SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)

iPhone und iPad im Unternehmenseinsatz.
Praxisbericht.

Melkon Torosyan
Technologiemanagement SBB Informatik

Präsentationsziele
Über was wir in den nächsten 90 Minuten sprechen

Nach dieser Präsentation…

1 kennen Sie die Ausgangslage sowie die umgesetzten Lösungen der
SBB zur Integration von iPhone und iPad in die Unternehmens-IT.

verstehen Sie technische, rechtliche und sicherheitsrelevante Aspekte
2
der iPad und iPhone Integration bei der SBB.

wissen Sie, wie die SBB die Problematik privater iPad und iPhone mit
3
der Entwicklung einer BYOD Strategie gelöst hat.

SBB • Informatik • Technologiemanagement • 22.02.2013 2

Themen

1 Einleitung

2 Ausgangslage: iPad & iPhone in der SBB

3 Entwicklung einer BYOD Strategie

4 Die Funktionalitäten aus Sicht des Endbenutzers

5 Die technische Lösung und ihre Einführung

6 «Lessons learned» und Ausblick


1 Einleitung

Die SBB – ein komplexes Dienstleistungsunternehmen
mit rund 28’000 Mitarbeitenden.

Die Hälfte der Schweizerinnen und
Schweizer sind Stammkunden:
• mehr als 2,3 Millionen Kunden
besitzen ein Halbtax-Abonnement.
• über 400 000 Generalabonnemente
sind im Umlauf.

Personenverkehr SBB Cargo Infrastruktur Immobilien

Befördert täglich 763 Bahnhöfe
Transportiert Betreibt ein
rund 880 000 6 Kraftwerke
220 000 Tonnen Schienennetz von
Reisende in bis zu eigenes
Güter täglich über 3’000 Km
9’000 Zügen Telekommunikationsnetz

1 Einleitung

Der Bereich Architektur steuert als Querschnittsfunktion
die Weiterentwicklung der IT-Landschaft.

SBB
Personen- Cargo IM Infra-
verkehr struktur

Informatik der SBB

Informatik der SBB

Architektur

IT Lösung betreiben  Unternehmensarchitektur

 Geschäftsarchitektur

 Softwarearchitektur
IT Lösung erstellen
 Technologiemanagement

IT Bedarf planen  Qualitätsmanagement


1 Einleitung

Mobile Endgeräte sind integraler Bestandteil
verschiedenster Geschäftsprozesse bei der SBB.

Die rund 32’000 mobilen Endgeräte werden wie folgt eingesetzt

ca 1/3 Fahrpersonal
ca 1/3 Arbeitsplatz
ca 1/3 verteilt auf 12 mobile Systeme


Themen

1 Einleitung







2 Ausgangslage: iPhone und iPad in der SBB

Consumergeräte wie Smartphones und Tablets verändern
das Endgeräteportfolio in den nächsten Jahren.
Gerätetyp IST 1-2Jahre 5 Jahre Tendenz
Featurephones 8’000 4’000 1‘500
Smartphones 11’000 13’500 15’500
Tablets 800 2’500 8’600
Notebooks 11’000 13’500 15’000
Industriegeräte 3’500 1’700 1’400
Total 34’300 33’450 41’500
Stand: Mai 2012

45000

40000

35000

30000 Industriegeräte
25000 Notebooks

20000 Tablets

15000 Smartphones
Feature Phones
10000

5000

0
1 2 3

2 Ausgangslage: iPhone und iPad in der SBB

BYOD existiert bei der SBB de facto bereits seit 2009.
CEO Lösung für Top-Kader
«BYOD»

«mobile Office»

BYOD-Strategie

Mai Dez Feb Okt

Technologie-
beurteilung

• Marktlaunch des iPhone in • SBB IT prüft die Möglichkeiten der • Marktlaunch des iPad. • Analyse von verschiedenen
der Schweiz. iPhone Integration Integrationsszenarien und
• Einsatzmöglichkeiten für das Lösungen.
• Im «Warenkorb» der SBB • Sandbox-App («mobile Office») iPad in der SBB werden
gibt es nur Symbian und ermöglicht eine risikoarme geprüft. • Offline-Dokumente sind eine
Windows Mobile Geräte. Einbindung privater iPhone ohne zentrale «muss-Anforderung»
grosse Investition. • CEO will das iPad als
• iAnywhere wird als OTA Arbeitsmittel nutzen. • Entscheid: Wiederverwendung
Sync-Lösung eingesetzt. • Rasche Verbreitung privater bestehender Infrastruktur.
iPhone für die Synchronisation • Ein erster «online Prototyp»
von Mails. für die Sitzungsunterlagen der • Im Rahmen «papierloser
Konzernleitung entsteht. Sitzungen» werden Synergien
gefunden und ein Service für das
iPad angeboten.

2008 2009 2010 2011

9

Themen

1 Einleitung








Wenn der CEO das iPad nutzen will, ist das auch
eine Chance für die Unternehmens-IT.



Eine Auseinandersetzung mit BYOD ist für den CIO
unumgänglich.

https://mobile.twitter.com/#!/armyciog6/status/172840692392013824



Eine klare Positionierung zum Einsatz von privaten
Endgeräten ist ein kritischer Erfolgsfaktor.
Die Entwicklung der BYOD-Strategie der SBB erfolgte rückblickend betrachtet
in drei Hauptschritten.

1 Scope der Endgeräte bestimmen 2 Nutzen & Risiken beurteilen 3 Richtlinien definieren

• Welche Endgerätetypen? • Einsatzgebiete, Zielgruppen und • Verpflichtungen des Benutzers
(Notebooks, Tablets, Smartphones) Funktionsumfang beschreiben. (implizite und explizite)

• Welche Betriebssysteme? • Risiken identifizieren und • Umgang mit lokalen Daten
(Windows, Windows Phone, iOS, Massnahmen bestimmen.
Android) • Kostenbeteiligungen und Support
• Nutzen bestimmen definieren
(qualitativ und quantitativ)
• Rechtliche Aspekte
berücksichtigen

Unterstützung von Tablets und Nutzen in drei möglichen BYOD Eine Konzernweisung und eine
Smartphones mit iOS Varianten beurteilt. Nutzungsrichtlinie regeln den
Umgang mit privaten iPad



«Bring Your Own Device» ist ein generelles Bedürfnis der
Benutzer und bei der SBB für Smartphone bereits Realität.
Allgemeine Begriffsdefinition BYOD: Smartphone und iPad als BYOD bei der SBB
Als BYOD wird die Nutzung privater Endgeräte Die Synchronisation von Mail, Kalender und
für Unternehmenszwecke bezeichnet. Kontakten auf private Smartphone wird von der SBB
IT bereits seit gut zwei Jahren angeboten. Rund
Dabei werden die Endgeräte durch den 2’300 Mitarbeitende nutzen und schätzen das
Mitarbeitenden selbst beschafft und gewartet. Angebot, ihre privaten iPhone auch für geschäftliche
Zwecke einsetzen zu können.
Das Unternehmen stellt für die Nutzung privater
Endgeräte Services zu Verfügung und definiert
entsprechende Vorgaben, z.B. über den Das iPad ist im geschäftlichen Umfeld ein ideales
nutzbaren Funktionsumfang oder die Lese- und Informationsgerät für Dokumente und
unterstützten Endgerätemodelle. Präsentationen und ermöglicht die rasche
Bearbeitung von Mailbox und Kalender.
Je nach Erforderlichkeit zur Nutzung des
privaten Endgerätes, kann sich ein Durch die Behandlung als Privatgeräte wird es
Unternehmen im Rahmen der BYOD- möglich, das auf den Consumer ausgerichtete iPad
Bereitstellung an den Investitions- und/oder in einem klar definierten, aber auch abgegrenzten,
den Betriebskosten beteiligen. Rahmen als BYOD für den Unternehmenseinsatz in
der SBB zu unterstützen.

Für die SBB ist BYOD wirtschaftlich interessant, da sich Mitarbeitende in unterschiedlichem
Mass an Beschaffungs- und Betriebskosten beteiligen.



BYOD ergänzt die bisherigen Beschaffungsmodelle der SBB.

Beschaffungsmodelle


Warenkorb BYOD Projekte


SBB Arbeitsplatzgeräte Private Arbeitsplatzgeräte
SBB
Geschäftsanwendungen



Die SBB verfolgt die Variante «fördern» als innovatives Angebot
für das Top-Management wie auch für die Mitarbeitenden.

Zielgruppen Funktionen

Konzernleitung (10)
Den Konzernleitungsmitglieder steht das iPad als IT-
Arbeitsmittel für die Vorbereitung und Durchführung der
Konzernleitungssitzungen sowie zur Bearbeitung von Mail und
Kalender zu Verfügung. 1) Mail, Kalender und Kontakte
 Rollout / Nutzung ab Oktober 2011 Automatisch synchronisiert, bzw. via push-Mail.
(analog Blackberry / Mobile-Office)

Top-Kader (100) 2) Intranet und e-News
Für die Top-Kader der SBB stehen Sitzungsvorbereitung und Online Zugriff auf Webseiten und News aus
Durchführung von Geschäftsleitungssitzungen sowie ebenfalls dem SBB-Intranet.
die Nutzung von Mails und Kalender im Vordergrund.
 Rollout / Nutzung ab Q1/2012 3) Dokumente aus dem DMS
Zugriff und lokale Synchronisation von Dokumenten
aus dem DMS. Die Dokumente stehen anschliessend
«Knowledge-Worker» (ca. 600 Benutzer bis Ende 2012) auch offline zu Verfügung.
Diese breite Zielgruppe umfasst z.B. Linienvorgesetzte,
Projektleiter oder Fachspezialisten, welche mobil arbeiten. Der 4) Business- und Office-Anwendungen via Citrix
Fokus der iPad Nutzung hängt dabei stark vom jeweiligen Nutzung eines SBB IT-Workplaces inkl. allen
Aufgabengebiet und Arbeitsmodus ab. Businessanwendungen.
 Bestellbarer Service ab Q1/2012 (Teilweise eingeschränkte User-Experience aufgrund fehlender
Eingabemöglichkeiten wie Hardware-Tastatur und Maus.)

out of BYOD-scope: «Fieldworker» (ca. 6’500)
Diese Zielgruppen (z.B. Zugbegleiter, Lokführer) erhalten
spezifische, auf die jeweiligen Geschäftsprozesse
ausgerichtete Endgeräte aus dem internen «Warenkorb».



Eine Konzernweisung und eine Nutzungsrichtlinie
regeln den Umgang mit privaten iPad


Themen

1 Einleitung







Und was meint der CEO dazu?
Anwendungsfall: «Papierlose Konzernleitungssitzung»


Themen

1 Einleitung







5 Die technische Lösung

Die technische Lösung musste Anforderungen aus
verschiedenen Bereichen berücksichtigen.
Die drei Hauptstakeholder hatten die folgenden, teilweise
widersprüchlichen Anforderungen:

1 Anwender 2 IT Operations 3 IT Security

• Steter Zugriff auf Mails • Keine Installation auf dem • Schutz der Daten auf dem
Standard-Arbeitsplatz (Windows 7) Endgerät
• Hoher Benutzungskomfort
• Minimaler Supportaufwand • Starke Authentisierung
• Zugriff auf Apps & News-Inhalte
aus dem Internet • Lediglich Support der SBB • Möglichkeit Policies auch im
Services (kein Backup, iTunes, Betrieb durchzusetzen.
• Zugriff auf Unternehmens- etc.)
ressourcen • Möglichkeit zu lokaler oder
entfernter Löschung
• Offline Dokumente

Push-Mail und «on demand» Geräte werden privat beschafft Verwendung von Enterprise
Remote Access in das Firmennetz und gehören dem Anwender Mobility Management

«BYOD»

2 Lösungsübersicht

Technische Lösung
1 Anwendersicht

«always on» Services: «on demand» Services:
Apps, E-Mail, Internet VPN, Citrix, Intranet, Dokumente

2 IT Sicht

Internet Apple PNS

DMZ Public Networks Wifi & GSM SSL VPN
Microsoft TMG & Pointsharp Juniper Junos Afaria Relay

Intranet Microsoft Exchange Citrix Afaria

Web Content Management System Certificate
Authority
Document Management System

Bereits vorhandene Komponenten Zu integrierende Komponenten SBB • Informatik • Technologiemanagement • 22.02.2013 24

Für die iPad Integration kommen bei der SBB IT
verschiedene Infrastruktur-Systeme zum Einsatz.
«Internet Connectivity»
Die iPad sind mit dem Internet verbunden
(z.B. via 3G, PWLAN, privates WLAN, ...)
Es gibt keine direkte Netzwerk-Integration in
das Firmennetz.
Mobile Device Management (MDM)

1 Exchange Active Sync (EAS) 2 SSL VPN Self Service Portal

Afaria-App
…
Mail, Kalender und Kontakte stehen nach dem Der Zugriff auf Dokumente, das Intranet, Mittels MDM werden iPad
Prinzip «always on» zu Verfügung. Citrix, etc. erfolgt nach dem Prinzip für den VPN Zugriff
Mobile Access Services (DMZ) «on demand» und erfordert den manuellen provisioniert und
Folgende zwei Zugriffsarten auf SBB IT- Aufbau einer VPN-Verbindung. inventarisiert.
Die starke Authentisierung erfolgt mittels
Ressourcen sind möglich: In-House Apps können über
Gerätezertifikat, welches vom MDM-System das MDM verteilt werden.
Für Mail, Kalender und Kontakte: verteilt wird.
1
Exchange Active Sync über MS Threat
Management Gateway (TMG) und
PointSharp (starke Authentisierung) Afaria Relay

2 Für Zugriff auf Dokumente, Intranet, Citrix, etc:
SSL VPN über Juniper Gateway und
Junos-App (VPN Client)

Afaria 6.6
«Intranet»
Internes Datennetz der SBB DMS Citrix

Microsoft
Intranet … Certificate
Authority



Der aktive Umgang mit Risiken bedeutet auch ein
Trade-off zwischen Sicherheit und Bedienbarkeit.
 Risikoanalyse: Verlust  Betriebs- und Compliance-
vertraulicher Daten ist das Top Risiken können durch das
Risiko beim Einsatz mobiler Betriebsmodell «BYOD» auf
Endgeräte (analog anderer den Benutzer übertragen
Unternehmen). werden.

Umgesetzte Sicherheitsmassnahmen:

▪ Passwortschutz mit 4 Zahlen
▪ «Geräte-Wipe» nach fünfmaliger
Falscheingabe des Passwortes.
▪ «Device Lock» nach 5 Min
▪ Zwei-Faktor-Authentifizierung
▪ «Remote-Wipe»



Einführung der iPad / BYOD Lösung.
Spannungsfeld zwischen Struktur und Agilität.
Aug Sept Okt Nov Dez

KW 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 Lead

eKL
Test- und
DMS Umsetzung GUI Integration Produktivbetrieb ab 30.09.11
Showcase

User Manuals, Quick Guide
Dokumentation VIP Manual

EAS
Pilot Produktivbetrieb
Produktivsystem
iPad BYoD iPad BYoD Top iPad BYoD MAIN
Detailspezifikation 100+ Ready Ready
Produktiver Pilot
für e-KL
«Tablet RAS» PoC auf INT Testing Testing
(mit Testzert.) auf INT auf Prod Betriebsmodell , Aufbau
Service und Dokumentationen  Schulung VIP, SD und
Abnahme
BYoD Pilotbetrieb 
Junos VPN INT
 Prod
Pro
d

Update CA 2008 R2 INT
 Prod TestingTesting
Dok. Dok.
Schulung
Schulung Pro
Anpassungen CA INT Prod
d
Pro
Afaria MDM für iOS Test Prod
d

Betrieb Aufbau Betriebsorganisation und Prozesse


Themen

1 Einleitung








«Lessons learned»
Anwender
 Top Management Commitment ebnete viele Wege.
 Intensive Betreuung durch VIP-Support ist essentiell.
 Veränderte Prozesse rund um das papierlose Arbeiten müssen Top-Down vorgelebt werden.
 Anwender schätzen den Service sehr (alle Informationen ständig bei sich zu haben, leichtes Gerät,
Informationen leichter auffindbar)
Markt und Lösungsanbieter
 Der Markt ist extrem volatil. Investitionen in Infrastruktur sollten gut überlegt sein.
 Die Verwendung bestehender Infrastrukturen ermöglichte eine rasche Umsetzung.
Dies war wichtiger als eine 100% Lösung.
 «Enterprise Mobility Management» (EMM) ist ein Hype-Thema.
Vertrauen sie nicht auf White-Paper von Lösungsanbieter.
IT Betrieb
 Klare Vorgaben und Steuerung der zu verwendenden Endgeräte Limitation von BYOD.
 Mit der Einführung wurde ein Consumer-Device zu einem zentralen Arbeitsmittel des Top-Kaders.
Das stellt den Betrieb immer wieder vor Herausforderungen.


Der Ausbau und die Ausbreitung der bestehenden
Lösungen ist zentraler Bestandteil der Roadmap.



Industriewerk Biel
iPad als Lösung für «Fieldworker»


SBB • Informatik • Technologiemanagement • 22.02.2013

Industriewerk Biel



Industriewerk Biel.
Einsatz als Papierersatz.
Auslöser: Erfolgsfaktoren:
 Sehr aufwändige  Rasche Einführbarkeit durch
Pflegeprozesse der Anleitungen, Einsatz der Standardlösung
Checklisten.  Hohe Akzeptanz der nicht
 Händische Aufwände bedeuten technik-affinen Benutzer.
Personalbindung abseits des  Tiefe Kosten durch Gerät und
Kerngeschäfts. günstige Schutzhülle.


Erneuerung Oberbau



Erneuerung Oberbau.
Hilfsmittel auf Begehungen.
Auslöser: Erfolgsfaktoren:
 Hohe Kosten für Produktion und  Rasche Einführbarkeit durch
Bearbeitung von Plänen. Einsatz der Standardlösung
 Fehleranfälligkeit bei  Hohe Akzeptanz der nicht
Medienbruch. technik-affinen Benutzer.
 Zusätzliche Funktionen können  Tiefe Kosten durch Gerät und
nicht verwendet werden (GPS, günstige Schutzhülle.
Kamera)  Verzicht auf
Individualentwicklung
 Einfaches Zusammenspiel
verschiedener Endgeräte.


Erneuerung Oberbau.
«Aber das iPad ist nicht ruggedized»
«Update: Bei starkem Schneefall hat sich heute unsere wetterfeste
Schutzhülle von Griffin bestens bewährt. Mit (zugegeben) dünnen
Handschuhen und dem Stift konnte ich das Formular problemlos
handschriftlich ausfüllen. Ab und zu musste ich den Bildschirm
schräg halten, damit das Wasser vom Bildschirm ablaufen konnte.
Zum Abschluss haben wir das Abnahmeprotokoll gemeinsam
unterzeichnet, per E-Mail verteilt und somit ohne Nacharbeit im Büro
erledigt.»


Entwicklung der mobilen Plattformen innerhalb der
SBB hat überrascht
Nutzung von Exchange Active Sync


Verteilung mobile Endgerätetypen mit Exchange
Actives Sync Nutzung
Stand Januar 2013 mit 65% Anteil an iOS-Geräten


Herzlichen Dank für
Ihre Aufmerksamkeit.

Melkon Torosyan
Technologiemanager Mobile
SBB Informatik
melkon.torosyan@sbb.ch


SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)

Ähnlich wie SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan) (20)

Mehr von Swiss eEconomy Forum

Mehr von Swiss eEconomy Forum (12)

SeEF 2013 | Sichere und effiziente Anbindung von iPhones und iPads (Melkon Torosyan)