1. Mobile devices in School
Seminar ICT Noord, 23 juni 2011, Drachten
Presentatie: Marco Verleun, MarCoach
1
woensdag 22 juni 2011
2. Agenda
• Een paar cijfers
• Overzicht van mobile devices
• Lifecycle van devices
• Verschillende categorieën devices
• Bring your own
• Risico’s
• Software
• Mobile Device Management
2
woensdag 22 juni 2011
10. Lifecycle
Abonnement verlenging Geschenk
w n
Persoonlijke aanschaf
Door organisatie
verstrekt
o
Zakelijk
u
Persoonlijke instellingen
r Zakelijke instellingen
o
(mail, twitter, wifi, apps) (mail,VPN, wifi, apps)
g y
in
Persoonlijke instellingen Zakelijke instellingen
(mail, twitter, wifi, apps) (mail,VPN, wifi, apps)
B r Gebruik
woensdag 22 juni 2011 5
11. Lifecycle
Abonnement verlenging Geschenk
w n
Persoonlijke aanschaf
Door organisatie
verstrekt
o
Zakelijk
u
Persoonlijke instellingen
r Zakelijke instellingen
o
(mail, twitter, wifi, apps) (mail,VPN, wifi, apps)
g y
in
Persoonlijke instellingen Zakelijke instellingen
(mail, twitter, wifi, apps) (mail,VPN, wifi, apps)
B r Gebruik
Defect `verlies Diefstal Vervanging
woensdag 22 juni 2011 5
12. Life cycle in ICT
perspectief
• Provisoning: Instellen van het
device, eventueel OTA
• Management: Beheer, updates,
wijzigingen etc.
• Deprovisioning: Buiten gebruik
stellen, remote wipe, netwerk
toegang etc.
woensdag 22 juni 2011
13. BYO (Bring your own)
• Uitgangs punt is dat de gebruiker kiest voor het
device dat het beste bij hem/haar past.
• Gebruiker dient op de hoogte te zijn van de
functionele eisen waaraan zijn/haar keuze moet
voldoen indien het device ook zakelijk gebruikt
mag/moet worden.
• ICT afdeling heeft vaak minder controle over,
verantwoordelijkheid voor, of kennis van BYO
device:Verantwoordelijk voor werking device ligt
(grotendeels) bij gebruiker, is hij/zij hier klaar voor?
• Gebruikers willen niet altijd het beheer overdragen
aan de ICT afdeling, het is immers ‘hun’ device.
7
woensdag 22 juni 2011
14. Zakelijk verstrekte devices
• Organisatie maakt keuzes op basis van
functionele en financiële criteria
• Gebruiker krijgt keuze ‘opgelegd’ hetgeen
soms op weerstand stuit
• Organisatie beheert devices en is
verantwoordelijk voor opleiding,
onderhoud etc.
8
woensdag 22 juni 2011
15. Provisioning
• De verschillende besturingssystemen worden op
verschillende manieren geconfigureerd.
• Sommige platforms beschikken over de
mogelijkheid om mbv profielen een groot deel
van de configuratie te doen
• Andere platforms vereisen handmatige
configuratie of de installatie van speciale software
• ‘Ongewenste features’ van een device kunnen
vaak niet worden uitgezet
• MDM oplossing kan provisioning OTA doen
9
woensdag 22 juni 2011
17. De-provisioning
• Netwerk en applicatie toegang moet
worden ontzegt bij verlies en diefstal
• Indien mogelijk moet het apparaat (op
afstand worden gewist) (in hoeverre kan dit
bij Laptops en Tablets en bij BYO devices?)
• Bij vervanging moet een backup worden
terug gezet, hoe dit te doen als het geen
gelijkwaardig vervangend device is?
11
woensdag 22 juni 2011
18. ‘Oude onderwijs situatie’
• Iedere student dient te beschikken over:
• Schrijfgerei, een agenda, schriften etc.
Hierin is de keuze vaak volledig vrij.
• Boeken, naslagwerken en eventuele
hulpmiddelen. Deze worden vaak
gedetailleerd voorgeschreven.
12
woensdag 22 juni 2011
19. BYO
• Oude onderwijs situatie is vergelijkbaar met BYO
devices, mits:
• Vooraf duidelijk is welke besturing systemen
ondersteund worden.
• Aan welke specificaties de hardware moet voldoen
• Welke software aangeschaft dient te worden
• In welke mate, onder welke voorwaarden, en op
welke wijze, de ICT afdeling het beheer overneemt
• Welke eigen verantwoordelijkheid de student heeft
• Kortom: Er dient beleid te worden gemaakt waaraan
iedereen zich conformeert.
13
woensdag 22 juni 2011
20. BYO
• In Australia and New Zealand, the term
"BYO" (Bring Your Own) emerged to describe
establishments that had special alcohol licences
allowing guest to bring their own bottle of wine. It is
believed that restaurants in Melbourne, in the state
of Victoria, were advertising as "BYO" establishments
by the 1960s with the concept becoming popular in
New Zealand in the late 1970s.
• This practice is congruent with corkage, the practice
of restaurants where guest are allowed to bring
their own bottles by paying a fee to the restaurant.
In Australia, many BYO restaurants charge a corkage
fee.
14
woensdag 22 juni 2011
21. Auteur: Jr Pol
Onderwijs systeem
15
woensdag 22 juni 2011
24. Snack
• Kortdurend gebruik
• Snelle, korte communicatie
• Telefoon en SMS functie
• Foto functie
• Muziek speler
• Lange levensduur batterij
• Veelal 3G verbinding en Wifi
• Relatief klein scherm
• Fysiek toetsenbord ontbreekt of is erg klein
• Wordt snel vervangen
17
woensdag 22 juni 2011
25. Dine
• Langduriger gebruik
• Uitgebreidere communicatie niet altijd
telefoon en/of SMS functie Lange levensduur
batterij
• Veelal Wifi verbinding, 3G in opmars
• Overzichtelijk scherm
• Voornamelijk data consumptie
• Fysiek toetsenbord ontbreekt
• Relatief nieuw, lijkt snel vervangen te worden
18
woensdag 22 juni 2011
26. Cook
• Langduriger gebruik
• Relatief korte levensduur batterij
• Wifi verbinding
• Groot scherm
• Toetsenbord
• Zowel data consumptie als data productie
• Makkelijk meerdere applicaties tegelijkertijd
open
• Wordt minder snel vervangen
19
woensdag 22 juni 2011
27. Risico’s mobile devices
• Virussen worden het netwerk in gebracht
• Malware bedreigt de kwaliteit van de
dienstverlening van de ICT afdeling
• Verkeerde instellingen (door gebruiker)
veroorzaken conflicten.
• Gegevens kunnen openbaar worden bij
verlies/diefstal device
20
woensdag 22 juni 2011
28. De wet van de grote getallen
• Grote organisaties zijn kwetsbaarder
omdat statistisch gezien de kans groter is
dat er een medewerker/student is met een
naam/wachtwoord combinatie die ook op
het internet bekend is: Veel gebruikers
gebruiken dezelfde naam en wachtwoord
combinaties als op werk/school
• Vertrouwelijke informatie die beschikbaar is
bij veel personen blijft niet (lang)
vertrouwelijk.
21
woensdag 22 juni 2011
29. Wat betekent dit?
• Usernaam/wachtwoord combinaties alleen
zijn niet voldoende veilig.
• Devices zullen ook ge-authenticeerd
moeten worden, hetzij direct als device,
hetzij indirect via een strikte VPN server
• Devices moeten daar waar mogelijk
gecontroleerd worden of ze voldoen aan
de gestelde veiligheidseisen (compliance)
22
woensdag 22 juni 2011
31. Device en gegevens beveiliging
• In hoeverre is het device veilig? Worden
gegevens versleuteld? Is het device
beschermd tegen virussen en ‘malware’
• Is het mogelijk om te voorkomen dat apps
worden gedownload?
• Is het nodig om derde partij software te
installeren? Bijv. virusscanners
• Is het mogelijk om te detecteren of een
device is gecompromiteerd, bijv. jailbreak
24
woensdag 22 juni 2011
32. Netwerk verbindings beveiliging
• Welke protocollen mogen er worden
gebruikt?
• Ondersteunen de huidige VPN oplossingen
Mobile devices? Bepaalde IPSec oplossingen
konden niet goed omgaan met roaming
devices of switch van Wifi naar 3G
25
woensdag 22 juni 2011
33. Netwerk toegangsbeveiliging
• Hoe zorgen we ervoor dat alleen
geauthorizeerde gebruikers toegang krijgen
tot het netwerk?
• Bij voorkeur met geauthorizeerde devices
26
woensdag 22 juni 2011
36. 5 App stores
• Niet alle apps zijn voor alle platforms
beschikbaar
• Aankopen vinden op verschillende
manieren plaats
• In house development is mogelijk voor
meerdere platforms tegelijkertijd
• Verschillende deployment scenario’s voor
verschillende platforms bij inhouse
software.
28
woensdag 22 juni 2011
37. Software ontwikkeling
• Drie mogelijke ontwikkel scenarios:
• Maatwerk voor ieder platform
• Gebruik een Mobile Development
Framework om ‘generieke’ apps te
ontwikkelen
• Gebruik een Mobile Enterprise
Application Platform
29
woensdag 22 juni 2011
38. Mobile Development Framework
• Een ontwikkelomgeving voor meerdere
platforms
• Apps lijken te zijn ontwikkeld voor het
device, de look and feel blijft zoveel
mogelijk
• Rhomobile, PhoneGap, Appcelerator,
WebView, AML zijn enkele leveranciers van
deze oplossingen
30
woensdag 22 juni 2011
39. Mobile Enterprise Application Platform
• Een MEAP is een verzameling van
producten en diensten waarmee
dynamische toepassingen ontwikkeld,
uitgerold en beheerd kunnen worden
• Antenna Software, Syclo en Sybase zijn
enkele leveranciers
31
woensdag 22 juni 2011
40. Mobile Device Management
• Mobile devices beheren vereist:
• Een eenvoudige manier om gebruikers te provisionen
• Een eenvoudige manier te bieden om updates te
distribueren
• Troubleshooting informatie om vast te stellen of een
probleem device of netwerk gerelateerd is
• Basale veiligheidsinstellingen zoals ‘password
enforcement, remote wipe, remote lock en encryptie’
• Exchange 2007 biedt deze mogelijkheid al via het Active
Sync protocol.
• iOS maakt het instellen van devices eenvoudig via profiles
welke op eenvoudige wijze zijn te maken met IPCU
32
woensdag 22 juni 2011
46. Een stap verder: MDM
• Mobile Device Management software beheert
devices
• Uitermate geschikt voor grotere organisaties
• Beschikbaar inhouse maar ook als SaaS
oplossingen
• Sommige MDM oplossingen zijn platform
gebonden, andere zijn generiek
• Functionele vergelijking tussen aanbieders is
noodzakelijk, niet iedereen biedt alle
functionaliteit
38
woensdag 22 juni 2011
47. Topics
• OTA Enrollment
• Phase 1 - Enrollment
• Phase 2 - Device Authentication
• Phase 3 - Certificate Installation
• Phase 4 - Device Configuration
• Third Party Tools
39
woensdag 22 juni 2011
48. OTA Enrollment (iOS)
• Enrollment authentiseerd zowel de
gebruiker als het apparaat
• Wordt gebruikt om zowel profielen als
certificaten te distribueren
• Voor de implementatie zijn zowel een
authenticatie server, een directory als
certificaat services nodig
• Het proces gebruikt standaard webdiensten
40
woensdag 22 juni 2011
49. Phase 1 - Begin enrollment
41
woensdag 22 juni 2011
55. Enkele producten
• Air-watch
• Maas360
• KACE
47
woensdag 22 juni 2011
56. open mobile alliance (oma)
• Vrijwillige organisatie die tot doel heeft om
standaarden te definieren mbt tot mobiele
aparatuur
• Deelname is vrijwillig, standaarden hoeven
niet verplicht te worden doorgevoerd
• http://www.openmobilealliance.org/comms/
documents/
OMA_DM_WG_Presentation_For_Seoul_
Event_final.pdf
48
woensdag 22 juni 2011
57. De belangrijke vragen
• Wie mogen er op het netwerk?
• Welke diensten en gegevens mogen worden
geraadpleegd?
• Hoe worden Apps en diensten gedistribueerd? Kan IT
apps pushen?
• Waar betaalt de organisatie wel en waar niet voor?
• Welke platforms worden er ondersteund?
• Welke security eisen worden er gesteld?
• Hoe wordt het device gemanaged?
• In welke mate levert IT ondersteuning?
• Hoe wordt omgegaan met de privacy?
49
woensdag 22 juni 2011