vrijdag 28 mei 2010

To Block or Not. Is that the Question?

Bedrijfsnetwerken zijn niet meer onder controle van IT: gebruikers hebben het al lang overgenomen.

IT'ers denken nog dat het komt omdat ze de gebruikers niet voldoende (mogen/kunnen) controleren. Het is ironisch IT zelf dat verantwoordelijk is voor het probleem. Allerlei webtoepassingen maken de bedrijfsnetwerken open en zetten de deur open voor allerlei bedreigingen en taken waarvoor het bedrijfsnetwerk niet gemaakt werd.

Dus denken die van IT "probleem aan de wortel aanpakken" en verbied die gebruikers die webdingen te doen op het netwerk en blokkeer alles.

Op hun beurt denken de gebruikers dan weer dat die IT'ers hun job niet doen en het netwerkbeheer slecht organiseren want het netwerk laat hen dan niet meer toe hun werk deftig uit te voeren.

Het is simpel: de gebruikers willen binnen het netwerk dezelfde toepassingen kunnen gebruiken als hun klanten, dezelfde toepassingen die ze thuis kunnen gebruiken. Al die webtoepassingen zijn trouwens "samenwerk" toepassingen: van railtime waar we samen naar de trein(-vertragingen) kijken ipv te bellen met een medewerker in het station, van blogs waar je wil iets wil van leren en waar je kennis wil delen, van alle mogelijk beeld en klank dat inherent gaat deel uitmaken van elke communicatie. Die samenwerktoestanden blijven groeien (collaboratie) omdat ze altijd en overal beschikbaar zijn en zo makkelijk te hanteren en relevant zijn. Die toepassingen zijn ook totaal anders qua opzet dan de klassieke interne bedrijfstoepassingen die hun verdienste niet hebben als het gaat om makkelijk te gebruiken, ontdaan van alle overbodige rommel en makkelijk aan te passen aan eigen behoeften. Dus de IT'ers kennen er niks van zeggen de gebruikers en ze eisen " niks blokkeren".

In alle discussies hieromtrent komen we in BHV-scenario's: de standpunten staan extreem tegenover elkaar. Waarom zouden we voor iets grijs kiezen als zwart/wit ook kan? Het antwoord ligt dus duidelijk niet in oplossingen als "alles blokkeren" tegenover "niks blokkeren". Het enige antwoord is dat het moet mogelijk zijn te zien wat er gaande is: stop alles in een grijze zone maar slaag er in om altijd correct te antwoorden. Het antwoord is niet te vangen in een spinnenweb van uitzonderingen.

"Only a few years ago, the world was still considered round. Borders existed around countries, cities, even companies. Some were imaginary borders enforced by policies of law, others were physical borders enforced by machines. The firewall became the "borderline" to enterprise networks. Nothing without a "passport" could come in or go out. Known traffic—of which there was little—was allowed in and all other traffic was denied access. The world was simple.

Today, we recognize the world is flat—as in a total lack of borders. We may think or hope they still exist, but in reality almost every border has been compromised. In the context of enterprise networks, the traditional firewall has long ceased to be relevant. New generations of applications, technologies, and techniques have emerged that have compromised the traditional borders, despite the veritable sprawl of technology that has been thrown at solving the problem. In other words, developers have found ways to avoid the borders by inventing evasive tactics, tunnels, and other ways to "jump the fence." In addition, the user community has found ways too"


 

De inventaris van zaken die mensen binnen een bedrijfsnetwerk willens nillens zullen gebruiken is enorm. Een aantal zaken zijn gewoonweg niet tegen te houden (en waren dat vroeger voor er sprake was van bedrijfsnetwerken trouwens ook niet).


 

  • Hotmail, Gmail, … webbased mail is tegen te houden maar er altijd zijn er wel nieuwe webbased mail systemen die de dans ontglippen: als webbased mail dicht geschroefd is, dan gebruikt men onmiddellijk interne mail als alternatief.
  • Op wiki's, forums, commentpages leveren mensen commentaar: de lijst van de sites waar mensen kunnen posten en meningen uitwisselen is oneindig. Filtersoftware probeert bepaalde blogs tegen te houden maar filtert er zoveel uit dat zelf de meest relevante informatie (bv. op officiële supportsites) ontoegankelijk wordt en voor productiviteitsverlies zorgt
  • Nieuwsgaring van om het even welke bron kan via RSS aangeleverd worden op eender welke pagina: niet tegen te houden. Toch blokkeert men de sites met de oorspronkelijke informatie.
  • Als messaging dicht geschroefd staat schakelt men wel bv. over naar SMS of andere vormen van texting op smartphones en voor heel veel mensen is dit gratis. De meest simpele vorm van texting is trouwens mail.
  • Complexe sociale netwerken als Facebook, dingen als Youtube of Twitter worden zo als gemeengoed ervaren dat verbieden een hoge sociale prijs heeft: in de logica van gebruikers wordt dit als even erg of even betutteld ervaren als het verbieden van het voeren van een GSM-gesprek of het verbieden van het opeten van de eigen boterhammen.


 

Moet er dan absoluuts niets geblokkeerd worden? Is de absolute vrijheid de heilige graal? Dronken rijden in het verkeer is ook verboden. Het argument dat "als je dat voorzichtig doet …." wordt ook door ieder redelijk mens afgewezen. Of bv. als uitzondering pornosites of goksites verbieden bijdraagt aan het beter functioneren van het bedrijfsnetwerk lijkt men me helemaal niet zeker: als één of andere rukker uren lang naar porno zit te kijken of zit te pokeren dan zit hij vooral werktijd te verknoeien. Met dit soort uitzonderingen proberen af te vangen pas je maatregelen toe die voor het gros geen issue zijn. Bij iedere uitbreiding van het domein porno, gokken enz straf je nog meer mensen voor wie overmatig surfen geen issue is. Als we dit even loskoppelen van "internet" dan zou het even waanzinnig zijn bv. het lezen van kwaliteitskranten wel toe te laten maar dan bv. dag allemaal en co te verbieden? Wie neemt het bedrijf nu het meest in de mailing; de directeur die iedere ochtend in de tijd zijn beurskennis zit Bi te schaven of Mieke die capriolen van de sterren wil volgen? Dronken rijden in het verkeer is dus ook verboden: dronken rijden is in dit geval binnen de bedrijfsuren teveel tijd spenderen aan zaken die manifest niet met bedrijfszaken te maken hebben. In het verkeer is dit gelukkig aan te tonen met een promille percentage. Op internet helaas is het niet zo eenduidig. Dus interpretatie. Dus integratie in de volledige personeelsevaluatie. Dus niet meer focussen op dronken rijden maar alle regels die bepalen of je dan nee je rijbewijs mag houden. Dus tijd op internet, type informatie, moment van raadplegen, gecumuleerd gedrag nakijken, …. Monitoren dus met flitspalen en toevallige controles. De verstandige gebruikers zullen er wel bij varen en een hoop IT'ers zullen hun tijd niet meer nodeloos zitten verdoen.