SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)

iPhone und iPad im Unternehmenseinsatz. Praxisbericht.

Melkon Torosyan Technologiemanagement SBB Informatik

SBB • Informatik • Technologiemanagement • 22.02.2013 2

1

Nach dieser Präsentation…

2

3

kennen Sie die Ausgangslage sowie die umgesetzten Lösungen der SBB zur Integration von iPhone und iPad in die Unternehmens-IT.

verstehen Sie technische, rechtliche und sicherheitsrelevante Aspekte der iPad und iPhone Integration bei der SBB.

wissen Sie, wie die SBB die Problematik privater iPad und iPhone mit der Entwicklung einer BYOD Strategie gelöst hat.

Präsentationsziele Über was wir in den nächsten 90 Minuten sprechen

Themen

3

1 Einleitung

2 Ausgangslage: iPad & iPhone in der SBB

3 Entwicklung einer BYOD Strategie

4 Die Funktionalitäten aus Sicht des Endbenutzers

5 Die technische Lösung und ihre Einführung

6 «Lessons learned» und Ausblick

SBB • Informatik • Technologiemanagement • 22.02.2013

Die SBB – ein komplexes Dienstleistungsunternehmen mit rund 28’000 Mitarbeitenden.

4

Befördert täglich rund 880 000

Reisende in bis zu 9’000 Zügen

Transportiert 220 000 Tonnen

Güter täglich

Betreibt ein Schienennetz von

über 3’000 Km

763 Bahnhöfe 6 Kraftwerke

eigenes Telekommunikationsnetz

Einleitung 1

Personenverkehr SBB Cargo Infrastruktur Immobilien

Die Hälfte der Schweizerinnen und Schweizer sind Stammkunden: • mehr als 2,3 Millionen Kunden

besitzen ein Halbtax-Abonnement.

• über 400 000 Generalabonnemente sind im Umlauf.


Der Bereich Architektur steuert als Querschnittsfunktion die Weiterentwicklung der IT-Landschaft.

5

Personen- verkehr

Cargo IM Infra- struktur

SBB

Informatik der SBB

Informatik der SBB

IT Lösung betreiben

IT Lösung erstellen

IT Bedarf planen

Architektur Unternehmensarchitektur

Geschäftsarchitektur

Softwarearchitektur

Technologiemanagement

Qualitätsmanagement

Einleitung 1


Mobile Endgeräte sind integraler Bestandteil verschiedenster Geschäftsprozesse bei der SBB.

6

Die rund 32’000 mobilen Endgeräte werden wie folgt eingesetzt ca 1/3 Fahrpersonal ca 1/3 Arbeitsplatz ca 1/3 verteilt auf 12 mobile Systeme

Einleitung 1


Themen

7

1 Einleitung







Consumergeräte wie Smartphones und Tablets verändern das Endgeräteportfolio in den nächsten Jahren.

8

Gerätetyp IST 1-2Jahre 5 Jahre Tendenz

Featurephones 8’000 4’000 1‘500

Smartphones 11’000 13’500 15’500

Tablets 800 2’500 8’600

Notebooks 11’000 13’500 15’000

Industriegeräte 3’500 1’700 1’400

Total 34’300 33’450 41’500 Stand: Mai 2012

Ausgangslage: iPhone und iPad in der SBB 2

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

1 2 3

Industriegeräte

Notebooks

Tablets

Smartphones

Feature Phones


BYOD existiert bei der SBB de facto bereits seit 2009.

9

Ausgangslage: iPhone und iPad in der SBB 2

• Marktlaunch des iPhone in der Schweiz.

• Im «Warenkorb» der SBB gibt es nur Symbian und Windows Mobile Geräte.

• iAnywhere wird als OTA Sync-Lösung eingesetzt.

• SBB IT prüft die Möglichkeiten der iPhone Integration

• Sandbox-App («mobile Office») ermöglicht eine risikoarme Einbindung privater iPhone ohne grosse Investition.

• Rasche Verbreitung privater iPhone für die Synchronisation von Mails.

• Marktlaunch des iPad.

• Einsatzmöglichkeiten für das iPad in der SBB werden geprüft.

• CEO will das iPad als Arbeitsmittel nutzen.

• Ein erster «online Prototyp» für die Sitzungsunterlagen der Konzernleitung entsteht.

• Analyse von verschiedenen Integrationsszenarien und Lösungen.

• Offline-Dokumente sind eine zentrale «muss-Anforderung»

• Entscheid: Wiederverwendung bestehender Infrastruktur.

• Im Rahmen «papierloser Sitzungen» werden Synergien gefunden und ein Service für das iPad angeboten.

2008 2009 2010 2011

Technologie- beurteilung

Mai Okt Feb Dez

CEO «BYOD»

«mobile Office»

Lösung für Top-Kader

BYOD-Strategie

Vorführender

Präsentationsnotizen

Eher optische Darstellung analog Projektplan mit Erklärungen auf der Tonspur 2008 Beobachtungen des Markterfolgs des iPhone in der Schweiz/weltweit führten zu ersten Variantenüberlegungen zur Einbindung 2009 iPhone wurde über eine Sandbox-App in der SBB synchronisierbar. Die Geräte wurden alle privat beschafft. 2010 iPad wurde nach der Markteinführung von einigen «technologie-affinen» Mitarbeitern privat motiviert verwendet. So «erlebten» diese das Potential zur Nutzung im Unternehmen. 2011 Der CEO der SBB wollte von IT eine Aussage zum Potential des iPad im Unternehmenseinsatz. Dieser Treiber war der Anstoss für einen «proof of concept».

Themen

10

1 Einleitung







Wenn der CEO das iPad nutzen will, ist das auch eine Chance für die Unternehmens-IT.

11

Entwicklung einer BYOD Strategie 3


Wenn der CEO das iPad nutzen will, ist das auch eine Chance für die Unternehmens-IT.

12



Eine Auseinandersetzung mit BYOD ist für den CIO unumgänglich.

13

https://mobile.twitter.com/#!/armyciog6/status/172840692392013824



https://mobile.twitter.com/

Eine klare Positionierung zum Einsatz von privaten Endgeräten ist ein kritischer Erfolgsfaktor.

14

Die Entwicklung der BYOD-Strategie der SBB erfolgte rückblickend betrachtet in drei Hauptschritten.


Scope der Endgeräte bestimmen 1 Nutzen & Risiken beurteilen 2 Richtlinien definieren 3

• Welche Endgerätetypen? (Notebooks, Tablets, Smartphones)

• Welche Betriebssysteme? (Windows, Windows Phone, iOS, Android)

• Einsatzgebiete, Zielgruppen und Funktionsumfang beschreiben.

• Risiken identifizieren und Massnahmen bestimmen.

• Nutzen bestimmen (qualitativ und quantitativ)

Unterstützung von Tablets und Smartphones mit iOS

Nutzen in drei möglichen BYOD Varianten beurteilt.

• Verpflichtungen des Benutzers (implizite und explizite)

• Umgang mit lokalen Daten

• Kostenbeteiligungen und Support definieren

• Rechtliche Aspekte berücksichtigen

Eine Konzernweisung und eine Nutzungsrichtlinie regeln den

Umgang mit privaten iPad


«Bring Your Own Device» ist ein generelles Bedürfnis der Benutzer und bei der SBB für Smartphone bereits Realität.

15

Als BYOD wird die Nutzung privater Endgeräte für Unternehmenszwecke bezeichnet. Dabei werden die Endgeräte durch den Mitarbeitenden selbst beschafft und gewartet. Das Unternehmen stellt für die Nutzung privater Endgeräte Services zu Verfügung und definiert entsprechende Vorgaben, z.B. über den nutzbaren Funktionsumfang oder die unterstützten Endgerätemodelle. Je nach Erforderlichkeit zur Nutzung des privaten Endgerätes, kann sich ein Unternehmen im Rahmen der BYOD-Bereitstellung an den Investitions- und/oder den Betriebskosten beteiligen.

Allgemeine Begriffsdefinition BYOD:

Die Synchronisation von Mail, Kalender und Kontakten auf private Smartphone wird von der SBB IT bereits seit gut zwei Jahren angeboten. Rund 2’300 Mitarbeitende nutzen und schätzen das Angebot, ihre privaten iPhone auch für geschäftliche Zwecke einsetzen zu können. Das iPad ist im geschäftlichen Umfeld ein ideales Lese- und Informationsgerät für Dokumente und Präsentationen und ermöglicht die rasche Bearbeitung von Mailbox und Kalender. Durch die Behandlung als Privatgeräte wird es möglich, das auf den Consumer ausgerichtete iPad in einem klar definierten, aber auch abgegrenzten, Rahmen als BYOD für den Unternehmenseinsatz in der SBB zu unterstützen.

Smartphone und iPad als BYOD bei der SBB

Für die SBB ist BYOD wirtschaftlich interessant, da sich Mitarbeitende in unterschiedlichem Mass an Beschaffungs- und Betriebskosten beteiligen.



BYOD ergänzt die bisherigen Beschaffungsmodelle der SBB.

16

Beschaffungsmodelle

SBB Arbeitsplatzgeräte Private Arbeitsplatzgeräte SBB Geschäftsanwendungen

Warenkorb BYOD Projekte



Die SBB verfolgt die Variante «fördern» als innovatives Angebot für das Top-Management wie auch für die Mitarbeitenden.

17

Zielgruppen

Konzernleitung (10) Den Konzernleitungsmitglieder steht das iPad als IT-Arbeitsmittel für die Vorbereitung und Durchführung der Konzernleitungssitzungen sowie zur Bearbeitung von Mail und Kalender zu Verfügung. Rollout / Nutzung ab Oktober 2011 Top-Kader (100) Für die Top-Kader der SBB stehen Sitzungsvorbereitung und Durchführung von Geschäftsleitungssitzungen sowie ebenfalls die Nutzung von Mails und Kalender im Vordergrund. Rollout / Nutzung ab Q1/2012 «Knowledge-Worker» (ca. 600 Benutzer bis Ende 2012) Diese breite Zielgruppe umfasst z.B. Linienvorgesetzte, Projektleiter oder Fachspezialisten, welche mobil arbeiten. Der Fokus der iPad Nutzung hängt dabei stark vom jeweiligen Aufgabengebiet und Arbeitsmodus ab. Bestellbarer Service ab Q1/2012

out of BYOD-scope: «Fieldworker» (ca. 6’500) Diese Zielgruppen (z.B. Zugbegleiter, Lokführer) erhalten spezifische, auf die jeweiligen Geschäftsprozesse ausgerichtete Endgeräte aus dem internen «Warenkorb».

Funktionen

1) Mail, Kalender und Kontakte Automatisch synchronisiert, bzw. via push-Mail. (analog Blackberry / Mobile-Office) 2) Intranet und e-News Online Zugriff auf Webseiten und News aus dem SBB-Intranet. 3) Dokumente aus dem DMS Zugriff und lokale Synchronisation von Dokumenten aus dem DMS. Die Dokumente stehen anschliessend auch offline zu Verfügung. 4) Business- und Office-Anwendungen via Citrix Nutzung eines SBB IT-Workplaces inkl. allen Businessanwendungen. (Teilweise eingeschränkte User-Experience aufgrund fehlender Eingabemöglichkeiten wie Hardware-Tastatur und Maus.)



Eine Konzernweisung und eine Nutzungsrichtlinie regeln den Umgang mit privaten iPad

18



Themen

19

1 Einleitung







Und was meint der CEO dazu? Anwendungsfall: «Papierlose Konzernleitungssitzung»

20 SBB • Informatik • Technologiemanagement • 22.02.2013

Und was meint der CEO dazu? Anwendungsfall: «Papierlose Konzernleitungssitzung»

21 SBB • Informatik • Technologiemanagement • 22.02.2013

Themen

22

1 Einleitung







Die technische Lösung musste Anforderungen aus verschiedenen Bereichen berücksichtigen.

23

Die drei Hauptstakeholder hatten die folgenden, teilweise widersprüchlichen Anforderungen:

Anwender 1 IT Operations 2 IT Security 3

• Steter Zugriff auf Mails

• Hoher Benutzungskomfort

• Zugriff auf Apps & News-Inhalte aus dem Internet

• Zugriff auf Unternehmens-ressourcen

• Offline Dokumente

• Keine Installation auf dem Standard-Arbeitsplatz (Windows 7)

• Minimaler Supportaufwand

• Lediglich Support der SBB Services (kein Backup, iTunes, etc.)

Push-Mail und «on demand» Remote Access in das Firmennetz

Geräte werden privat beschafft und gehören dem Anwender

• Schutz der Daten auf dem Endgerät

• Starke Authentisierung

• Möglichkeit Policies auch im Betrieb durchzusetzen.

• Möglichkeit zu lokaler oder entfernter Löschung

Verwendung von Enterprise Mobility Management

Die technische Lösung 5

«BYOD» SBB • Informatik • Technologiemanagement • 22.02.2013

Vorführender


Integration der iPhones und iPads in die Unternehmens-IT (TMG/PointSharp für Mail vs. VPN RAS ) Auswahl und Integration MDM Lösung (Apple spezifische Vorgaben, Sandbox-Lösung wie von Good vs. nativen Programmen) Security-Überlegungen (Risikoeinschätzung von Fime) Security-Massnahmen (Umgesetzte Policies via ActiveSync und MDM)

Technische Lösung

24

Anwendersicht 1

«always on» Services: Apps, E-Mail, Internet

«on demand» Services: VPN, Citrix, Intranet, Dokumente

IT Sicht 2

DMZ

Intranet

Public Networks Wifi & GSM Microsoft TMG & Pointsharp

SSL VPN Juniper Junos

Microsoft Exchange Citrix

Web Content Management System

Document Management System

Afaria

Certificate Authority

Afaria Relay

Internet Apple PNS

Bereits vorhandene Komponenten Zu integrierende Komponenten

Lösungsübersicht 2


Für die iPad Integration kommen bei der SBB IT verschiedene Infrastruktur-Systeme zum Einsatz.

25

«Internet Connectivity» Die iPad sind mit dem Internet verbunden (z.B. via 3G, PWLAN, privates WLAN, ...) Es gibt keine direkte Netzwerk-Integration in das Firmennetz.

Mobile Access Services (DMZ) Folgende zwei Zugriffsarten auf SBB IT- Ressourcen sind möglich:

Exchange Active Sync (EAS)

«Intranet» Internes Datennetz der SBB

1

2 Für Zugriff auf Dokumente, Intranet, Citrix, etc: SSL VPN über Juniper Gateway und Junos-App (VPN Client)

1 SSL VPN 2

… Der Zugriff auf Dokumente, das Intranet, Citrix, etc. erfolgt nach dem Prinzip «on demand» und erfordert den manuellen Aufbau einer VPN-Verbindung. Die starke Authentisierung erfolgt mittels Gerätezertifikat, welches vom MDM-System verteilt wird. Für Mail, Kalender und Kontakte:

Exchange Active Sync über MS Threat Management Gateway (TMG) und PointSharp (starke Authentisierung)

Afaria 6.6

Mail, Kalender und Kontakte stehen nach dem Prinzip «always on» zu Verfügung.

DMS Citrix

Intranet …

Afaria Relay

Microsoft Certificate Authority

Mobile Device Management (MDM)

Mittels MDM werden iPad für den VPN Zugriff provisioniert und inventarisiert. In-House Apps können über das MDM verteilt werden.

Self Service Portal

Afaria-App


http://leimobile.com/wp-content/uploads/2011/10/apple-contacts-icon.jpg

http://www.windows-faq.de/wp-content/uploads/2010/10/forefront_tmg_2010.jpg

http://i1-news.softpedia-static.com/images/news2/GoodReader-for-iOS-4-2-Available-for-Download-2.png

http://cdn.ws.citrix.com/wp-content/uploads/2010/04/Receiver+Icon+Black.jpg

Der aktive Umgang mit Risiken bedeutet auch ein Trade-off zwischen Sicherheit und Bedienbarkeit.

26

Risikoanalyse: Verlust vertraulicher Daten ist das Top Risiko beim Einsatz mobiler Endgeräte (analog anderer Unternehmen).

▪ Passwortschutz mit 4 Zahlen

▪ «Geräte-Wipe» nach fünfmaliger Falscheingabe des Passwortes.

▪ «Device Lock» nach 5 Min

▪ Zwei-Faktor-Authentifizierung

▪ «Remote-Wipe»

Betriebs- und Compliance-Risiken können durch das Betriebsmodell «BYOD» auf den Benutzer übertragen werden.

Umgesetzte Sicherheitsmassnahmen:



Vorführender


Technische Lösung: Aufteilung in kontextbezogene Services (always-on und on-demand). Ein «light» Service (EAS) für alle Geräte (WP7, iPhone, iPad) und ein «heavy» Service für iPads (MAS) Risikoanalyse: Verlust vertraulicher Daten durch Geräteverlust analog anderen Unternehmen, Einstufung in die Risikomatrix der SBB Massnahmentabelle Risiko kann aktiv übernommen werden Weiteres Risiko der fehlenden Möglichkeit das Gerät vollständig zu managen führte zur Massnahme es nur als BYOD anzubieten (Risiko überwälzen)

Einführung der iPad / BYOD Lösung. Spannungsfeld zwischen Struktur und Agilität.

27


Aug Sept Okt Nov Dez

KW 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 Lead

eKL DMS

Dokumentation

EAS Produktivsystem

«Tablet RAS»

Junos VPN

Update CA 2008 R2

Anpassungen CA

Afaria MDM für iOS

Betrieb

INT

INT Test

Testing Dok.

Schulung

PoC auf INT (mit Testzert.)

Prod

Prod

Prod

Testing auf INT

Testing auf Prod

Produktiver Pilot für e-KL

Pilot Produktivbetrieb

Test- und Showcase Umsetzung GUI Integration Produktivbetrieb ab 30.09.11

Betriebsmodell , Aufbau Service und Dokumentationen

User Manuals, Quick Guide VIP Manual

Aufbau Betriebsorganisation und Prozesse

INT Prod

Testing Dok.

Schulung

Prod

Prod

Prod

Schulung VIP, SD und Abnahme BYoD Pilotbetrieb

iPad BYoD Detailspezifikation

iPad BYoD Top 100+ Ready

iPad BYoD MAIN Ready


Vorführender


Inhalte für die Tonspur: Spannungsfeld des sehr strukturierten Projektportfolio (PP-PLC) und Anforderung nach agiler Umsetzung einer innovativen Lösung nur möglich dank Management-Attention Sehr rasche Umsetzung der technischen Lösung Nur möglich dank hohem Engagement und Commitment der beteiligten Mitarbeiter und Partner (bsp. Comdirect, CA-Anpassung, etc.) Message: die richtigen, begeisterten & kompetenten Leute zusammensuchen (Reminder erstes Meeting mit allen Beteiligten) iPad ist nur die Spitze des Eisbergs: starke Abhängigkeit zu vorgelagerten Projekten wie E-KL iPad war der visibelste Teil grosser Bemühungen der Geschäfts- und Sitzungsverwaltungsoptimierung.

Themen

28

1 Einleitung







«Lessons learned»

29

Anwender

Top Management Commitment ebnete viele Wege.

Intensive Betreuung durch VIP-Support ist essentiell.

Veränderte Prozesse rund um das papierlose Arbeiten müssen Top-Down vorgelebt werden.

Anwender schätzen den Service sehr (alle Informationen ständig bei sich zu haben, leichtes Gerät, Informationen leichter auffindbar)

Markt und Lösungsanbieter

Der Markt ist extrem volatil. Investitionen in Infrastruktur sollten gut überlegt sein.

Die Verwendung bestehender Infrastrukturen ermöglichte eine rasche Umsetzung. Dies war wichtiger als eine 100% Lösung.

«Enterprise Mobility Management» (EMM) ist ein Hype-Thema. Vertrauen sie nicht auf White-Paper von Lösungsanbieter.

IT Betrieb

Klare Vorgaben und Steuerung der zu verwendenden Endgeräte Limitation von BYOD.

Mit der Einführung wurde ein Consumer-Device zu einem zentralen Arbeitsmittel des Top-Kaders. Das stellt den Betrieb immer wieder vor Herausforderungen.

«Lessons learned» und Ausblick 6


Vorführender


Lessons learned noch stärker herausstreichen: Top Management Commitment Anwender schätzen den Service sehr (alle Informationen ständig bei sich zu haben, leichtes Gerät, Informationen leichter auffindbar) Volatiler Markt daher wenig Investitionen in Infrastruktur (Investitionsschutz) Service wurde um die Möglichkeiten herum gebaut. Ernüchterung rund um die mobilen EMM-Lösungen Klare Vorgaben und Steuerung der zu verwendenden Endgeräte (Endgeräteportfolio), Limitation des BYOD Intensive Betreuung durch VIP-Support ist essentiell Veränderte Prozesse rund um das papierlose Arbeiten müssen konsequent gelebt werden. Mit der Einführung wurde ein Consumer-Device

Der Ausbau und die Ausbreitung der bestehenden Lösungen ist zentraler Bestandteil der Roadmap.

30



iPad als Lösung für «Fieldworker»



Industriewerk Biel



Industriewerk Biel


Industriewerk Biel. Einsatz als Papierersatz.

33

Auslöser:

Sehr aufwändige Pflegeprozesse der Anleitungen, Checklisten.

Händische Aufwände bedeuten Personalbindung abseits des Kerngeschäfts.

Erfolgsfaktoren:

Rasche Einführbarkeit durch Einsatz der Standardlösung

Hohe Akzeptanz der nicht technik-affinen Benutzer.

Tiefe Kosten durch Gerät und günstige Schutzhülle.



34

Erneuerung Oberbau



Erneuerung Oberbau


Erneuerung Oberbau. Hilfsmittel auf Begehungen.

36

Auslöser:

Hohe Kosten für Produktion und Bearbeitung von Plänen.

Fehleranfälligkeit bei Medienbruch.

Zusätzliche Funktionen können nicht verwendet werden (GPS, Kamera)

Erfolgsfaktoren:

Rasche Einführbarkeit durch Einsatz der Standardlösung

Hohe Akzeptanz der nicht technik-affinen Benutzer.

Tiefe Kosten durch Gerät und günstige Schutzhülle.

Verzicht auf Individualentwicklung

Einfaches Zusammenspiel verschiedener Endgeräte.



Erneuerung Oberbau. «Aber das iPad ist nicht ruggedized»

37

«Update: Bei starkem Schneefall hat sich heute unsere wetterfeste Schutzhülle von Griffin bestens bewährt. Mit (zugegeben) dünnen Handschuhen und dem Stift konnte ich das Formular problemlos handschriftlich ausfüllen. Ab und zu musste ich den Bildschirm schräg halten, damit das Wasser vom Bildschirm ablaufen konnte. Zum Abschluss haben wir das Abnahmeprotokoll gemeinsam unterzeichnet, per E-Mail verteilt und somit ohne Nacharbeit im Büro erledigt.»


38

Nutzung von Exchange Active Sync

Entwicklung der mobilen Plattformen innerhalb der SBB hat überrascht


39

Stand Januar 2013 mit 65% Anteil an iOS-Geräten

Verteilung mobile Endgerätetypen mit Exchange Actives Sync Nutzung


Herzlichen Dank für Ihre Aufmerksamkeit.

40

Melkon Torosyan Technologiemanager Mobile SBB Informatik [email protected]


Documents

SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)