Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 9.10.2012, apulaisjohtaja Juha Wilkman: BYOD - haasteet ja mahdollisuudet omien laitteiden käytössä valtionhallinnossa.
Juha Wilkman: BYOD - haasteet ja mahdollisuudet omien laitteiden käytössä valtionhallinnossa
1. BYOD – haasteet ja
mahdollisuudet omien laitteiden
käytössä valtionhallinnossa
Apulaisjohtaja Juha Wilkman, Valtiokonttori
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
2. BYOD – Bring Your Own Device
• Yleistynyt keskustelun aihe, laukaisijana uudet tuotteet ja
palvelut.
- Älypuhelimet, tabletit, kuluttajille suunnatut pilvipalvelut
• Laajempi kokonaisuus kuin pelkät laitteet
- Itsepalvelu, hallinnan siirtyminen käyttäjälle
- Valinnanvapaus, yksilöllisyyden korostaminen
- Kotona oleva tietotekniikka modernimpaa
kuin työpaikalla
• Toistaako historia itseään?
Kuva: Marcin Wichary
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
3. Yleisiä ansakuoppia ja väärinkäsityksiä
• ”Omat laitteet vähentävät kustannuksia”
• ”Laitteen omistajuus on olennainen kysymys.”
• ”Modernia tekniikkaa ei saa muulla tavalla
käyttöönsä kuin tuomalla sen itse työpaikalle.”
• ”Tietoturva ei salli omien laitteiden
käyttämistä”
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
4. Ratkottavia kysymyksiä
• Kuka maksaa ja kuka korvaa?
• Rajoitetaanko sovellusten käyttöä?
Sallitut sovellukset vs. kielletyt sovellukset?
• Vaaditaanko tiettyjä sovelluksia, kuten kryptaus, virustorjunta?
• Sallitaanko laitteen etätyhjennys?
• Kuka hallitsee laitetta?
• Vaaditaanko ilmoittamista varastetuista laitteista?
• Toimintatavat laitetta uusittaessa?
• Toimintatavat virkasuhteen päättyessä?
• Kuka ottaa varmuuskopiot?
• Minkä suojaustason materiaalia BYOD-laitteessa voidaan
käsitellä?
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
5. Kultainen keskitie BYOD-toteutuksissa
Käyttäjä voi tuoda
Käyttäjä voi tuoda
minkä tahansa
Käyttäjä ei voi sallittuja omia
oman laitteen,
tuoda omia laitteita laitteita,
mihin tahansa
tiettyihin työhön
työhön liittyvään
liittyviin palveluihin.
palveluun.
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
6. Kultainen keskitie BYOD-toteutuksissa
Käyttäjä voi tuoda
Käyttäjä voi tuoda
minkä tahansa
Käyttäjä ei voi sallittuja omia
oman laitteen ja
tuoda omia laitteita laitteita ja niitä
käyttää sitä mihin
tiettyihin työhön
tahansa työhön
liittyviin palveluihin.
liittyvään palveluun.
BYOD edellyttää sallittujen laitteiden ja palveluiden määrittelyä!
BYOD edellyttää ohjeistusta ja käyttöpolitiikkaa!
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
7. Haasteet tietoturvaohjeistuksen kanssa
Osa-alue Viite Vaatimus Perustaso Korotettu taso Korkea taso
13.2 Kullakin päätelaitteella vahva suositus pakollinen vaatimus pakollinen vaatimus
on yksilöity tunnus.
Identtiset
laitekokoonpanot
• VAHTI nykyohjeistuksen Sisäverkon erotetaan em.
tunnuksen perusteella.
noudattaminen ei päätelaitteet
13.3 Käyttäjille on laadittu suositus pakollinen vaatimus pakollinen vaatimus
lyhyet, selkeät ohjeet
mahdollista BYOD-laitteen päätelaitteiden
turvallisesta
pääsyä suoraan verkkokäytöstä -
kullekin
sisäverkon puolelle. Sisäverkon päätelaitetyypille
päätelaitteet omansa.
13.4 Tuntemattomien suositus vahva suositus pakollinen vaatimus
• VAHTI-ohjeistusta ollaan päätelaitteiden pääsy
verkkoon verkkoon on
päivittämässä uusien Sisäverkon estetty kytkinporttien
päätelaitteet asetuksilla.
päätelaitteiden vuoksi. 13.6 Päätelaitteissa on vahva suositus pakollinen vaatimus pakollinen vaatimus
soveltuvilta osin
käytössä laitekohtainen
Sisäverkon
palomuuri.
päätelaitteet
13.8 Työasema- ja muu suositus suositus vahva suositus
päätelaitekanta on
Sisäverkon yhtenäistetty.
päätelaitteet
13.10 Työasemissa on pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
käytössä
Sisäverkon työasemakohtainen
päätelaitteet palomuuri.
13.11 Kannettavien pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
Sisäverkon työasemien kiintolevyt
päätelaitteet on salattu
13.12 Pöytätyöasemien suositus vahva suositus pakollinen vaatimus
Sisäverkon
kiintolevyt on salattu
päätelaitteet
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
8. Eri tapoja toteuttaa BYOD
Kustannusten
kasvaminen
NEVER?
BYOD-laitteen
suora kytkeminen
sisäverkkoon
2013-2014
Virtualisointi-
ratkaisut
Citrix/Vmware/etc
Windows to Go
2013
Sisäverkon
palveluiden
osittainen
julkaiseminen
MS UAG
2012
Sähköposti,
Kalenteri,
Kontaktitiedot
ActiveSync Tietoturvariskien kasvaminen
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
9. Haasteet lisensointimallien kanssa
• Työasemiin ja päätelaitteisiin liittyvät lisensointikysymykset
voivat olla haastavia BYOD-laitteiden kanssa.
• Lisenssirikkomusten mahdollisuus on selvitettävä ennen
BYOD-laitteiden käytön sallimista.
• Erityisesti huomioitava Microsoftin lisensointimallit
ja -ehdot.
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
10. Lähde: Volume Licensing brief: Microsoft licensing for the consumerization of IT, Microsoft
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
11. Lähde: Volume Licensing brief: Microsoft licensing for the consumerization of IT, Microsoft
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
12. Esimerkkitoteutus:
Älypuhelinpalvelut
• Valtion yhteinen viestintäratkaisu ja VN-sähköposti tukevat
ActiveSync-rajapintaa.
- Sähköposti, kalenteritiedot, kontaktitiedot
• Koska Valtion IT-palvelukeskuksen asiakkaat omistavat
älypuhelimensa, ratkaisu vastaa BYOD-toteutusta.
- ”Tekniikan tai tietoturvan kannalta ei ole eroa onko virkamiehen
älypuhelin ministeriön, leasingyhtiön vai hänen omistamansa.”
• Käyttäjä pääsee palveluun vain erikseen tähän sallitulta laitteelta.
• Palvelu pakottaa tietyt tietoturva-asetukset käyttöön.
• Loppukäyttäjä ottaa palvelun käyttöön ohjeistuksen avulla,
itsepalveluna.
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
13. Toteutustapa
Korvattu MS NLB:llä
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
14. Suositukset
• Investointien tekeminen pelkästään BYOD-
näkökulmasta ei ole perusteltua.
• BYOD-näkökulman huomioiminen investointia
tehtäessä on enemmän kuin perusteltua!
• Vahti-ohjeistukseen perehtyminen.
• Organisaation lisensointisopimuksiin
perehtyminen.
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
15. Suositukset
• Käyttäjäpolitiikan määrittely ja BYOD-käyttäjiltä
suostumuksen pyytäminen laitehallintaa varten.
- Sitoutuminen myös tietoturvaohjeistukseen
- Vastuuvapautus etätyhjennyksen varalta
• BYOD-laitteiden rajaaminen ja palveluiden rajaaminen.
- Käyttäjä ja laite tunnistettava.
• BYOD-laitteita ei päästetä sisäverkon
puolelle.
VIP-asiakaspäivä, Juha Wilkman 9.10.2012
16. Mahdollisuudet
• Teknologian nopeampi uusiutuminen sitä
haluaville.
• Käyttäjätyytyväisyyden kasvu.
• Kustannusten osittainen siirtäminen käyttäjille.
• Kotona olevien, jo hankittujen laitteiden
hyödyntäminen työkäytössä.
Ihmiset tuovat jo nyt omia laitteitaan työpaikoille.
Minkälainen politiikka omassa organisaatiossa
on omien laitteiden käytölle?
VIP-asiakaspäivä, Juha Wilkman 9.10.2012