juha wilkman: byod - haasteet ja mahdollisuudet omien laitteiden käytössä valtionhallinnossa
DESCRIPTION
Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 9.10.2012, apulaisjohtaja Juha Wilkman: BYOD - haasteet ja mahdollisuudet omien laitteiden käytössä valtionhallinnossa.TRANSCRIPT
BYOD – haasteet ja mahdollisuudet omien laitteiden käytössä valtionhallinnossa Apulaisjohtaja Juha Wilkman, Valtiokonttori
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
BYOD – Bring Your Own Device
• Yleistynyt keskustelun aihe, laukaisijana uudet tuotteet ja palvelut.
- Älypuhelimet, tabletit, kuluttajille suunnatut pilvipalvelut
• Laajempi kokonaisuus kuin pelkät laitteet - Itsepalvelu, hallinnan siirtyminen käyttäjälle
- Valinnanvapaus, yksilöllisyyden korostaminen
- Kotona oleva tietotekniikka modernimpaa kuin työpaikalla
• Toistaako historia itseään?
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Kuva: Marcin Wichary
Yleisiä ansakuoppia ja väärinkäsityksiä
• ”Omat laitteet vähentävät kustannuksia”
• ”Laitteen omistajuus on olennainen kysymys.”
• ”Modernia tekniikkaa ei saa muulla tavalla käyttöönsä kuin tuomalla sen itse työpaikalle.”
• ”Tietoturva ei salli omien laitteiden käyttämistä”
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Ratkottavia kysymyksiä
• Kuka maksaa ja kuka korvaa?
• Rajoitetaanko sovellusten käyttöä? Sallitut sovellukset vs. kielletyt sovellukset?
• Vaaditaanko tiettyjä sovelluksia, kuten kryptaus, virustorjunta?
• Sallitaanko laitteen etätyhjennys?
• Kuka hallitsee laitetta?
• Vaaditaanko ilmoittamista varastetuista laitteista?
• Toimintatavat laitetta uusittaessa?
• Toimintatavat virkasuhteen päättyessä?
• Kuka ottaa varmuuskopiot?
• Minkä suojaustason materiaalia BYOD-laitteessa voidaan käsitellä?
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Kultainen keskitie BYOD-toteutuksissa
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Käyttäjä voi tuoda minkä tahansa oman laitteen, mihin tahansa työhön liittyvään palveluun.
Käyttäjä ei voi tuoda omia laitteita
Käyttäjä voi tuoda sallittuja omia laitteita, tiettyihin työhön liittyviin palveluihin.
Kultainen keskitie BYOD-toteutuksissa
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Käyttäjä voi tuoda minkä tahansa oman laitteen ja käyttää sitä mihin tahansa työhön liittyvään palveluun.
Käyttäjä ei voi tuoda omia laitteita
Käyttäjä voi tuoda sallittuja omia laitteita ja niitä tiettyihin työhön liittyviin palveluihin.
BYOD edellyttää sallittujen laitteiden ja palveluiden määrittelyä! BYOD edellyttää ohjeistusta ja käyttöpolitiikkaa!
• VAHTI nykyohjeistuksen noudattaminen ei mahdollista BYOD-laitteen pääsyä suoraan sisäverkon puolelle.
• VAHTI-ohjeistusta ollaan päivittämässä uusien päätelaitteiden vuoksi.
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Osa-alue Viite Vaatimus Perustaso Korotettu taso Korkea taso
Sisäverkon päätelaitteet
13.2 Kullakin päätelaitteella on yksilöity tunnus. Identtiset laitekokoonpanot erotetaan em. tunnuksen perusteella.
vahva suositus pakollinen vaatimus pakollinen vaatimus
Sisäverkon päätelaitteet
13.3 Käyttäjille on laadittu lyhyet, selkeät ohjeet päätelaitteiden turvallisesta verkkokäytöstä - kullekin päätelaitetyypille omansa.
suositus pakollinen vaatimus pakollinen vaatimus
Sisäverkon päätelaitteet
13.4 Tuntemattomien päätelaitteiden pääsy verkkoon verkkoon on estetty kytkinporttien asetuksilla.
suositus vahva suositus pakollinen vaatimus
Sisäverkon päätelaitteet
13.6 Päätelaitteissa on soveltuvilta osin käytössä laitekohtainen palomuuri.
vahva suositus pakollinen vaatimus pakollinen vaatimus
Sisäverkon päätelaitteet
13.8 Työasema- ja muu päätelaitekanta on yhtenäistetty.
suositus suositus vahva suositus
Sisäverkon päätelaitteet
13.10 Työasemissa on käytössä työasemakohtainen palomuuri.
pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
Sisäverkon päätelaitteet
13.11 Kannettavien työasemien kiintolevyt on salattu
pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
Sisäverkon päätelaitteet
13.12 Pöytätyöasemien kiintolevyt on salattu
suositus vahva suositus pakollinen vaatimus
Haasteet tietoturvaohjeistuksen kanssa
Eri tapoja toteuttaa BYOD
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
2012 Sähköposti, Kalenteri, Kontaktitiedot ActiveSync
2013 Sisäverkon palveluiden osittainen julkaiseminen MS UAG
2013-2014 Virtualisointi- ratkaisut Citrix/Vmware/etc Windows to Go
NEVER? BYOD-laitteen suora kytkeminen sisäverkkoon
Kustannusten kasvaminen
Tietoturvariskien kasvaminen
Haasteet lisensointimallien kanssa
• Työasemiin ja päätelaitteisiin liittyvät lisensointikysymykset voivat olla haastavia BYOD-laitteiden kanssa.
• Lisenssirikkomusten mahdollisuus on selvitettävä ennen BYOD-laitteiden käytön sallimista.
• Erityisesti huomioitava Microsoftin lisensointimallit ja -ehdot.
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Lähde: Volume Licensing brief: Microsoft licensing for the consumerization of IT, Microsoft
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Lähde: Volume Licensing brief: Microsoft licensing for the consumerization of IT, Microsoft
Esimerkkitoteutus: Älypuhelinpalvelut
• Valtion yhteinen viestintäratkaisu ja VN-sähköposti tukevat ActiveSync-rajapintaa.
- Sähköposti, kalenteritiedot, kontaktitiedot
• Koska Valtion IT-palvelukeskuksen asiakkaat omistavat älypuhelimensa, ratkaisu vastaa BYOD-toteutusta.
- ”Tekniikan tai tietoturvan kannalta ei ole eroa onko virkamiehen älypuhelin ministeriön, leasingyhtiön vai hänen omistamansa.”
• Käyttäjä pääsee palveluun vain erikseen tähän sallitulta laitteelta.
• Palvelu pakottaa tietyt tietoturva-asetukset käyttöön.
• Loppukäyttäjä ottaa palvelun käyttöön ohjeistuksen avulla, itsepalveluna.
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Toteutustapa
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Korvattu MS NLB:llä
Suositukset
• Investointien tekeminen pelkästään BYOD-näkökulmasta ei ole perusteltua.
• BYOD-näkökulman huomioiminen investointia tehtäessä on enemmän kuin perusteltua!
• Vahti-ohjeistukseen perehtyminen.
• Organisaation lisensointisopimuksiin perehtyminen.
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Suositukset
• Käyttäjäpolitiikan määrittely ja BYOD-käyttäjiltä suostumuksen pyytäminen laitehallintaa varten.
- Sitoutuminen myös tietoturvaohjeistukseen
- Vastuuvapautus etätyhjennyksen varalta
• BYOD-laitteiden rajaaminen ja palveluiden rajaaminen. - Käyttäjä ja laite tunnistettava.
• BYOD-laitteita ei päästetä sisäverkon puolelle.
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Mahdollisuudet
• Teknologian nopeampi uusiutuminen sitä haluaville.
• Käyttäjätyytyväisyyden kasvu.
• Kustannusten osittainen siirtäminen käyttäjille.
• Kotona olevien, jo hankittujen laitteiden hyödyntäminen työkäytössä.
Ihmiset tuovat jo nyt omia laitteitaan työpaikoille.
Minkälainen politiikka omassa organisaatiossa on omien laitteiden käytölle?
9.10.2012 VIP-asiakaspäivä, Juha Wilkman
Kiitos!
9.10.2012 VIP-asiakaspäivä, Juha Wilkman