Einführung in BYOD 15. ISSS Berner Tagung für Informationssicherheit Bring your own device: Chancen und Risiken 27. November 2012, Allegro Grand Casino Kursaal Bern Andreas Spichiger Berner Fachhochschule Information Security Society Switzerland 1
Historie: Grossrechnerzentren hoher Fokus auf physischer Sicherheit wenige eigene Mitarbeiter haben Vorort-Zugriff Situation geprägt durch lokale, spezifische Datenbestände sequentieller Datenzugriff limitierter Speicher beschränkte Datentransportkapazität inkompatible Formate grosse Betriebsmannschaft Perimeterschutz >> dumme Terminals mit Remote-Zugriff << Information Security Society Switzerland ISSS2008X627993 2
Heute: mobile App differenziertes Identity und Access Management alle Kunden haben Zugriff Situation geprägt durch unternehmensweite, weltweite Datenbestände hoch parallelisierter Wahlzugriff auf Daten Datentransportkapazität durch Lichtgeschwindigkeit beschränkt erste semantische Informationsmodelle automatisierter Betrieb WWW als Perimeter >> Kunden und Partner als Mitwirkende << Information Security Society Switzerland ISSS2008X627993 3
Andreas Spichiger immer mit BYOD gelebt Uni Bern ab 1983 Erster privater Laptop: 1994 Handy mit Kontaktsynchronisation z.b. Kalendersynchronisation im 2000 Anstellung bei Beratungsunternehmen - Ad interim externer Teamleiter - Externer Projektleiter - Account Manager, Stv. Personal, Div. Mandate Prüfungsexperte FHNW, BFH, eidg. Berufsprüfung Präsident Pfadi Kanton Bern, Kursleiter PBS Familie Information Security Society Switzerland ISSS2008X627993 4
Trend: Consumerization Konsumentengeräte sind enorm günstig sehr grosser, weltweiter Markt hohe Leistung sehr gute Usability: wenn es nicht einfach ist, wird es nicht gebraucht Endbenutzer haben verschiedene Geräte und -typen, erwarten konsistente Sichten und hohe Integration hohe Standardisierung (auch von schlechten Lösungen) Herausragende Technologie nicht mehr nur für Profis und Manager. Im Gegenteil: der professionelle Markt kann kaum mitziehen. Information Security Society Switzerland ISSS2008X627993 5
Trend: Cloud Computing Selbstbedienung bei Bedarf Breitbandiger, hochverfügbarer Netzwerkzugang Ressourcen-Pooling spontane Elastizität verbrauchsbasierte Verrechnung Keine Investitionskosten bei Entscheid für Produkt, aber Investitionskosten für Integration und Migration in der Zukunft neue Business Silos Schweizerosche Akademie der Technischen Wissenschaften. Cloud Computing. White Paper. 2012. http://www.satw.ch/organisation/tpf/tpf_ict/box_feeder/2012-11- 06_SATW_White_Paper_Cloud_Computing_DE.pdf Information Security Society Switzerland ISSS2008X627993 6
Trend: Mobile Computing Informationen jederzeit überall verfügbar Integration von Multimedia, Sensoren, Lokation, Kamera und Netzzugriff sowie die Verbreitung der Geräte ermöglichen ganz neue Funktionalität im privaten und professionellen Bereich kleine Bildschirme erzwingen Usability Mobile Computing: vielerorts wird schnell klar, dass Back-end nicht beherrscht ist Information Security Society Switzerland ISSS2008X627993 7
Trend: Dynamic Venturing Fokus der Organisation auf Kerngeschäft hohe Automatisierung klare Kapselung Produktion des Unternehmens erfolgt in organisationsübergreifenden Netzwerken. organisationsübergreifende Dateneignerschaft dynamische Kosten- und Preismodelle umfassende Wertschöpfungsmodelle Enterprise Architecture as Strategy Creating a Foundation for Business Execution. Jeanne W. Ross, Peter Weill, David C. Robertson. Harvard Business School Press, 2006. ISBN-Nr. 978-1-59139-839-4 Information Security Society Switzerland ISSS2008X627993 8
Trend: offene Kundenkommunikation 1-Stop-Portale Einsicht in Verarbeitungsstatus Integration in CRM Persönliche, umfassende Bewerbung Beteiligung des Kunden an allen Prozessen inkl. Innovation Information Security Society Switzerland ISSS2008X627993 9
Ein Beispiel: Patientendossier Professionals legen Informationen ins Dossier Patient berechtigt Zugriffe auf sein Dossier STORK 2.0 Secure identity across borders linked Cross-border Zugriff auf Ressourcen mittels föderierter Identitäten (EU-Projekt) Spital: unterschiedliche Device-Qualitäten Mitarbeiter-Gerät: BYOD, reduzierter Zugang Spital-Gerät: Spital administriert, normaler Zugang Homologiertes Gerät: FDA compliant; Qualität (extern) geprüft, für Befunde zugelassen Information Security Society Switzerland ISSS2008X627993 10
Qualität von Informationssystemen ISO/IEC 25010. Systems and software engineering Systems and software Quality Requirements and Evaluation (SQuaRE) System and software quality models. Genf, 2011. ISO/IEC 25010:2011(E). Information Security Society Switzerland ISSS2008X627993 11
Gebrauchsqualität ISO/IEC 25010:2011, p.8 Information Security Society Switzerland ISSS2008X627993 12
System-/Produktqualität ISO/IEC 25010:2011, p.10 Information Security Society Switzerland ISSS2008X627993 13
Konsequenzen Mitarbeiter verlangen die Usability von der Unternehmensinformatik, die sie vom Konsumentenmarkt kennen. «Digital natives» und Mitarbeiter unter hohem Leistungsdruck sind gegenüber rückständiger Technologie bei der Arbeit intolerant. Wenn die Unternehmensinformatik nicht taugt, werden schnell Alternativen beschafft. Kommunikation und Informationszugriff überall löst die Grenzen zwischen dem persönlichen und beruflichen Leben auf. Information Security Society Switzerland ISSS2008X627993 14
Bring your own Device Device / Technology SmartPhone Laptop BYOD / BYOT aber auch Infrastruktur (Netz, Storage, Server, ) Service Prozess Umgebung (Freunde, Hobby, ) Information Security Society Switzerland ISSS2008X627993 15
BYOD vorbereiten Risiken (und Chancen) erheben Beachte: Ein möglicher Verlust wird viel stärker gewichtet als ein gleichwahrscheinlicher Gewinn. Policies definieren Rechte des Unternehmens Rechte der Nutzer Kostenverteilung Unterstützung Passende Technologien einführen Information Security Society Switzerland ISSS2008X627993 16
BYOD-Herausforderungen Daten schützen Daten und Dokumente zentralisieren? föderierte Daten beherrschen Geräteverlust berücksichtigen Malware verhindern Laufzeitumgebungen standardisieren Legale Fragen unter Berücksichtigung des internationalen Kontexts klären Information Security Society Switzerland ISSS2008X627993 17
Generell: IAM beherrschen Credentials: Gerätetyp-spezifisch Benutzereigenschaften (inkl. Qualität der Laufzeitumgebung) sind zuverlässig zugewiesen Qualität der Information über den Nutzer entspricht dem Schutzbedarf Verdacht auf Rechtemissbrauch verfolgen Dateneigner umfassend über Informationsnutzung informieren können Dateneigner haben Mitwirkungspflicht >> organisationsübergreifend << Information Security Society Switzerland ISSS2008X627993 18
BYOD für alle Unternehmen? Unternehmen mit Wissensarbeitern kann sich BYOD kaum entziehen. Kunden- und Partnersituation berücksichtigen: BYOD ist da der Normalfall. BYOD nicht losgelöst betrachten Organisations- und Applikationsübergreifende Governance, Architektur, IAM, Kooperationsfähigkeit innerhalb des Unternehmens und mit Partnern und Kunden ausbauen Information Security Society Switzerland ISSS2008X627993 19
Nagelprobe Zielerreichung ist in Sicht, wenn der elektronische Kalender für alle Kalendereinträge aller Kalendernutzer die richtigen Rechte an den jeweiligen Benutzer weitergibt. Umfassende Datensicherheit ist mit BYOD nicht möglich, solange die heute am Markt verfügbaren elektronischen Kalender genutzt werden. Information Security Society Switzerland ISSS2008X627993 20
Information Security Society Switzerland ISSS2008X627993 21