Zes vragen die organisaties zichzelf moeten stellen om hun IT beheersbaar te houden
Consumenten-elektronica zoals smartphones en tablets en consumenten-applicaties als Dropbox hebben hun weg naar de werkplek gevonden. Dit brengt voor bedrijven de nodige beveiligingsrisico’s met zich mee. Het is voor de IT-afdeling niet meer duidelijk wie er allemaal toegang heeft tot vertrouwelijke bedrijfsinformatie en ook het eigen netwerk is moeilijker te beveiligen. Wanneer eindgebruikers hun manier van werken zelf stroomlijnen, dan kan dat weliswaar tot grotere productiviteit leiden, maar als zij om de IT-afdeling heen gaan werken ontstaat er al gauw een zogenaamde ‘schaduw-IT’. De ongecontroleerde en onofficiële data flow van al die niet-geautoriseerde apparaten en software kan de veiligheidsvoorschriften van je IT-afdeling volledig buiten werking stellen. Hoe ga je hier als organisatie mee om? Ik stel voor dat organisaties zichzelf allereerst een aantal vragen stellen naar het waarom. Dan wordt namelijk ook meteen duidelijk hoe IT-afdelingen op de voortschrijdende consumerisatie in kunnen spelen.
1. Waarom nemen mensen hun eigen apparaten mee?
Het is nou eenmaal erg handig om thuis nog even documenten door te nemen op je tablet, of om onderweg aan je presentatie te sleutelen op je laptop. Je moet dit als bedrijf ook niet verbieden, want daarmee zet je jezelf alleen maar buiten spel. Vaak schaffen medewerkers hun eigen apparatuur aan uit onvrede over de IT-afdeling, die ze niet faciliteert in wat ze willen hebben. Je moet echter wel nadenken over hoe je controle houdt over de gegevens en het beheer van bedrijfskritische applicaties, terwijl de eindgebruiker in allerlei verschillende scenario’s op zijn eigen, onbeveiligde apparatuur kan werken. Stel je dus de vraag waarom je medewerkers hun eigen elektronica gebruiken. Het antwoord is waarschijnlijk niet dat ze zo graag hun eigen apparatuur aanschaffen bij de Mediamarkt. Bring Your Own is tenslotte ook On Your Own, aangezien de apparatuur niet ondersteund wordt door de IT-afdeling. Veel waarschijnlijker is dat het gebeurt uit onvrede over de beperkte set aan diensten, die niet aan de wensen van de medewerkers tegemoet komt.
2. Wordt er gebruik gemaakt van niet door het bedrijf aangeschafte toepassingen? Zo ja, waarom doet men dit?
Het is ineens de gebruiker (als consument) geworden, die tegen de IT-afdeling zegt: ‘Zo wil ik het’, in plaats van andersom. De IT-afdeling bepaalt dat niet langer. Dat is op zich geen slechte ontwikkeling, want het kan de productiviteit van de medewerkers en de organisatie alleen maar ten goede komen. Er wordt tenslotte gewerkt op een manier die sneller en efficiënter is en die beter aansluit op de behoeften van de werknemers. Toch wil je wel controle als IT-beheerder. Het is dan ook zaak dat je goed begrijpt waarom mensen hun eigen software en applicaties gebruiken, want alleen dan kun je alternatieven aanbieden. Je zult er dus achter moeten komen wat consumenten-oplossingen als Dropbox of Gmail zo aantrekkelijk maakt. Met andere woorden: wat hebben ze te bieden dat de door het bedrijf geboden oplossingen niet bieden? En hoe kun je er voor zorgen dat je de gebruiker zelf biedt wat hij vraagt, zodat hij niet uit hoeft te wijken naar consumenten-oplossingen? Gebruiken ze bijvoorbeeld Dropbox om documenten op een eenvoudige manier met anderen te kunnen delen, biedt ze dan een alternatief, zoals een opslagmogelijkheid die ook vanaf huis toegankelijk is.
3. Ken je je gebruiker?
Hoe werken je gebruikers? Waar en wanneer werken ze? Privé en zakelijk lopen vaak door elkaar, nu mensen steeds vaker ook thuis of onderweg kunnen werken. Pas wanneer je goed in beeld hebt hoe je gebruikers hun werk doen, kun je oplossingen bieden die hier op inspelen en rekening houden met de behoeften van de gebruiker, terwijl je er tegelijkertijd voor kunt zorgen dat je gebruikers in elke denkbare situatie op een veilige manier gebruik maken van het netwerk. Anders gezegd: je kunt pas beveiligingsregels opstellen, wanneer je weet tegen welke situaties je je moet beveiligen en je kunt je gebruikers pas de flexibiliteit bieden die ze nodig hebben, wanneer je precies weet wat ze nodig hebben. Vergeet hierbij ook niet het werkplezier van de je medewerkers mee te wegen. Waarom zou je bijvoorbeeld het gebruik van iTunes verbieden, wanneer iemand thuis werkt?
4. Waar ben je de meeste tijd aan kwijt, als IT-afdeling?
Elke nieuwe toevoeging aan het netwerk, leidt tot nog meer complexiteit voor netwerkbeheerders. Tablets, smartphones, thuisprinters et cetera. IT-beheerders zouden een IT-oplossing moeten implementeren die geconfigureerd kan worden naar de unieke behoeften van hun organisatie en die hen in staat stelt een groot gedeelte van de terugkerende taken te automatiseren. Dit soort taken maakt ongeveer 80 procent uit van de IT-diensten die gebruikers nodig hebben. Heb je dit wel eens in kaart gebracht? Ook hier geldt weer: pas als je het meet, weet je waar de winst te behalen valt.
5. Hoeveel handwerk wordt er gedaan binnen IT, ondanks moderne app stores?
Om beter inzicht te krijgen in de te behalen efficiency, is inzicht in alle handmatige activiteiten binnen een IT-afdeling essentieel. Moderne app stores installeren weliswaar veel applicaties automatisch, echter IT doet veel meer dan alleen de distributie van applicaties. Denk bijvoorbeeld eens aan het veranderen van wachtwoorden, het inwilligen van verzoeken om nieuwe hardware, het verschaffen van toegang tot bepaalde data, toegang tot printers, het maken van data back-ups, het onderhouden van anti-virus oplossingen, et cetera. Het simpelweg implementeren van een selfservice interface voor apps, in plaats van een meer holistische oplossing, gaat voorbij aan veel zaken die gebruikers nodig hebben van een IT-afdeling. Deze oplossingen leggen zich geen rekenschap af van het feit dat IT álle diensten voor haar gebruikers moet beheren en controleren. Hoeveel tijd is jouw IT-afdeling kwijt aan handmatig verzoeken inwilligen en hoeveel van die taken kunnen worden geautomatiseerd?
6. Wat is het imago van IT? Is er een wederzijds vertrouwen tussen de medewerker en de IT-afdeling?
In de ogen van veel gebruikers wordt IT vaak gezien als beleid makend, terwijl de eigenlijke functie van IT het ondersteunen van de business zou moeten zijn. Vandaag de dag wordt een ‘nee, kan niet’ antwoord van IT beantwoordt door de gebruiker met eigen initiatieven. Hierdoor ontstaat ‘schaduw-IT’ en alle bijbehorende beveiligingsrisico’s. Je wilt bijvoorbeeld niet dat iemand een onbeveiligde USB-stick verliest, terwijl je dat voor had kunnen zijn door beveiligde opslag in de cloud beschikbaar te stellen.
Om succesvol om te kunnen gaan met nieuwe consumententechnologieën die meer en meer hun weg naar de werkvloer vinden, zul je je als IT-afdeling op moeten stellen als dienstverlener. En je zult je gebruikers als klanten moeten beschouwen. Ga goed na wat de gebruikers willen en bedenk hoe je dit kunt faciliteren. Doe je dit niet, dan gaan mensen hun eigen oplossingen zoeken en sta je als IT-afdeling buiten spel. Om optimaal controle te houden zal IT de gewenste flexibiliteit moeten omarmen in plaats van verbieden.
