Der moderne Arbeitsplatz im Zeitalter von iPad und Facebook

Nachdem private Geräte im Arbeitsumfeld längst auch ausserhalb jeder Governance Teil des Arbeitsumfelds geworden sind, prüfen viele Unternehmen derzeit die Umsetzung eines „Bring Your Own Device“-Szenarios (BYOD), also der Nutzung von privat beschafften Geräten für den beruflichen Einsatz. Die wichtigsten treibenden Faktoren hinter dieser Entwicklung sehen die Arbeitgeber dabei im Wunsch der Mitarbeiter nach mehr Individualität und Flexibilität sowie in der Stärkung der Attraktivität auf dem Arbeitsmarkt. Demgegenüber gelten Compliance- und Sicherheitsanforderungen als grösste Hürden.

Für viele Mitarbeiter ist die Nutzung von eigenen Geräten für berufliche Zwecke bereits selbstverständlich und der Trend zu mehr Individualität und Mobilität am Arbeitsplatz setzt sich weiter fort. Die Arbeitgeber stehen unter Zugzwang,  den Einsatz persönlicher Geräte auf Basis klar definierter Vorgaben zu ermöglichen, um die notwendige Governance sicherzustellen.

Auch der Einsatz von Social-Media-Plattformen ist allgegenwärtig. Die Unternehmen sehen diese vorrangig als neuen Kanal für die direkte Ansprache des Endkunden, der sich zunehmend in diesen neuen Medien bewegt. Sie fürchten aber eine Schädigung des Rufes beim Einsatz neuer Medien, insbesondere infolge des Kontrollverlustes über publizierten Inhalte und den unautorisierten Zugriff auf schützenswerte Unternehmensdaten.

Wie die Umfrage unter Entscheidern bei grossen Versicherungsfirmen ergeben hat (siehe Beitrag „Versicherungsfirmen in der Schweiz fühlen sich bereit für das Mobile-Computing“), stehen für eine Mehrheit der Befragten die Themen der Flexibilisierung und Modernisierung des Arbeitsplatzes auf der Agenda weit vorne. Die Schlussfolgerung ist, dass die allgegenwärtige Vernetzung und Mobilität, die im Privatleben längst Einzug gehalten hat, in naher Zukunft auch das Berufsleben stark beeinflussen wird.

Freie Wahl am Arbeitsplatz

Die Grenzen zwischen Privatleben und Beruf verschwimmen zusehends. Immer mehr Mitarbeiter nutzen moderne Endgeräte wie Smartphones oder Tablet-PCs, wobei über zwei Drittel aller Consumer-Geräte nicht nur für private Zwecke, sondern auch geschäftlich genutzt werden. Präferenzen bezüglich eingesetzter Geräte, Betriebssysteme oder Anwendungen sind bei vielen Mitarbeitern stark ausgeprägt und sind oft auch Ausdruck ihrer Individualität. Man ist heute nicht mehr überrascht, wenn ein Geschäftsleitungsmitglied mit seinem privaten Gerät zu einer Sitzung erscheint - Compliance und Security Experten stehen der Situation oft hilflos gegenüber.

Firmen können diese Präferenzen aber auch für sich einsetzen und eine Win-Win-Situation erreichen, indem sie offen auf die Wünsche der Mitarbeiter eingehen. Gesteigerte Produktivität, erhöhte Motivation und das Image, eine moderne Firma zu sein, sind nur einige der Vorteile der Flexibilisierung bei der Wahl des Arbeitsgerätes. Einige wenige  Firmen nutzen bereits die Möglichkeit durch den Einsatz neuer Modelle zur Arbeitsplatzgestaltung ihren Ruf als innovativer und dynamischer Arbeitgeber zu etablieren oder auszubauen. Schon in einigen Jahren wird es zum guten Ton gehören, den Mitarbeitern zumindest Wahlrecht zuzugestehen, wenn es darum geht, welches Gerät sie täglich viele Stunden benutzen werden.
Viele Firmen sind heute noch nicht bereit für diesen Schritt. Besonders die Einhaltung von Compliance- und Sicherheitsstandards sind häufig genannte Bedenken, die den Wünschen nach Mobilität und Individualität im Weg stehen.

Evaluation der Kostenoptimierung durch BYOD-Szenarien

Der Treiber für BYOD kann aber nicht nur sein, dem Wunsch der Mitarbeiter nach mehr Flexibilität nachzugeben. Vielmehr geht es darum, einen konkreten Business Case mit einer mittelfristigen Laufzeit der Kapitalrendite zu entwickeln. Dabei sollten unter anderem folgende Kostentreiber mit einbezogen werden:

• Kosten des BYOD-Umsetzungsprojektes
• Hard- und Softwarekosten infolge der Anforderung bezüglich Informationssicherheit auf „Fremd“-Geräten
• Training der Mitarbeiter
• Lizenzgebühren der Desktop-Virtualisierung (je nach Umsetzungsvariante des BYOD-Prinzips)
• Entschädigung des Mitarbeiters (einmalig, monatlich, jährlich)
• Aufbau bzw. Erweiterung des Infrastrukturteams, das sich um Desktop-Virtualisierung kümmert

Diese und weitere Kosten müssen den Erträgen gegenübergestellt werden. Hier können unter anderem folgende Kostenvorteile eingebracht werden:

• Steigende Effizienz der Mitarbeiter durch Verringerung von Fahrtzeiten
• Verringerung der Hardwarekosten für Workstations/Laptops
• Geringere Personalkosten im Support (je nach Umsetzungsvariante des BYOD-Prinzips)
• Dazu kommen die Nutzen im Bereich der Compliance und Security:
• Minimierung der Risiken durch den ohnehin gegebenen Einsatz privater Geräte
• Sicherstellung der Compliance

Falls die Kosten oder Nutzen nicht monetär erfasst werden können, sollte man diese mit Eintrittsszenarien bewerten, z. B. mit einem Best- und Worst-Case-Szenario. Des Weiteren wird es vermutlich in den nächsten Jahren schwierig sein (abhängig von der Branche und Zusammensetzung der Mitarbeiter), alle Mitarbeiter von einem BYOD-Konzept zu überzeugen. Es wird in einigen Fällen Mitarbeiter geben, die ihr Arbeitsgerät nicht privat beschaffen wollen oder können. Auch diese Fälle müssen in dem Business Case miteinbezogen werden.

Zu prüfen ist auch, ob ein Outsourcing oder Outtasking, z. B. des Security-Managements der privaten Geräte der Mitarbeiter, zu einer Vergünstigung der Kostenstruktur führt und damit den Business Case positiv beeinflusst.

BYOD und die Auswirkung auf Service-Management-Prozesse

Bei der Einführung von BYOD muss zunächst einmal das für das jeweilige Unternehmen richtige Szenario gewählt werden. Geht es dabei um die Ablösung von Mobiltelefonen, inklusive dem Vertragsmanagement, oder um die Arbeitsplatzgeräte wie Workstations und Laptops? Je nach Szenario wird es einen grösseren oder kleineren Einfluss auf die bestehenden Service-Management-Prozesse haben. Hierbei sind unter anderem folgende Prozesse auf Änderungen zu überprüfen:

• Service-Ordering-Prozess
• Incident- und Problem-Management-Prozess
• Change- und Release-Management-Prozess
• Lifecycle-Management-Prozess

Darüber hinaus sind weitere Prozessgruppen betroffen, die nicht mittelbar im Service-Management anzusiedeln sind, wie HR Prozesse, Procurement und Security Management.  Um die Governance der Prozesse sicherzustellen ist nach der Prozessänderung ein interner Audit zu empfehlen; damit sollen  Prozesslücken vermieden werden. In der Praxis wird dies leider oft nicht gründlich genug gemacht. Das kann beispielsweise dazu führen, dass Geschäftsdaten, die offiziell für Firmenzwecke genutzt werden, nach Austritt des Mitarbeiters auf privaten Geräten verbleiben. Auch hier gilt die Regel: Vertrauen ist gut, Kontrolle ist besser.

Risikoaspekte beim Einsatz von BYOD

Die Art und Weise wie Unternehmen mit Mitarbeitern, Kunden und anderen Organisationen zusammenarbeiten, hat sich in den vergangenen Jahren sehr stark verändert. Der Einsatz von mobilen Geräten hat die Grenze von geschützten, vertrauenswürdigen Informationen aufgeweicht. Unternehmensdaten sind heute  auf Smartphones oder Tablet-PCs global verfügbar - nicht zuletzt wegen BYOD auch auf privaten Geräten. Geschäftsinformationen, die früher in geschützten Umgebungen zur Verfügung standen, fliessen frei durch globale Netze.

Der komplexen virtuellen Umgebung ausgesetzt, wird es für Unternehmen immer wichtiger, nicht nur die Einhaltung von regulatorischen Anforderungen zu erfüllen, sprich entsprechende Kontrollen zur Verfügung zu stellen, um finanzrelevante Informationen zu schützen. Immer wichtiger wird es, ein adäquates IT Risk Management aufzubauen. Historisch betrachtet war dies isoliert in IT-Abteilungen zu finden. Eine gesamtheitliche Risikobetrachtung mit den operationellen Unternehmenseinheiten, den Finanzen, der Compliance oder mit der Strategie fehlte oftmals.

Heute ist das Bewusstsein stärker vorhanden, dass  IT Risk Management nicht nur ein Thema der IT ist. Der rasante technische Wandel, die ständigen Bewegungen  im Markt, der Druck aufgrund neuer regulatorischer Anforderungen zwingen Organisationen, permanent auf sich verändernde Risiken zu reagieren. IT Risk Management wird künftig ein wesentliches Element der unternehmensweiten Governance sein, um dem Board, dem Management, den externen Stakeholders und dem Regulator lückenlos nachzuweisen, dass die wesentlichen Unternehmensrisiken identifiziert, die gesetzlichen Anforderungen berücksichtigt und die Kontrollen zur Erreichung der strategischen Ziele und zum Schutz des Unternehmens eingehalten werden.