17-03-2017 | door: Dick Schievels

Reportage: CIO Round Table ‘Mobiel Werken’

Altijd en overal op een veilige manier kunnen werken: de technologie is voorhanden en de voordelen zijn duidelijk. Mobiel werken verhoogt de productiviteit en maakt organisaties flexibeler. Mits je de daarvoor benodigde ICT-infrastructuur solide en veilig weet in te richten. Maar hoe pak je dat aan? Daarover ging het begin februari tijdens de CIO-rondetafeldiscussie ‘Mobiel Werken’, georganiseerd door Executive-People in samenwerking met Tele2.

De weer eens  vierkant uitgevoerde CIO Round Table vindt dit keer plaats in een van de lounges van Stadion Galgenwaard, de thuisbasis van FC Utrecht. Het is aan de vooravond van de 21ste speelronde van de Eredivisie seizoen 2016-2017, waarin FC Utrecht door een 1-0 overwinning op Heereveen zal oprukken naar de vierde plaats op de ranglijst. Gastgever Tele2, sponsor van de club, heeft er onlangs zijn Connected Lounge geopend, een democenter waar klanten van de telecomprovider alle mogelijke vormen van vast-mobiel integratie live kunnen aanschouwen.

Aan tafel nemen, naast de twee gastheren van Tele2, een tiental andere in het telecomveld opererende ICT-managers plaats. Zij zullen onder leiding van moderator Danny Frietman van Executive-People hun ervaringen delen aan de hand van de stellingen en vragen ingebracht door een tweetal sprekers: Tom Abbing, CIO bij ICT-dienstverlener OGD, en Marthe Riewald, advocaat bij Taylor Wessing en gespecialiseerd in privacy- en compliancy-vraagstukken.

Vergeet het apparaat!

De iPhone viert dit jaar alweer zijn tiende verjaardag, memoreert Abbing, die de aftrap voor zijn rekening neemt. De introductie van dat apparaat markeert het begin van een mobiele revolutie, waarbij een betere balans tussen werk en privé vaak als een van de grote voordelen wordt genoemd. Maar er zijn ook uitdagingen, zegt hij, die hij aan de hand van een aantal stellingen graag met de rest van de tafel wil delen. “Ze zijn met opzet een beetje gechargeerd”, waarschuwt hij. “En het is ook niet zo dat ik het er zelf bij voorbaat altijd helemaal mee eens ben.”

Zijn eerste stelling luidt kort en bondig: vergeet het apparaat! Dat wil zeggen: concentreer je qua beheer niet zozeer op de mobiele apparatuur zelf, maar veel meer op de toegang tot de data die je wilt beschermen, licht hij toe. “Bij OGD zijn we inmiddels overgestapt op een model waarbij we uitsluitend nog controleren aan de poort wanneer we toegang moeten verlenen tot onze data.”

Na een paar eerste instemmende geluiden komt er ook kritiek los op deze aanpak. Beveiligen aan de poort van je netwerk is prima, zegt iemand, maar als je de simkaart uit je mobiel trekt, heb je geen netwerk meer, maar staan er nog wel data op je device. “Het blijft dus relevant om ook dat aspect op een of andere manier onder controle te houden.” De beveiliging moet daarom op een gelaagde manier plaatsvinden, luidt de conclusie die door meerdere deelnemers wordt onderschreven: zowel aan de poort van het netwerk, als aan de kant van de content op de mobiele apparatuur zelf.

BYOD

Moderator Frietman informeert of OGD nu al werkt op de manier zoals de stelling propageert. Abbing: “Dat hangt van de situatie af. Wij hebben klanten die uitsluitend gebruikmaken van door henzelf ontwikkelde en gehoste websites, eventueel aangevuld met cloudproducten. Zij hoeven geen data lokaal op het apparaat op te slaan. Zij zeggen: als je apparaat niet aan bepaalde voorwaarden voldoet, dan kom je gewoon onze website niet op. Daar zit een stukje devicemanagement tussen wat controleert of die apparatuur voldoet aan de voorwaarden die je hebt gesteld. Hetzelfde doe je met degene die het apparaat in handen heeft door middel van bijvoorbeeld gebruikersnaam en wachtwoord, eventueel aangevuld met extra multifactor-authenticatie. Dus je stelt voorwaarden voordat je iemand toegang geeft tot de data. Kom je dan bij applicaties die wél gegevens lokaal opslaan, dan kun je natuurlijk alsnog voorwaarden stellen waaronder dat mag. Encryptie afdwingen op een apparaat, is dan vrij standaard. En gebruik van pincodes ook. Dat is het model waar ik iedereen naartoe zie bewegen, ook in verband met de opkomst van het BYOD-model. Een steeds groter deel van de apparaten waarmee gepoogd wordt toegang te krijgen, is tegenwoordig helemaal niet meer in je bezit. Dus dan kun je wel van alles daaraan willen managen, maar waarom zou je dat nog doen, als je ook de controle aan de poort kunt uitvoeren?”

Wie verantwoordelijk

Een van de deelnemers is vooral geïnteresseerd bij wie de accountability moet worden belegd. “Die technologische mogelijkheden zijn belangrijk en interessant, maar waar leg je de verantwoordelijkheid voor de ómgang met de technologie? Bij de serviceprovider, bij Tele2 bijvoorbeeld, bij de ICT-afdeling van je bedrijf, of bij de eindgebruiker?” Zelf houdt hij een pleidooi voor de stelling dat die verantwoordelijkheid meer dan nu het geval is bij de eindgebruiker zelf moet komen te liggen. “De operator moet randvoorwaarden creëren, de organisatie moet faciliteren, maar het is vooral de eindgebruiker die proactief moet aangeven: dit wil ik, daar loop ik tegenaan, dat heb ik nodig… hélp me daarbij! Hoe moeilijk dat ook is.”

Een andere van Abbing afkomstige, prikkelende stelling die aanleiding geeft tot de nodige discussie luidt: het gesloten bedrijfsnetwerk kan opgedoekt worden! De achterliggende gedachte is hier: controle uitoefenen via het eigen wifi-bedrijfsnetwerk heeft steeds minder zin. Want als iedereen bijvoorbeeld een simkaartje van Tele2 in zijn apparaat stopt, zijn blokkades met behulp van filtering op de corporate firewall eenvoudig te omzeilen door de wifi uit te zetten en verder te gaan op 4G.

Maar als je niet door je wifi heen kunt en je gaat 4G gebruiken, klinkt het aan tafel, dan kan het toch nog steeds zo zijn dat je bepaalde bedrijfsnetwerkapplicaties niet kan benaderen? Dat klopt wel, countert Abbing, maar als je als organisatie bijvoorbeeld niet wilt dat je medewerkers gebruikmaken van Slack (‘een soort chat-applicatie, maar dan met historie’), dan is dat tegenwoordig niet meer te voorkomen.

Het is een kwestie die duidelijk leeft bij meer partijen aan tafel en raakt aan een ander heikel punt waarmee in de praktijk veel geworsteld wordt: shadow IT! “Wie heeft er geen last van”, zegt Abbing. Zelf maakte hij mee dat OGD-medewerkers buiten IT om met het genoemde Slack aan de gang gingen. Hij heeft daar twee problemen mee. Ten eerste kan hij technisch geen verbod afdwingen op dat soort diensten en dus ook niet uitsluiten dat er bedrijfsdata landen. En ten tweede, zegt hij, wordt ook je monitoring een probleem, want heel veel verkeer van die diensten gaat buiten je bedrijfsnetwerk om.

Juridische ontwikkelingen

Het is een geschikt moment om de aandacht te verleggen naar de tweede spreker, advocaat Marthe Riewald. “Jij kan technisch geen verbod afdwingen”, merkt zij op, “maar wat houdt jouw werkgever tegen om het te verbieden? Die kan in ieder geval een gedragsprotocol opstellen over wat wel en niet is toegestaan en vervolgens iedereen daarvoor laten tekenen.”

Riewald weet alles over de Wet bescherming persoonsgegevens (Wbp), de ‘meldplicht datalekken’ en de aankomende Algemene Verordening Gegevensbescherming, die vanuit Europa op ons afkomt en mei 2018 van kracht wordt. Zij neemt aan de hand van een mini-enquête de belangrijkste punten van de geldende en nieuwe wetgeving met de deelnemers door.

De cloud fout?

Naar aanleiding van een korte door Riewald gegeven toelichting op de Wbp, spitst de discussie zich toe op de vraag hoe veilig het is om data in de cloud op te slaan. “Ik hoorde eens een CIO opmerken: de cloud is fout”, brengt Maurice Paulusma (Commercial Director B2B bij Tele2) ter tafel. De achterliggende gedachte was dat opslag van data in de cloud je opzadelt met een situatie waarin je wel verantwoordelijk bent voor de bescherming van die data, zonder dat je er nog volledig grip op hebt, licht hij toe. “Gaat dat misschien een rem zetten op de verdere ontwikkeling van cloud?”

“Er zijn natuurlijk randvoorwaarden waarmee je rekening moet houden”, klinkt het aan de andere kant van de tafel. “Als jij bijvoorbeeld weet dat jouw gegevens worden opgeslagen in Amerika, en dat die gegevens onder bepaalde wetgeving beschikbaar is voor de Amerikaanse overheid, dan moet je ervoor zorgen dat dat niet kan gebeuren.”

“Maar hoe zorg je ervoor dat dat niet kan gebeuren?”, haakt Riewald in. “Het is iets waar heel veel van mijn cliënten mee zitten. Die hebben een leuke applicatie ontwikkeld, zetten die in de markt, en komen er vervolgens achter dat het datacenter dat ze hebben gecontracteerd een uitvalsbasis in de VS heeft.”

Ook Privacy Shield, een alternatief voor de Safe Harbor-wet, die juridisch geen stand hield, is in de ogen van Riewald geen echt solide ogende oplossing voor deze problematiek. Zij adviseert daarom vooralsnog voor de opslag van gevoelige data altijd zo dicht mogelijk bij huis een datacenter te zoeken.

Nieuwe wetgeving in aantocht!

En dan komt er vanuit Europa die Algemene Verordening aan, die mei 2018 al van kracht wordt. Dat is een forse aanscherping van de wetgeving, waarschuwt Riewald, waarbij de boetes echt heel hoog kunnen oplopen. Haar belangrijkste boodschap aan het eind van de avond luidt dan ook: begin nu al met de voorbereiding op die nieuwe wetgeving, want die vereist dat je je beleid rond de verwerking van persoonsgegevens ook préventief inricht. “En dat heb je niet zomaar van de ene op de andere dag voor elkaar!”

Terug naar video overzicht