Jaa


Mektige brukere

Trenden consumerization har vært et buzz ord ganske lenge, men jeg hører stadig flere som sier at de nå virkelig merker at dette treffer dem. Først, la oss se litt på hva trenden består av, i all enkelhet

1. Brukernes forventninger til teknologien er i endring. De forventer i stadig større grad og er mer bevisste på at teknologien skal gjøre det de vil, fungere slik de vil og støtte de oppgavene de skal utføre. De skal ikke selv være nødt å innrette seg etter teknologien

    • Og grensesnittet der denne forventningen kommer fram og blir kommunisert er IT-avdelingen, som ofte og naturlig nok sees som personifiseringen av teknologien de benytter på jobb.

2. Brukerne har også etter hvert et mer utvisket skille mellom jobb og privat. Graden varier nok en del med jobbkultur og generasjon, men felles for alle er en økt bruk av teknologi, ulike typer enheter i stor grad, som privat bruker (forbruker). I vårt privatliv er det mange ulike enheter som dekker mange behov etterhvert og ikke minst mange tjenester som benyttes aktivt. Siden disse fungerer så godt der og/eller er blitt så viktige for oss som privatpersoner virker det veldig kunstig og begrensende hvis man kommer inn i et miljø der de ikke kan benyttes.

 

 

Utfordringene

1) Brukernes forventning til teknologien og ønsker om hvordan den skal benyttes endrer seg raskt. Til tider raskere enn teknologien, “gamle” ting blir brukt på måter de ikke var ment, men nesten alltid raskere enn IT-avdelingen kan rekke å imøtekomme det, gitt sine kriterier til sikkerhet, kostnadseffektiv drift osv.

    • På mange måter tror jeg også det er teknologien som henger etter brukernes faktisk behov og vanskeliggjør det å la IT-avdelingen yte de tjenestene som forventes. En indikasjon på dette er en rekke nisjeprodukter og tekniske trender som har dukket opp de siste årene, som går direkte på noen av de tekniske utfordringene med consumerization. Og ikke minst forslag til scenarioer på hvordan man skal benytte eksisterende løsninger som virtualisering (VDI/TS/App) til å imøtekommende brukerne på en kostnadseffektiv måte. Slik sett kan man nok hevde at den tekniske modenheten henger etter brukerne.
    • Men jeg tror også det er ett tankesett som fortsatt henger igjen i mange bedrifter, og da ikke bare hos IT-avdelingen. Dette dreier seg om elementer som hva man måler IT-avdelingens suksess på, hvordan medarbeidere i seg selv måles, hvordan man tillattes/oppfordres til å jobbe
      • Det er klart at IT-kostnadene må holdes under kontroll, men ikke lavt for enhver pris, men balansert i forhold til verdien man realiserer, akkurat som man gjør innen andre felt. Men her møter man to store utfordringer: IT er ofte sett på som en kostnad i utgangspunktet og har slik sett en terskel å overkomme for å bevise verdien ideene deres kan bringe til bedriften. I tillegg til det er det vanskelig å kvantifisere den faktiske gevinsten man får pr bruker ved å imøtekomme deres ønsker generelt sett. Selv når man ser direkte på konkrete enkeltscenarioer er det vanskelig å sette tall på. Hvis en bruker sparer 5 minutter på forenkling av en IT-løsning, hvor stor del av den tiden kommer da til bedriftens nytte? Og hva er verdien av den tiden?
      • Det er gammeldags å måle arbeidsinnsats på fysisk tilstedeværelse innen gitte tidsrom. Min påstand er at brukerne vil jobbe langt mer effektivt om de selv får velge stil og metode, hvis man klarer å tilrettelegge for at alle kan jobbe slik de selv yter best, da blir totalen langt større. Dette er jo i utgangspunktet en kultur, organisasjon og HR diskusjon, der teknologi bare blir en følge av det. Men en endring i tankesett her må også følges av endring i IT-avdeling, med andre designprinsipper og avgjørelseskriterier.
      • Sikkerheten må jo selvsagt også ivaretas, men heller ikke den til enhver pris. For å kunne imøtekomme brukernes og forretningssidens behov raskere og bedre kreves det et nytt tankesett her også. Først og fremst er det viktig å tilpasse seg det trusselbilde som gjelder ens egen bedrift og ikke skalere opp kravene mer enn nødvendig. For det andre må man veie risikoen opp mot gevinsten og balansere det. Det kan være risiko det er forretningsmessig riktig å ta, ikke bare når det gjelder investeringer, men også når vi snakker teknologi. Begge deler fordrer et aktivt og godt forhold til risikobilde. Den siste delen rundt sikkerhet som er viktig er å få et tankesett der spesialistene på dette emnet er med å tenker løsning for å komme til målet, at de deltar aktivt med å finne muligheter for å tilpasse slik at man oppnår god nok sikkerhet.

 

2) Brukernes forventninger til teknologi kommer fra den private sfæren og de finner seg ofte favoritt tjenester som virkelig betyr noe for dem. Disse fungerer godt privat og det kan være vanskelig for brukerne å forstå kompleksiteten i å få til det samme som en løsning på jobb. De færreste brukere har et forhold til elementer som juridisk ansvar, sikkerhet, identitetshåndtering, personopplysningslover og bransje regulativer.

    • Selv om opplæring og forventningsstyring av brukere kan være med å øke forståelsen noe, så demper det sjelden ønske om å kunne bruke egne foretrukkede verktøy. Brukerne vil i større og større grad blande tid (og sted) som benyttes til arbeid og privat. Når de er hjemme eller på annet sted som er knyttet til det private vil det være et sett med enheter de har å jobbe på, når de er på jobb vil det være et annet. Dette medfører at de er mindre effektive minst ett av stedene.
    • Brukerne ser ofte ikke på det som uheldig å jobbe litt også utenom god gammeldags arbeidstid, spesielt ikke når de får tilgang til det de trenger og absolutt ikke hvis de samtidig har fleksibel arbeidstid. Men blant bedriftene derimot finnes det helt klart mange som fortsatt ikke ønsker at brukerne skal kunne blande inn privatlivet sitt når de er på jobb. Ref. f.eks diskusjonen om å blokkere Facebook o.l. fra jobb. (tidligere post om emnet) Denne diskusjonen og skepsisen har vi vært gjennom flere ganger før og, med mobiltelefoner, e-post, instant messaging.
    • En av de virkelig store, men til nå undervurderte utfordringene, med å blande private oppgaver, tjenester, hendelser med jobb er ansvaret det medfører. Hvis en person utfører en ulovlig handling fra sin maskin i jobbtiden, fra jobbens nettverk, så har bedriften et ansvar. Men hva om maskinen var kjøpt privat, men satt opp av bedriftens IT-avdeling? Hva om maskinen ikke var på jobb og/eller ble benyttet utenfor arbeidstiden? Dette er ikke avklart pt, det har vært få rettsaker. Mange bedrifter har valgt å ta et standpunkt, men disse er ikke prøvd for retten. Og når man blander eier og bruksforhold, hvem har juridisk ansvaret for dataene?
      • Se f.eks. på den fiktive historien om Mary D. som mistet det siste bilde av sin sønn, som døde av kreft, fordi hun ble sagt opp av firmaet hun jobbet for og de slettet da alt på mobilen hennes. Denne er blitt debattert lenge og vel.
    • Blanding av firmakontrollerte enheter og løsning med privatliv åpner også for andre praktiske, moralske og juridiske problemstillinger.
      • Bruk av tjenesten og enhetene vil ofte være sporbart, både i tid og sted. Selv når brukeren opptrer som privatperson
      • Kontroll med sikkerheten på enheten vil ofte medføre inspeksjon av nettrafikk, logging og evt. sperring av nettsteder man er på, også når brukeren opptrer som privatperson.

 

 

Fremtiden

Denne er jo aldri lett å spå, men jeg føler meg sikker på noen ting:

  • Fokuset på at teknologi skal underbygge forretningens behov vil bare bli større
  • Fokuset på å redusere kost på teknologi vil fortsette lenge
  • Brukernes forventninger til teknologi vil bare bli større, inkludert til innovasjonstakt
  • Brukerne kommer til å få større makt
  • Flere på forretningssiden kommer til å forstå teknologi og bli bedre kravstillere, men også kreve mer
  • Ny teknologi vil komme og gå i forbrukermarkedet, noe vil stå sterkt over tid og skape nytt press på forretningsmessig bruk også

Personlig har jeg stor tro på at vi går mot en framtid der løsningene i stor grad er enhetsuavhengige, men i større grad nettavhengige. Jeg ser for meg at både private og firma data/tjenester er tilgjengelig på nett og at brukerne selv kan sette sammen tjenesteaspektet de ønsker på sin enhet. For enkelte firmaer og enheter er det allerede kommet ganske langt i denne retningen, som for eksempel min egen mobil. Her har jeg koblet til både private data og firma data, flere private epostkontoer, samt jobbepost selvsagt. Jeg har også valgt meg ut et spekter av andre tjenester, som ligger litt mellom privat og jobb, f.eks. reiseverktøy.

De personlige tjenestene vil nok typisk være meget uavhengige av enhet og annen kontekst, mens firmatjenestene antagelig vil tilpasse seg kontekst i større grad, gi ulikt tjenestetilbud basert på kriterier som enhet, bruker, tid, type data osv., med tanke på å ha et godt nok sikkerhetsnivå. Som del av dette tror jeg det vil bli nødvendig å bevege seg mer mot å sikre informasjon heller en enheten informasjonen befinner seg på. Det vil også gjøre at man må tenke mye mer gradert på sikkerhet enn bare “innenfor” og “utenfor” (evt. DMZ), som man ofte gjør i dag. Dette igjen fordrer en mye bedre klassifisering av informasjon enn de fleste har i dag.

Løsningen

Dessverre finnes det nok ingen fasitløsning på hvordan en bedrift bør håndtere denne trenden og dens ulike aspekter. Det er likevel noen steg man absolutt bør begynne å ta:

  • Definere en tydelig strategi som omhandler klient enhetene, hvordan de skal benyttes og ikke minst hvordan brukerne skal få jobbe. Hvilke scenarioer skal enhetene passe til?

  • Bestemme seg for hvilket forhold man skal ha til «bring-your-own-device» strategi og hva man eventuelt forventer å få ut av det

  • Få på plass både prosesser og teknisk løsning for god identitetshåndtering og støtte for SSO mot 3.part tjenester

  • Sørge for å få på plass i alle fall enkle prosesser for klassifisering av informasjon og risikoklassifisering av tjenester

  • Dreie sikkerhetsprinsipper mot sikring av objekter og funksjonalitet på logisk nivå for å oppnå dette på en fleksibel og skalerbar måte.

  • Se på ulike løsninger for fjernaksess/tilgang til informasjon som åpner for mer kontekstbaserte regler.

Veldig mye av dette kan man få til rent teknisk pr i dag også, men for å kunne begynne må man først bestemme seg for hvilket forhold man skal ha til consumerization og dens effekter.

Selv mener jeg det finnes sterke grunner til å være åpen og planlegge for å benytte seg av muligheten til å tilrettelegge for brukerne. Den største utfordringen rundt dette er jo sikkerhetsmessige og juridiske (compliance) aspekter. Dette gjør at tilnærmingen vil måtte være forskjellig for ulike bedrifter. En mulig modell kan være den illustrert under, der tilgangsstyring og klassifisering av informasjon vil stå for tilpasningen til ulike regulativers krav.

Tanken bak modellen er å tilrettelegge så godt som mulig for at brukeren skal kunne velge, men samtidig håndtere sikkerhet/risk gjennom ulike servicenivå. Effektivt betyr det at brukeren kan ta et bevisst valg og være klar over konsekvensene det får.

clip_image002