PortiBlog

Productivity versus security

5 april 2018

In dit PortiBlog gaat Bram Zegwaart, Business Consultant bij Portiva, in op adoptie van Mobile Device Management beleid en voorwaardelijke toegang tot de cloud.

Ben-Gurion Airport, het is één uur in de middag op een warme vrijdag in november. Samen met mijn collega sta ik in de wachtrij bij de securitycontrole om onszelf en onze handbaggage te laten controleren. Na een week in Tel-Aviv te hebben gezeten met ruim 20 graden overdag zijn wij weer met een vrolijk humeur op weg naar Amsterdam. Er zit geen beweging in de wachtrij en het lijkt uren te gaan duren voordat wij aan de beurt zijn. De rij wordt alsmaar langer en ondertussen zijn meerdere beveiligingsmedewerkers de “controle-lanes” aan het coördineren en aan het opvullen met steeds meer reizigers. Ons vrolijke humeur lijkt al heel snel om te slaan naar een pesthumeur omdat wij helemaal niet begrijpen waarom dit allemaal zo lang moet duren. Na 30 vervelende minuten wachten krijgen we eindelijk zicht op de beveiligers, die verschillende controles aan het uitvoeren zijn; op de handbagage via een x-ray scan, vervolgens nogmaals via een handdetector en tot slot zijn ook nog eens de schoenen aan de beurt. Naar wat blijkt, extra controle om explosief materiaal geen kans te geven.

Precies dit bovenstaande gevoel van onduidelijkheid kom ik tegen bij verschillende organisaties waar Mobile Device Management (MDM) wordt geïmplementeerd. Opeens lijken medewerkers minder vrijheid te krijgen doordat hun mobiele telefoon of privé device moet voldoen aan voorwaarden voordat zij weer productief mogen zijn voor de organisatie. Dit roept diverse vragen op zoals; “wat doet de organisatie met mijn privédata?”, “waarom bemoeit de organisatie zich met mijn gebruikersgedrag?” en “waarom kan ik mijn email app van iOS of Android niet meer gebruiken?”

Security op Ben Gurion Airport
Figuur 1 – Security op Ben Gurion Airport
bron: https://www.israelnationalnews.com/News/News.aspx/212662

Terwijl een overstap naar de cloud juist op instemming kan rekenen vanuit de gebruikers. Eindelijk apps en productivity tools die plaats en device onafhankelijk beschikbaar zijn. Deze mogelijkheden leveren een bijdrage aan succesvolle communicatie met klanten, betere samenwerking met collega’s en ondersteunen kennisdeling via social functies. Wat maakt het dan toch zo lastig om de mobiele telefoon of een privé device toegang te laten krijgen tot de cloud? Allereerst raakt de medewerker tegeleurgesteld wanneer er ineens voorwaarden worden gesteld voordat men de cloud omgeving mag benaderen. Medewerkers begrijpen niet waarom bijvoorbeeld alleen de Outlook app van Microsoft gebruikt mag worden of waarom data vanuit de mail of Office 365 niet meer naar Whatsapp kan worden gekopieerd. Deze policies zijn frustrerend voor de medewerker omdat restricties als belemmering worden gevoeld. Het initiële enthousiasme voor een cloud oplossing neemt in rap tempo af. Met mogelijk een schaduw IT-omgeving tot gevolg (gebruikers regelen het zelf). De mogelijkheden van de cloud leveren de medewerker veel voordelen maar tegelijkertijd vraagt de cloud om een andere manier van werken en omgang met bedrijfsdata.

Maar zoals een belangrijke wet binnen de ICT luidt, de gebruiker heeft altijd gelijk. Hiervoor valt natuurlijk wel wat te zeggen. Op het moment dat medewerkers begrijpen waarom bepaalde richtlijnen worden toegepast is de acceptatie ook veel groter. Effect (E) = Kwaliteit (K) x Acceptatie (A), met andere woorden is het effect van de cloud positief op het moment dat de acceptatie van een kwalitatieve cloudoplossing hoog is bij de medewerkers. Het is van belang dat bij een implementatie van nieuw Mobile Device Management beleid i.c.m. het gebruik van de cloud diverse stakeholders vroegtijdig zijn betrokken. Communiceer intern dat alle disciplines zijn betrokken in het opstellen van het toegangsbeleid tot de cloud en leg de organisatie ook uit waarom bepaalde keuzes worden gemaakt. Met acceptatie voor het security beleid neemt het gebruik van de cloud van de organisatie toe en elimineer je het gebruik van shadow IT binnen de organisatie. Medewerkers gaan op die manier ook zorgvuldiger om met bedrijfsdata en kijken op een andere manier naar het dagelijks gebruik van cloud oplossingen. Zij zullen eerder gaan meedenken en feedback teruggeven om het beleid te verbeteren. Wanneer zichtbaar wordt hoe hard de security afdeling meedenkt met de business, hoe groter de acceptatie op bepaalde beperkingen. Ook bij mij en mijn collega ontstond er begrip op het moment dat duidelijk werd wat de oorzaak was van het lange wachten en keken wij met meer interesse naar de hardwerkende security medewerkers bij de security controle op het vliegveld.

Submit a comment