De markt voor Mobile Device Management (MDM) is sterk in beweging. Dit horen we niet alleen om ons heen, maar wordt ook bevestigd door Gartner. Die verving recent hun MDM-kwadrant door het EMM-kwadrant (Enterprise Mobility Management).
Hiermee illustreert de wereldwijde onderzoeksgigant dat Bring Your Own niet langer alleen gaat over het apparaat, maar dat ook content en applicaties deel uitmaken van het beheerdomein. Het management van mobiel werken betreft de volledige enterprise. Een bijkomstigheid van deze verbreding van het domein is dat veel early adopters momenteel de wet van de remmende voorsprong ervaren. Zij hebben investeringen gedaan in onder meer tooling, die nu wellicht alweer achterhaald blijkt. Hoe pak je EMM op een geïntegreerde manier aan?
Wat omvat EMM?
Enterprise Mobility Management is de volledige set aan mensen, processen en technologie die erop is gefocust de toenemende diversiteit aan mobiele devices, draadloze netwerken en aanverwante services te managen. Het doel van EMM is het brede gebruik van mobiel computing in een business context mogelijk te maken.
Volgens Gartner moeten EMM-oplossingen voldoen aan de volgende drie voorwaarden. Ze moeten 1) een ‘veilige container’ bieden die de gebruiker in staat stelt om content op zijn device op te slaan, 2) een op push gebaseerde levering van content mogelijk maken en 3) gebruikers via een veilige verbinding toegang geven tot een back-end waar ze op een veilige manier content vandaan kunnen halen (pull).
Van device- naar profielmanagement
In de praktijk komt dit neer op een switch van device-management naar profielmanagement. Veel organisaties hebben deze switch nog niet gemaakt, terwijl daar de sleutel ligt om de mobiele chaos te beheersen. Het gaat er niet om wie welk device gebruikt, maar wie welke data en applicaties mag benaderen vanaf welke plek. Dit leg je vast in een gebruikersprofiel.
Dat verreweg de meeste organisaties die switch nog niet hebben gemaakt is logisch, meent Arno Ulijn, consultant bij Cumula, een onafhankelijk adviesbureau in communicatietechnologie. “Er is nog geen heilige graal die de oplossing brengt voor alles in dit tijdsgewricht. En volgens Gartner is het ook niet zinvol daarop te wachten. Doe vooral veel ervaring op en ontdek waar in jouw organisatie de use cases zitten. De ontwikkelingen gaan zo snel dat je op voorhand al weet dat je ze toch niet kunt bijbenen. Uiteraard is dat geen reden om niets te doen, want je medewerkers willen gewoon mobiel werken. En als jij geen actie onderneemt dan doen ze het op de manier die voor hen het makkelijkst is en dat is zelden een veilige manier.” Ulijn ziet ook dat veel organisaties het moeilijker willen maken dan het is. “Kijk eerst eens naar het doel dat je hebt met mobiel werken en streef dat niet voorbij. Mensen willen op een smartphone of tablet helemaal geen complexe werkzaamheden doen, ze willen vooral informatie inzien. Als je dat faciliteert, ben je al een heel eind. Kijk daarna gericht bij welke applicaties het handig is als medewerkers ook data kunnen veranderen of invoeren en bedenk hoe je dat op een veilige en gebruiksvriendelijke manier kunt ondersteunen. Als je dat echt goed tegen het licht houdt en je richt je op de grootste gemene deler, dan heb je het vaak maar over een handjevol applicaties. Begin daarmee en laat de rest wachten. Zo kun je op een agile manier toegroeien naar een steeds uitgebreidere omgeving. Maar probeer niet direct je ideaalbeeld te verwezenlijken.”
Centraal management
Een andere reden dat veel organisaties nog altijd kiezen voor device-management in plaats van profielmanagement komt doordat ze vastzitten in bestaande tooling, ziet Marwin Marcussen van Kaseya, een leverancier focust zich op Unified System Management. Dat is het centraal managen en verkrijgen van inzicht in de gehele omgeving. Vanaf één dashboard zie je alle mobiele devices, de desktop computers, de servers en snmp-apparatuur. “Het is heel begrijpelijk dat veel bedrijven voorlopig blijven werken met een eerste generatie MDM-oplossing,” analyseert Marcussen, “ook al zien ze dat ze daarmee tekortschieten als het gaat om mobiele applicaties en data. Een paar jaar geleden was de markt gewoon nog niet zo ver, was de visie nog niet uitontwikkeld en waren de beschikbare oplossingen nog primair gericht op MDM. Gaandeweg zijn we erachter gekomen dat zo’n device-gerichte aanpak helemaal niet handig is. Dat is voortschrijdend inzicht. Maar dat is voor organisaties die net fors hebben geïnvesteerd natuurlijk geen aangename boodschap.”
Maak eerst beleid
De leveranciers die hoog scoren in Gartners magische kwadrant, bieden niet per definitie de beste oplossing voor iedere organisatie. Veel organisaties hebben minder functionaliteit nodig dan deze high end tools bieden. Albert Kramer, technical manager bij securityspecialist Trend Micro, ziet dat veel organisaties eigenlijk teveel betalen voor functionaliteit die niet wordt gebruikt. Kramer: “Met name in organisaties waar IT een tool aanschaft zonder eerst beleid te maken en zonder met gebruikers te overleggen, komt het voor dat slechts 10 procent van de functionaliteit wordt ingezet, terwijl zo’n organisatie wel voor 100 procent betaalt. Ze denken: als we gaan voor een complete oplossing, dan zitten we in ieder geval goed. Zeker, je kan dan inderdaad alle kanten op en je bent waarschijnlijk ook behoorlijk toekomstvast, maar het is de vraag of de kosten tegen de baten opwegen. Ons advies is daarom altijd: begin met het maken van beleid en betrek daar nadrukkelijk de gebruikers bij. Zij moeten immers niet alleen op een veilige, maar ook gebruiksvriendelijke manier met hun mobiele device kunnen werken. Als een EMM-oplossing hun werk te omslachtig maakt, zullen ze manieren verzinnen om de security restricties te omzeilen en ben je alleen maar verder van huis.”
Snacken, lunchen en dineren
Het beleid moet uiteraard aansluiten bij de wet- en regelgeving in de sector waar de organisatie actief is. Ook op dit vlak worden de nodige missers gemaakt. Volgens Kramer gaat het op twee vlakken fout: “Sommige organisaties denken te licht over de op hun sector van toepassing zijnde regelgeving, anderen juist te zwaar. Die gaan veel strikter om met het beveiligen van hun data en mobiele applicaties dan ze wettelijk verplicht zijn. Dat lijkt misschien niet zo erg, maar daarmee werk je natuurlijk wel in de hand dat medewerkers jouw maatregelen gaan omzeilen, omdat het te omslachtig is. Bovendien betaal je vaak meer als je al die ‘overbodige’ functionaliteit gebruikt.”
Verder adviseert ook Kramer om in het beleid niet het device centraal te stellen, maar de gebruiker. “De gebruiker snackt, luncht en dineert. Voor het snacken gebruikt hij zijn smartphone, lunchen doet hij op een tablet of laptop. En dineren achter zijn desktop. Dat loopt allemaal door elkaar heen. Als je mobiel werken helemaal los beschouwt van werk dat op een desktop gebeurt, dan creëer je twee werelden die er voor de gebruiker niet zijn. Stel dat zo’n gebruiker onderdeel is van een targeted attack, dan is dat bijzonder lastig te ontdekken wanneer je je mobiele security volledig separaat hebt ingericht van de security op de desktops. Zie het als één omgeving waar je eventueel wel verschillende producten in kunt gebruiken, mits die maar goed kunnen samenwerken.”
Wet- en regelgeving
Arnout van der Vorst van Tools4Ever – softwareleverancier op het gebied van access & identity management – ziet dat de visie op mobiel werken in veel organisaties achterblijft. “Veel bedrijven komen pas in beweging omtrent mobility management nadat een auditer voor de derde of vierde keer heeft aangegeven dat de organisatie uit de pas loopt bij wet- en regelgeving. Met name in de zorg en bij de overheid komt dit veel voor, omdat daar de combinatie bestaat van erg strenge regelgeving met een vrij lage volwassenheid van de organisaties. Het management draagt dan aan de it-afdeling op om ‘dit in orde te maken’. Zij schaffen tooling aan, maar ze vergeten eerst beleid te maken en processen af te stemmen.”
De belangrijkste vraag in dat beleid is: welke gebruikers krijgen welke rollen en rechten? Van der Vorst ziet dat veel bedrijven daar makkelijk overheen stappen en daar later van terug komen. “In een HR-systeem liggen functie en afdeling vastgelegd. Negen van de tien organisaties gebruiken dat als uitgangspunt voor het voeden van de Active Directory, die op zijn beurt weer het EMM-systeem voedt. Maar wat doe je als bijvoorbeeld een medewerker in de zorg twee dagen op locatie A werkt in functie X en drie dagen op locatie B in functie Y? Welke applicaties mag deze medewerker wanneer gebruiken en welke informatie mag hij of zij dan inzien?”
Koppelingen
Door het HR-systeem enerzijds aan de Active Directory te koppelen en anderzijds aan facilitaire systemen zoals Topdesk, waarin de uitlevering van devices wordt geregistreerd, creëer je al inzicht. Helaas zien organisaties vaak pas de noodzaak van deze koppeling nadat het is mis gegaan. Zoals wanneer een medewerker die al uit dienst is met zijn smartphone nog gemakkelijk bij allerlei privacygevoelige bedrijfsdata kan. “Er komt ontzettend veel kijken bij het in dienst en uit dienst treden van medewerkers,” weet Van der Vorst. “Niet in de laatste plaats het toewijzen van rollen en rechten om in systemen te kunnen en de uitgifte van mobiele devices. Hoe vaak komt het niet voor dat een medewerker al is begonnen, maar de eerste drie dagen nog niet kan inloggen en pas na twee weken zijn telefoon en laptop ontvangt? Dat kost handenvol geld. Maar nog veel kwalijker is het als de uitdiensttreding niet goed is geregeld. Het is een proces dat vaak wordt vergeten en dat voor heel veel privacy- en securityrisico’s zorgt.”
Al met al mogen we op basis van wat de experts ons vertellen concluderen dat er nog veel werk aan de winkel op het gebied van EMM. Device-gericht beheer en een centraal management zijn goede en bruikbare tips. Het is dan weliswaar een geruststellende gedachte dat de Heilige Graal voor EMM nog niet is gesignaleerd. Maar zoals met veel nog niet of nauwelijks bestreden domeinen geldt ook hier; achteroverleunen is geen optie.
Stap voor stap naar het laaghangende fruit
Veel bedrijven weten verdraaid goed dat hun mobility-beleid te wensen overlaat. Maar dat ‘for the record’ verklaren, doet niemand. Wij spraken een financiële dienstverlener die niet herkenbaar in beeld wil komen. Daar kunnen medewerkers al geruime tijd op hun mobiele device e-mail lezen en de agenda raadplegen. Zij willen nu applicaties op een veilige manier beschikbaar stellen op tablet en smartphone. Het grote probleem daarbij doet zich voor in de back-end. Zoals iedere financiële dienstverlener heeft ook deze organisatie veel puntoplossingen die op een pc of laptop nog wel aardig met elkaar samenwerken. Maar wil je op een tablet of smartphone met deze applicaties werken en ze onderling data laten uitwisselen, dan wordt het een stuk lastiger, want dan legt de EMM-omgeving plotseling allerlei beperkingen op. Op zich is het goed dat die beperkingen er zijn. Bij een mobiel device is het namelijk veel lastiger te controleren of degene die inlogt wel is wie hij zegt dat hij is. Waar medewerkers het heel normaal vinden om op een laptop met sterke authenticatie in te loggen (username, complex wachtwoord, token), moet inloggen met een mobiel device juist zo eenvoudig mogelijk zijn.
De applicaties worden momenteel via een beveiligde applicatieomgeving beschikbaar gesteld. Ze zijn goed te benaderen met een mobiel device en bevatten niet-bedrijfskritische. Alleen is niet het device beveiligd maar de applicaties zelf, zij het slechts met een wachtwoord. Wanneer applicaties beschikbaar komen met bedrijfskritische data zal er sterkere beveiliging nodig zijn. Vooralsnog zet men deze stap nog niet. De organisatie wil met deze pragmatische aanpak snel het laaghangende fruit van mobiel werken plukken. Omdat veruit de meeste werkzaamheden die medewerkers mobiel willen doen de wat eenvoudiger taken betreffen waar geen bedrijfskritische data aan te pas komt, kunnen ze met een relatief eenvoudige oplossing een groot deel van de behoeften invullen.
Mobile Device Management komt op stoom
Een jaar of vier geleden werden it-afdelingen plotseling geconfronteerd met medewerkers die massaal hun mobiele devices voor werkdoeleinden gingen inzetten. BYOD bezorgde menig it-manager slapeloze nachten. Security lag onder vuur, want hoe beheerde je al die losse apparaten? Met veel vallen en opstaan begint Mobile Device Management (MDM) nu eindelijk een beetje op stoom te komen.
Adelante, een zorggroep met als kernactiviteiten volwassenenrevalidatie en arbeidsreïntegratie, zette reeds in 2011 de eerste stappen op het gebied van mobiel werken. Twintig mobiele devices werden aangeschaft voor de Raad van Bestuur en het management. De vervolgstap was de invoering van een mobiel revalidatie-EPD. “Voor het management waren de Office-applicaties het belangrijkst,” licht manager I&A René Jacobs toe. “Voor behandelaars het EPD.”
Drie minpunten
Het beheer van de mobilie devices stond nog in de kinderschoenen. Adelante bekeek drie zogeheten MDM-oplossingen. Terugkijkend weet automatiseringsmedewerker Roel Vliegen waarin het pakket dat ze destijds aanschaften tekort schoot: “Er was allereerst geen functionaliteit voor data sharing, waardoor medewerkers op zoek gingen naar alternatieven, die vaak niet goed beveiligd waren. Ten tweede was er geen mobile application management beschikbaar. Een Word- of PDF-document moet je gewoon kunnen openen in veilige door Adelante gekozen apps. Maar je wilt niet dat medewerkers in diezelfde apps ook privédocumenten openen.” Een derde minpunt van die eerste MDM-omgeving betrof beperkingen ten aanzien van de te gebruiken devices.
Profielmanagement
Na die eerste ervaringen wilde de organisatie enkele jaren later gebruikersflexibiliteit koppelen aan optimale beveiliging. Jacobs: “Bij de meeste oplossingen moet je op één van beide gebieden concessies doen.” Toch waagden ze de sprong met MobileNow van AppSense, wat mobiele devicemanagement, applicatiemanagement en datamanagement combineerde in één oplossing. “De gebruikersprofielen stonden centraal in plaats van de devices, de data of de applicaties. Vanuit dat profiel kon je die andere drie integraal aansturen. Dat was zowel voor gebruikers als voor ons beheerders erg prettig.” Toen AppSense MobileNow ging uitfaseren, moest Adelante noodgedwongen de markt nog een keer verkennen en daarbij gezien dat spelers regelmatig hun voorwaarden en licentiebeleid aanpassen. Een eerdere kandidaat kwam nu, vanwege een veel gunstiger licentiemodel, weer in beeld: VMwareAirwatch. “Wij hebben twee groepen gedefinieerd: smartphones en tablets,” vertelt Jacobs. “Het grootste verschil in beide groepen zit in Secure Content Locker, die het mogelijk maakt om op een externe locatie Adelante-data te bekijken. Op de tablets maken we daar wel gebruik van, omdat we daar veel word- en PDF-documenten op openen. Op de telefoons niet.”
Gebruiksgemak én security
Vliegen licht de authenticatie via PKI toe: “Volgens de NEN-richtlijnen voor de zorg moeten gebruikers complexe wachtwoorden kiezen die ze, in ons geval, iedere 60 dagen moeten wijzigen. Met PKI hoeven ze dat wachtwoord nog maar op één device te veranderen – de fysieke werkplek – en alle andere devices passen zich automatisch aan.” Een andere optie is een meegeleverde secure browser. “Buiten de muren van Adelante, dus op locatie, krijgt de medewerker via zijn mobiele device alleen toegang tot het EPD via die speciale browser. Dat kan op iOS, Android en Windows apparaten.”
Via het Apple Volume Purchase Program kan Adelante centraal apps uit de appstore aankopen en pushen naar de juiste devices. “Het gaat hierbij primair om de office apps,” verklaart Jacobs, “zodat gebruikers bijlagen veilig kunnen openen. Voorheen kregen medewerkers een iTunes giftcard waarmee ze deze apps konden aanschaffen. Nu regelen we dat centraal. Dat scheelt gewoon heel veel tijd en geeft meer grip op de kosten. Bovendien kunnen we bij uitdiensttreding makkelijk de Adelante-data van het device wissen.”
Twee adviezen
Gebaseerd op hun ruime ervaring met mobiel werken hebben Jacobs en Vliegen twee belangrijke adviezen aan andere organisaties: “Zorg ervoor dat je alle aspecten van mobiel werken – data, applicaties en devices – aanstuurt vanuit één omgeving. En stel bij de inrichting van die omgeving het gebruikersgemak centraal. Als je wilt dat zij op een veilige manier werken, moet je het eenvoudig maken om aan jouw securityrichtlijnen te voldoen. Hoe meer drempels je opwerpt, hoe fanatieker medewerkers zullen proberen die hordes te omzeilen. Daarmee maak het je het eerder onveiliger dan veiliger.”
