatiebeveiliging gebaseerd is op de perimeter van de organisatie is niet echt een verrassing, moderne Collaboration Oriented Architectures de-perimeteriseren autorisaties dan ook. Verhaal lijkt krampachtig vast te houden aan een organisatorische situatie die al lang niet meer strookt met de praktijk.

Ach, na een fikse data breach met de bijbehorende reputatieschade en boetes en uiteraard het onslag van de meest "disruptive" gebruikers loopt de rest weer netjes en gedwee mee in de rij.

Goed verhaal en komt sterk overeen met wat ik zelf de afgelopen jaren aan misvattingen en (dus) drama's heb mogen zien. Pure disasters.
Om aan de voorvechters van 'vrijheid' en 'beter weten' tegemoet te komen: een bouwbedrijf voert een groot project uit. Sommige bouwvakkers zijn modern en slim en weten zelf wel hoe ze het werk kunnen doen; die nemen hun eigen boormachines, pluggen en bouten mee. Modern spul, echt beter dan wat de uitvoerder op voorraad heeft (omdat het zo op tekening staat). Na oplevering komen er wat balkons naar beneden. Niet correct bevestigd door iemand die het beter wist. En de groeten aan de slachtoffers.
Bring your own Disaster.

Ik zie parallellen met het adopteren van cloud computing.

Als je doet wat je altijd gedaan hebt en dit naar de cloud / hoster /datacenter brengt, dan krijg je wat je altijd al gekregen hebt alleen nu een stukje duurder en complexer.

Zo is het ook met BYOD / CYOD.

Als je nieuwe apparaten op een ouder manier van werken aan wilt sluiten zal dit veelal tegenvallen op alle vlakken. Dan is het heel makkelijk om dit de schuld te geven.

"Zie je wel? BYOD is een disaster"

Als je op de juiste manier cloud computing in zet en een beetje IAM / Governance dan maakt dat BYOD / CYOD namelijk helemaal niet uit en is dat een vrij pijnloze oefening.

To BYOD or not to BYOD is *not* the question.

Als je echter nog met printers werkt en file shares... dan zal het ondersteunen van moderne apparaten inderdaad een ramp blijken.

In IT is de enige constante verandering. Als je daar geen rekening mee houdt (ivm kosten) en niet meeloopt met de ontwikkelingen zul je inhaalslagen moeten maken.

Blij dat iemand op een uitstekend verwoorde manier deze wild west praktijken aan de kaak stelt.
Ik zie BOYD vooral als een modegril.
Toegegeven ik ben ook gewend aan mijn eigen ingerichte bakkie, maar ik heb dan ook altijd zelf mijn problemen moeten oplossen (en die van andere, 'which comes with the job').

Dank voor alle reacties. Ik had niet verwacht dat het onderwerp bij velen een dergelijke herkenning zouden oproepen.

@Henri, naar mijn mening zit er een wezenlijk verschil tussen BYOD en CYOD waarbij ik momenteel binnen organisaties vooral CYOD in opkomst zie als reactie op (mislukte?) BYOD. CYOD lijkt in veel gevallen de voordelen te hebben van een modern middel waarmee medewerkers uit de voeten kunnen en willen. Dat wil nog niet zeggen dat gebruikers zelfstandig problemen kunnen oplossen doch door de bekendheid van het beperkte aantal middelen bij Support, blijft het beheer (kosten) voorspelbaar en overzichtelijk.

Mijn 5 centen?

Bedrijfseigen middelen, BYOD, CYOD of wat dan ook, het maakt allemaal niet uit. Welke technologie je ook inzet, welke SLA's je ook afspreekt en wat de bedrijfsdoelstellingen ook mogen zijn, uiteindelijk gaat dat alleen maar over het antwoord op de vraag “Wie betaald wanneer, welke rekening en hoe hoog mag die zijn?”.

Ik zie weinig of geen aandacht voor het antwoord op de vraag “Hoe erg is het als data en informatie op straat komt te liggen? Hoe komen we daarachter? En als we erachter komen, wat dan?“.
Zelfs als je dankzij een uitgebreide vorm van governance kan aantonen dat je als bedrijf alle maatregelen (technisch en organisatorisch) hebt genomen die je redelijkerwijs mag verwachten, uiteindelijk zit er niet veel anders op dan damage control!

Immers, welke vorm van governance, IAM, devices (oud of nieuw, Android of iOS, Windows of Linux) je verder ook gebruikt, er zijn verschillende manieren waarop data en informatie kan weglekken. Iets simpels en basaals als een schermafdruk naar een printer of (letterlijk) een foto maken van wat er op een scherm staat is domweg niet tegen te houden; hoe modern en vooruitstrevend je als organisatie op IT gebied ook bent.

Ik zou dan ook verwachten dat er minstens zoveel aandacht is voor damage control als voor de rest. Voor zover ik al met dit soort trajecten in aanraking kom moet ik vaststellen dat de meeste aandacht toch uit gaat naar de look-and-feel van het device (welke Android of iOS versie draait er) en of de toegangsmethode technisch gezien goed- en vriendelijk genoeg is zodat mensen niet op zoek gaan naar alternatieven.


@Henri:
[…] Als je echter nog met printers werkt en file shares... dan zal het ondersteunen van moderne apparaten inderdaad een ramp blijken. [...]

Bij deze stelling kon ik een glimlach niet onderdrukken. Alsof het allemaal zoveel beter en makkelijker gaat met een Dropbox, een Google Drive, een OnDrive of wat dies meer zei.

Tuurlijk – vooropgesteld dat je device ondersteund wordt door de client-versie gaat het delen van bestanden inderdaad veel makkelijker. Maar in termen van kinken uit de spreekwoordelijke kabel halen gaat het er niet makkelijker op worden. Zeker niet met allemaal die publieke, draadloze netwerken en bijbehorende “gluurders”… ;-)

Waarbij het uiteindelijk toch weer terugkomt bij het antwoord op de vraag “Wie betaald de rekening voor die ondersteuning? En hoe hoog mag die zijn?”. Mijn verwachting is dat dat degene is die uiteindelijk het laatste woord gaat hebben.

Onze ervaring met BYOD zijn anders prima!

Alle voor- en nadelen worden gehyped, afhankelijk van wie wat in de aanbieding heeft voor de klant.

Iedereen loopt tegenwoordig met een smartphone rond, tussen 5-95 jaar en de meesten hebben geen last van malware en virussen.

Voor bedrijven staat veel op het spel, want ALS er wat gebeurt, dan kan de schade groot zijn, en dat is zeer zeker een zorgpunt.

Echter de conclusies vandaag de dag dat BYOD zo moeilijk is, is niet omdat er massaal is gehackt en data buitgemaakt. Op dit moment liggen de lekken nog steeds grotendeels ergens anders, websites, usb sticks, phising mails, etc.

Voor BYOD is ons idee altijd geweest dat je als uitgangspunt moet nemen dat een device altijd onveilig is. Je moet dus een veilige sandbox hebben waarin je als organisatie je eigen data, authenticatie, security etc. moet regelen, en je min mogelijk moet bemoeien met de boze biutenwereld.

Dus voor ons is MDM sowieso contraproductief. Je moet je richten op je eigen data. Als je deze BYOD mensen moet geloven, dan zou internet bankieren uberhaupt onmogelijk zijn. Een webbrowser is daarbij vele malen onveiliger, vooral met het gemak waarmee custom extensies als toolbars geinstalleerd worden.

Maar ook banken maken zich meer zorgen om phishing mails dan mobiele apps. Als veilige (MDM) apps mogelijk zijn, zijn er veilige enterprise applications containers mogelijk.

En dat is wat wij doen, wij gebruiken niets meer en niets minder dan een Enterprise Application Container voor BYOD. Voor de eindgebruiker is het een app zoals iedere andere app.

We kunnen multi-step authenticatie implementeren, waarbij onze gebruikers bijvoorbeeld een NFC kaart kunnen swipen om de container te starten, een eenvoudige 4-cijferige pincode of wachtwoord intikken, en automatisch een onzichtbaar een SMS sturen die door container wordt verwerkt. We kunnen dit ook op elk moment wijzigen, aanvullen of aanpassen in de container zonder dat bestaande applicaties ervoor hoeven worden aangepast

Deze container is eenvoudig gekoppeld in de backend met onze Active Directory/LDAP voor authenticatie. Dan krijgt de gebruiker enkel toegang tot applicaties en data op basis van allerlei eenvoudig in te stellen regels zoals zijn rol, functie, locatie en kantoortijden.

Alle data is versleuteld en wordt uitgewisseld met de backend via een enkele SSL tunnel. Dit is een stuk veiliger dan wanneer applicaties allemaal op hun eigen manier op weg naar de backend systemen moeten bepalen en security moeten implementeren. Dat wordt allemaal via de container gedaan.

Kortom, wij beheren onze apps, en bemoeien ons zo min mogelijk met de boze buitenwereld. Vanuit de gebruiker gezien is het gewoon een app zoals iedere andere app, maar wel een die met de juiste security tokens toegang geeft tot verschillende niveaus van toegang, op basis van allerlei regels over gebruiker, toestel, rol, taak, applicatie etc.

De grootste uitdaging die organisaties dan nog hebben is bedrijfsbeleid rondom data-gebruik maar dat probleem staat op zichzelf. Wij kunnen dankzij die 'single entrypoint', naast dat dit onze firewall configuratie een stuk eenvoudiger en veiliger maakt, door minder touch-points voor hacks, ook eenvoudig zien hoeveel data er door de container en dus alle applicaties daarbinnen wordt gebruikt. Als alles daarbuiten te hoog is, wordt de werknemer er op aangesproken.

@brainiac:
"De grootste uitdaging die organisaties dan nog hebben is bedrijfsbeleid rondom data-gebruik ..."

Klinkt interessant, maar kan die container niet ook zorgen dat er policies op datagebruik worden afgedwongen zodat verkeer buiten de container om wordt geblokkeerd?

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×