Enterprise Mobile Management system på UiO

Bakgrunn

I en risikoanalyse gjort av gruppen for MAC OSX, Linux og Mobile Enheter våren 2014 konkluderes det med at det er for høy risiko for datalekkasje og eksponering av informasjon gjennom bruk av mobile enheter ved UiO, og at det er behov for risikoreduserende tiltak, men også tiltak som er bærekraftig med tanke på et økt antall tjenester til mobile flater, mobile brukeropplevelser og brukerfeil som øker som en konsekvens av dette.

Risikorapporten konkluderte med at det tidligere kalt MDM system (Mobile Device Management), nå Enterprise Mobility Management (EMM) platform, anbefales på det sterkeste.

Etableringen av EMM skal i tillegg til å gi større sikring av mobile enheter (MDM) brukt i UiO sammenheng,  gi muligheten for sikring av applikasjons-tjenester (MAM og MCM) som tilbys til mobile flater gjennom UiO autentisering, volumkjøp av lisenser og kontroll med disse.

Mobile Content Management (MCM) leveransen i prosjektet blir implementering av fildeling- og fillagringsystemet, Secure Content Locker (SCL), som muliggjør sikker tilgang til filer på UiO hjemmeområde fra brukers mobile enheter og nettbrett. Innføringen av en slik løsning er et viktig tiltak for å hindre datalekkasje og eksponering av informasjon. Secure Content Locker vil bli levert som en app sammen med MDM komponenten.

USIT har i første omgang inngått en avtale med med vmware/airwatch om 3000 EMM lisenser og 10 000 SCL lisenser. USIT vil være pilot på løsningen sammen med utvalgte andre grupper ved UiO. Tjemnesten skal i første omgang kun tilbys ansatte som en opt-in (valgfri) tjeneste, men som vi håper og tro skal gi bruker såpass mange fordeler at de fleste ønsker å ta denne i bruk.

Fordelene for sluttbruker vil bety automatisk oppsett på mobiltelefonen og nettbrettet for e-post, kalender, tråløst nett og VPN på UiO i tillegg til filtilgang gjennom SCL programvaren. Fordeler som også vil komme de lokale IT ansvarlige tilgode, samt at EMM systemet vil kunne gi dem en oversikt over enheter i omløp på deres institutt.

Formål

Innføring av EMM er først og fremst et tiltak som skal løse en del sikkerhetsutfordringer. Risikoanalysen fra våren 2014 peker på en del farer UiO står overfor: Økte antall tjenester og brukeropplevelser til mobile flater øker igjen risikoen for mere angrep på den mobile enheten, og mere informasjon på de mobile enhetene leder til større sjans for alvorlig datalekkasje, informasjon som på sikt kan kan føre til alvorlig tap av integritet og omdømme for UiO hvis den kommer på avveie.

Skal vi lykkes med EMM som et sikkerhetstiltak er det derfor avgjørende at vi får brukere av tjenesten. Med få brukere av tjenesten vil trolig ikke EMM ha noen fremtid som basisplattform av tjenester til mobile brukerflater. Og for å oppnå dette tror vi at vi må gi brukerene en merverdi ved å ta i bruk systemet. Vi må derfor fokusere på brukertjenesten og brukeropplevelsen allerede i implementasjonsfasen. For disse leveransene kreves et tverrfaglig ressursteam fra USIT hvor implementering av sertifikatløsning tror vi vil være den mest kritiske aktiviteten å få gjennomført. I tillegg ser vi viktigheten av å jobbe tidlig med design av den nye tjenesten sammen med IT-driftssenteret.

Mer...

Se resultatmål i mandat

Resultatmål og leveranse

Prosjektet har ett hovedmål (M1):

Sette EMM-system i drift til den første gruppe av sluttbrukere ved UiO (ca. 500 første).

Prosjektet får 2 hovedleveranser for å nå dette målet:

  1. Arkitektur og teknisk implementasjon: Installasjon av AirWatch (EMM) og Secure Content Locker (SCL) inkludert konfigurasjon (policy-avklaringer) og integrasjon med
    • SAML og AD for tilgangskontroll mellom enhet og EMM systemet
    • SMB for knytning mellom hjemmeområde og klient med filsystemet SCL,
    • Sertifikat-systemet for å erstatte UiO autentisering med med mer brukervennlig sertifikat-kontroll
    • SMS tjenestene, for å kunne kommunisere enkelt til EMM brukeres enhet ved behov
  2. Sluttbruker-service: 
    • ​​Etablering av en "UiO app store" hvor alle tilgjengelige tjenester som er administrert gjennom EMM er tilgjengelig for sluttbruker. Denne vil minimum inneholde SCL, Wi-Fi og VPN som bruker kan laste ned til sin enhet
    • Etablere en "self-service" portal der sluttbruker kan administrere sine enhter
    • Etablering av sluttbrukerstøtte hos 1.linje, opplæring av disse, samt retningslinjer for support til mobile enheter.

Etter at prosjektet er avsluttet skal systemet driftes videre som en linjeaktivitet. EMM systemets rapporteringsfunksjoner sammen med brukerundersøkelsen 2015 vil kunne benyttes for å evaluere hvorvidt prosjektet har lykkes å nå andre milepæl - M2.

Målsetningen til M2 (se roadmap under) i 2015 er klar:

  • Alle ansatte ved UiO som behandler data av typen "UiO begrenset" eller "UiO konfidensiell" skal være brukere av EMM tjenesten.
  • Alle ansatte som aktivt bruker nettbrett og mobil for å nå sine dokumenter og systemer fra disse, skal være brukere av EMM.

For å nå M2, vil ikke videre utrulling av EMM systemet alene være nok for å lykkes i å nå målet, men krever aktiviteter som jobber med mobil styring og organisering ved UiO, samt med mobile policy arbeid. Dette vil være linje-aktiviteter som vil styres utfra initiativ i MLM gruppen som vil trekke inn nødvendige ressurser der det behøves.

Publisert 14. okt. 2014 11:10 - Sist endret 23. feb. 2016 09:08
Del på e-post

Kontakt

 

Deltagere

Prosjektleder

Karine Fluge Ulleberg (USIT/IT-Drift/KD/MLM)

Prosjektdeltagere

Anders Bruvik (USIT/IT-Drift/KD/MLM, sentral i det meste rundt etablering av systemet)

Daniel Høisveen (super-superbruker av AirWatch)

Petter Haavin (ansvar for autentiserings-delen, samt utvikling av sertifikat-løsningen CA i EMM)

Sverre Didriksen (ansvarlig for profiler for mail, generell testing og utrulling av applikasjonen)

Rune Olsen og Rune Ersdal (ansvarlig for opplæring og prosesser knyttet til drifts-senteret)

Øystein Ekevik (Lokal IT ved HF, involvert i utarbeidelse av test-case og gjennomføringen av piloten som lokal administrator og bruker)

Arild Leikarnes Johansen (ansvarlig for etablering av profiler for tråløst nett og VPN i løsningen)

Øystein Larsen (konfigurering og testing av MAC OS X)

Thomas Hansen (Lokal IT ved IFI, sentral i pilotering av både MAC OS X og mobile enheter)

Mikal Kolbein Gule (ansvarlig for installasjonen, GAD)

Prosjekteier

Anders Vinger

Superbrukere og med fra lokal-IT

Øyvind Sørby (SV), Victor Bredholt (Med), Mohamed Abdulhamid Hazza (SV), Geir Yggeseth (SV)