Sprachen
Seiten
Rechtliche
Information Rights Management Adrian Turtschi, Swisscom AGHeinz Többen, Swisscom IT Service AG
AgendaAgenda
1.1. ProblemstellungProblemstellung
2.2. Corporate Governance und RollenmodellCorporate Governance und Rollenmodell
3.3. Vorgehen und EntscheidungsprozessVorgehen und Entscheidungsprozess
4.4. Hauptrisiken im Umgang mit sensitiven Hauptrisiken im Umgang mit sensitiven Informationen, Lösungsoptionen - EmpfehlungInformationen, Lösungsoptionen - Empfehlung
5.5. IRM als überlegener LösungsansatzIRM als überlegener Lösungsansatz
6.6. Realisierung durch Swisscom IT Services AGRealisierung durch Swisscom IT Services AG
7.7. Besondere Herausforderungen der Besondere Herausforderungen der ImplementierungImplementierung
ProblemstellungProblemstellung
• Die organisatorische Struktur, die internationale Aus-Die organisatorische Struktur, die internationale Aus-richtung und die Zunahme des Wettbewerbsdrucks richtung und die Zunahme des Wettbewerbsdrucks sowie die Rolle und Position als bedeutendstes Tele-sowie die Rolle und Position als bedeutendstes Tele-kommunikationsunternehmen in der Schweiz haben kommunikationsunternehmen in der Schweiz haben seit 2002 bei Swisscom zu einem neuen Sicherheits-seit 2002 bei Swisscom zu einem neuen Sicherheits-verständnis geführt.verständnis geführt.
• Revisionsorgane stellen die hohe Risikobereitschaft Revisionsorgane stellen die hohe Risikobereitschaft bei der ungeschützten Speicherung und Übertragung bei der ungeschützten Speicherung und Übertragung von Dokumenten innerhalb der Swisscom fest und von Dokumenten innerhalb der Swisscom fest und schlagen Schutzmassnahmen vor.schlagen Schutzmassnahmen vor.
• Sensitive Informationen werden überwiegend (80%) auf Sensitive Informationen werden überwiegend (80%) auf Dokumente gespeichert und via E-Mail übertragen.Dokumente gespeichert und via E-Mail übertragen.
Corporate Governance und RollenmodellCorporate Governance und Rollenmodell
• Innerhalb der Swisscom sind die Rollen Leistungs-Innerhalb der Swisscom sind die Rollen Leistungs-erbringer und Leistungsbezüger formal getrennt.erbringer und Leistungsbezüger formal getrennt.
• Mehrere Swisscom Gruppengesellschaften bieten IT Mehrere Swisscom Gruppengesellschaften bieten IT Leistungen am Markt an. Leistungen am Markt an.
• Als Leistungsbezüger treten sowohl der CIO der Als Leistungsbezüger treten sowohl der CIO der Gruppe (Workplace, IT-Network, IT-Security, ERP) als Gruppe (Workplace, IT-Network, IT-Security, ERP) als auch die Bedarfsträger der Gruppengesellschaften auf.auch die Bedarfsträger der Gruppengesellschaften auf.
• Für IT Leistungen besteht kein Bezugszwang innerhalb Für IT Leistungen besteht kein Bezugszwang innerhalb Swisscom. Es gilt die Regel, dass interne Leistungen Swisscom. Es gilt die Regel, dass interne Leistungen zu Marktpreisen und –bedingungen erbracht werden zu Marktpreisen und –bedingungen erbracht werden müssen. müssen.
• Die Gruppe überwacht die Leistungsfähigkeit der Die Gruppe überwacht die Leistungsfähigkeit der internen Lieferanten durch laufendes Benchmarking. internen Lieferanten durch laufendes Benchmarking.
Vorgehen und EntscheidungsprozessVorgehen und Entscheidungsprozess
• Die IT Governance von Swisscom verlangt, dass Die IT Governance von Swisscom verlangt, dass für IT Vorhaben auf allen Stufen ein Business Case für IT Vorhaben auf allen Stufen ein Business Case vorgelegt werden muss, dessen Einhaltung via vorgelegt werden muss, dessen Einhaltung via Umsetzungskontrolle überwacht wird. Umsetzungskontrolle überwacht wird.
• Die Implementierung der Vorgaben der Gruppe, Die Implementierung der Vorgaben der Gruppe, die Steuerung, Gestaltung und die Sicherstellung die Steuerung, Gestaltung und die Sicherstellung des Einsatzes von Lösungen und Technologien des Einsatzes von Lösungen und Technologien gehören in den Zuständigkeitsbereich der System- gehören in den Zuständigkeitsbereich der System- oder Informationseigner.oder Informationseigner.
• Für jeden Antrag sind bewertete Lösungs- und Für jeden Antrag sind bewertete Lösungs- und Handlungsalternativen vorzulegen.Handlungsalternativen vorzulegen.
Analyse: Hauptrisiken im Umgang mit Analyse: Hauptrisiken im Umgang mit sensitiven Dokumentensensitiven Dokumenten9 Hauptrisiken im Umgang mit klassifizierten Dokumenten
PDAMemoryStick
Internet Café
Web-Mail Download
SWISSCOM.COM
Fremde Domain
PC des Document
Owner
cc:
weiterleiten an:
Empfänger legt Dokument unverschlüsselt in E-Mail oder Fileshare ab nicht Berechtigte greifen auf das Dokument zu
Empfänger leitet sensitive Daten aus dem Dokument ungeschützt weiter. Abhören von WLAN oder Leitungen durch nicht Berechtigte nicht geschütztes Dokument wird kompromittiert
Verlust oder Diebstahl von Notebook und Empfänger legt Dokument unverschlüsselt ab nicht geschütztes Dokument wird kompromittiert
Owner legt Dokument ungeschützt ab nicht Berechtigte greifen auf das Dokument zu
Verlust oder Diebstahl von Notebook nicht geschütztes Dokument wird kompromittiert
Download von unverschlüsselten sensitiven Daten via WebMail Dritte können auf Dokumente zugreifen (keine Kontrolle über die Drittsysteme)
Ein Dokument hat eine festgelegt Gültikeit(von-bis). Verwendung ausserhalb der Gültigkeit kann zu Kostenfolgen führen. zeitlich begrenzter Zugriff
Empfänger kopiert sensitive Daten ungeschützt auf Memory Stick, PDA oder Datenträger und verliert Device nicht geschütztes Dokument wird kompromittiert
Druck von sensitiven Dokumenten Risiko von Einsicht durch nicht Berechtigte
Abwägung von Lösungen und Handlungs-Abwägung von Lösungen und Handlungs-optionen optionen
Reduktion: sehr geringRestrisiko: hoch
< 0.1 MCHFkeine zusätzlichen KostenUser Aktionen [20] (Schätzung)
ungenügend (gemäss Befund PwC)
•Mangelnde Akzeptanz•Risiken in Audit Befunden bleiben
Reduktion: mittelRestrisiko: mittel
1.7 MCHF2.5 MCHF (SCIS)User Aktionen [5]
genügend
• geringe Effektivität• Kompliziert in Benutzung• Sicherheit kann nicht von
System durchgesetzt werden
Reduktion: mittel bis hochRestrisiko: niedrig
1 MCHF1.1 MCHF (SCIS)User Aktionen [1]
genügend
•Hohe Effektivität •Konzeptionell beste Lösung
Kriterien
Handlungs-optionen
Begründung derEmpfehlung
Risiko
InvestitionBetriebskosten
ErfüllungsgradAnforderungen
Gemäss Lösungsansatz MS RMSGemäss Lösungsansatz PKI
PKI mit sicherem E-Mail und Ablage
Document Right Management
Empfehlung Option 3
WinZIPmit Passwortschutz
(SMS)
Durchsetzung SatusQuo
Informations Right Management (IRM) von Informations Right Management (IRM) von Microsoft als überlegener LösungsansatzMicrosoft als überlegener Lösungsansatz
• Der Lösungsansatz des “Dokumentenschutzes” Der Lösungsansatz des “Dokumentenschutzes” reduziert die Risiken für MS-Office basiertes reduziert die Risiken für MS-Office basiertes Messaging stärker als eine generische Lösung zur Messaging stärker als eine generische Lösung zur Übertragungssicherheit von Files.Übertragungssicherheit von Files.
• IRM von Microsoft ist die kostengünstigste IRM von Microsoft ist die kostengünstigste LösungLösung
• Benutzerfreundlichkeit und Integration in die Benutzerfreundlichkeit und Integration in die gewohnte Arbeitsumgebung sind bei der gewohnte Arbeitsumgebung sind bei der empfohlenen Lösung am besten geeignet, die empfohlenen Lösung am besten geeignet, die notwendige Benutzerakzeptanz für den Einsatz notwendige Benutzerakzeptanz für den Einsatz von Schutzmassnahmen zu erreichen. von Schutzmassnahmen zu erreichen.
• Die Einführung bei 17’800 Mitarbeitenden bedarf Die Einführung bei 17’800 Mitarbeitenden bedarf geeigneter rahmenorganisatorischer Massnahmengeeigneter rahmenorganisatorischer Massnahmen
IRM: Umgang mit sensitiven Daten leicht IRM: Umgang mit sensitiven Daten leicht gemachtgemacht
Gestaltung und Realisierung durch Gestaltung und Realisierung durch Swisscom IT Services AGSwisscom IT Services AG
• SwSwisscom IT Services ist eine führende isscom IT Services ist eine führende Schweizer Informatik-Dienstleisterin mit Schweizer Informatik-Dienstleisterin mit Kompetenzen in den BranchenKompetenzen in den Branchen
• TelecommunicationTelecommunication
• Financial ServicesFinancial Services
• GovernmentGovernment
• HealthcareHealthcare
• Starker, erfahrener Outsourcing-Partner Starker, erfahrener Outsourcing-Partner
• Neue eTrade-Lösungen mit dem Handelsplatz Neue eTrade-Lösungen mit dem Handelsplatz ConextradeConextrade
Besondere Herausforderung der Besondere Herausforderung der ImplementierungImplementierung
• Technik ist nun reifTechnik ist nun reif• Einsatzkonzept erstelltEinsatzkonzept erstellt• Einsatzrichtlinie / Management InvolvementEinsatzrichtlinie / Management Involvement• Einführung mittels Pilot verifiziert / optimiertEinführung mittels Pilot verifiziert / optimiert• Schulung ist das A und OSchulung ist das A und O
• WebcastWebcast• CBTCBT
Ende 2004 ist das Projekt erfolgreich Ende 2004 ist das Projekt erfolgreich abgeschlossenabgeschlossen
April 04April 04 Mai 04Mai 04
Proof of Concept
Feb 04Feb 04 März 04März 04Jan 04Jan 04
Detail Design
Abnahme „Proof of Concept“
Grob Design
Abnahme Pilot
FunktionaleAbnahme
Sep 04Sep 04 Okt 04Okt 04Juli 04Juli 04 Aug 04Aug 04Juni 04Juni 04 Nov 04Nov 04 Dez 04Dez 04
Schulungsunterlagen
Realisierung
Pilot
Rollout
Schulungskonzept
Projekt Start
14.07.
27.08.
12.08.
08.10.
Schulung User
•Ohne partnerschaftliche Zusammenarbeit funktioniert so ein Projekt nichtOhne partnerschaftliche Zusammenarbeit funktioniert so ein Projekt nicht
Feedback Pilotuser zum PilotbetriebFeedback Pilotuser zum Pilotbetrieb
• Gesamteindruck ausgezeichnet Gesamteindruck ausgezeichnet (87.8% der Maximalpunktzahl)(87.8% der Maximalpunktzahl)
• Hervorragende BenutzerfreundlichkeitHervorragende Benutzerfreundlichkeit
• IRM Funktionalitätstests zu 100% erfolgreichIRM Funktionalitätstests zu 100% erfolgreich
• Web Based Training Web Based Training
• verständlich, geeignet und erfolgreichverständlich, geeignet und erfolgreich
• Sehr zufrieden mit PerformanceSehr zufrieden mit Performance
• Durchschnittlich +2.4 Sekunden zum ÖffnenDurchschnittlich +2.4 Sekunden zum Öffnen
0 20 40 60 80 100
0 20 40 60 80 100
0
2
4
6
8
<=1 1-2 2-3 3-4 4-5
IRM WorkflowIRM Workflow
Information Author
The Recipient
RMS Server
Database Server Active
Directory
2 3
4
5
2. Der Autor vergibt Berechtigungen am Dokument. Dabei wird eine Publishing License erstellt und das File verschlüsselt. 3. Der Autor verteilt das Dokument.
4. Der Empfänger öffnet das File, wodurch eine Verbindung zum RMS Server aufgebaut wird. Dieser validiert den Benutzer und gibt eine Use License zurück. 5. Die Applikation stellt das Dokument dar und sorgt für die Durchsetzung der Rechte.
1. Der Autor erhält ein Client Licensor Certificate, sobald das erste Mal ein Dokument geschützt wird.
1
IRM Architektur der SwisscomIRM Architektur der Swisscom
LoggingDatabase
ConfigurationDatabase
DirectoryDatabase
Database Servers
RMS Root Certification
Server
RMS Root Certification
Server
Load Balancing
License request to cluster URL
Information Rights Management Client
Warm StandbyProductive
RZ 1 RZ 2
ADS
Authentication Authentication
HSMHSM
Schulung der Swisscom MitarbeiterSchulung der Swisscom Mitarbeiter
• Teil ITeil I – Durchführung mit Web Cast – Durchführung mit Web Cast• Ausgangslage, Problematik und Regelungen rund um Rights Ausgangslage, Problematik und Regelungen rund um Rights
ManagementManagement
• Teil IITeil II – Durchführung mit Web Based Training – Durchführung mit Web Based Training• Handhabung von Rights Management FunktionenHandhabung von Rights Management Funktionen
• Im Intranet angebotene Inhalte (animierte Benutzerführung Im Intranet angebotene Inhalte (animierte Benutzerführung und Texte)und Texte)
• Anwender können Fragen stellen während SchulungsphaseAnwender können Fragen stellen während Schulungsphase• Antwort an AnwenderAntwort an Anwender
• Laufende Erweiterung FAQLaufende Erweiterung FAQ
Inhalte Teil I - Web CastInhalte Teil I - Web Cast
• Die Roadshow wird in drei Teilen durchgeführtDie Roadshow wird in drei Teilen durchgeführt• BegrüssungBegrüssung
• Motivation durch Urs Stahlberger (Sicherheit ist ein Thema der Motivation durch Urs Stahlberger (Sicherheit ist ein Thema der Geschäftsleitung)Geschäftsleitung)
• Fixer TeilFixer Teil (folgt) (folgt)• Übersicht Rights Management Übersicht Rights Management • NutzungsrichtlinienNutzungsrichtlinien• WissenswertesWissenswertes
• Was beim Umgang mit IRM zu beachten istWas beim Umgang mit IRM zu beachten ist• Hinweis auf „FAQ“Hinweis auf „FAQ“• Problemfälle und TippsProblemfälle und Tipps
• Das Service Desk ist Anlaufstelle für alle IRM BelangeDas Service Desk ist Anlaufstelle für alle IRM Belange• Interaktiver TeilInteraktiver Teil
• Q&A (Fragen der Benutzer werden via Mail gestellt)Q&A (Fragen der Benutzer werden via Mail gestellt)• Eventuell kurzer DemoteilEventuell kurzer Demoteil
Inhalte Teil II - Web Based TrainingInhalte Teil II - Web Based Training
• Das Web Based Training beinhaltet zwei Lehrgänge:Das Web Based Training beinhaltet zwei Lehrgänge:• Basic: Notwendiges Wissen, um IRM im täglichen Gebrauch nutzen zu Basic: Notwendiges Wissen, um IRM im täglichen Gebrauch nutzen zu
könnenkönnen• Advanced: Vertieftes Wissen und Informationen über die Verwendung von Advanced: Vertieftes Wissen und Informationen über die Verwendung von
IRMIRM
• Handhabung von Rights ManagementHandhabung von Rights Management• Schützen von Office Dokumenten und E-MailSchützen von Office Dokumenten und E-Mail• Verhalten des Schutzes bei MailanhängenVerhalten des Schutzes bei Mailanhängen• Ändern von „Zugriffslisten“Ändern von „Zugriffslisten“• Entfernen des Schutzes von Dokumenten und E-MailEntfernen des Schutzes von Dokumenten und E-Mail• Zugriff auf geschützte Dokumente im Offline ModusZugriff auf geschützte Dokumente im Offline Modus
• Benutzerrollen und seine ThemenBenutzerrollen und seine Themen• AutorAutor• EmpfängerEmpfänger
• Kein Zugriff auf gewünschte InformationenKein Zugriff auf gewünschte Informationen
Beispiele des EinsatzesBeispiele des Einsatzes
Beispiele des EinsatzesBeispiele des Einsatzes
Beispiele des EinsatzesBeispiele des Einsatzes
Beispiele des EinsatzesBeispiele des Einsatzes
Beispiele des EinsatzesBeispiele des Einsatzes
Top Related