Information Rights Management Adrian Turtschi, Swisscom AG Heinz Többen, Swisscom IT Service AG

Agenda Problemstellung Corporate Governance und Rollenmodell Vorgehen und Entscheidungsprozess Hauptrisiken im Umgang mit sensitiven Informationen, Lösungsoptionen - Empfehlung IRM als überlegener Lösungsansatz Realisierung durch Swisscom IT Services AG Besondere Herausforderungen der Implementierung

Problemstellung Die organisatorische Struktur, die internationale Aus-richtung und die Zunahme des Wettbewerbsdrucks sowie die Rolle und Position als bedeutendstes Tele-kommunikationsunternehmen in der Schweiz haben seit 2002 bei Swisscom zu einem neuen Sicherheits-verständnis geführt. Revisionsorgane stellen die hohe Risikobereitschaft bei der ungeschützten Speicherung und Übertragung von Dokumenten innerhalb der Swisscom fest und schlagen Schutzmassnahmen vor. Sensitive Informationen werden überwiegend (80%) auf Dokumente gespeichert und via E-Mail übertragen.

Corporate Governance und Rollenmodell Innerhalb der Swisscom sind die Rollen Leistungs-erbringer und Leistungsbezüger formal getrennt. Mehrere Swisscom Gruppengesellschaften bieten IT Leistungen am Markt an. Als Leistungsbezüger treten sowohl der CIO der Gruppe (Workplace, IT-Network, IT-Security, ERP) als auch die Bedarfsträger der Gruppengesellschaften auf. Für IT Leistungen besteht kein Bezugszwang innerhalb Swisscom. Es gilt die Regel, dass interne Leistungen zu Marktpreisen und –bedingungen erbracht werden müssen. Die Gruppe überwacht die Leistungsfähigkeit der internen Lieferanten durch laufendes Benchmarking.

Vorgehen und Entscheidungsprozess Die IT Governance von Swisscom verlangt, dass für IT Vorhaben auf allen Stufen ein Business Case vorgelegt werden muss, dessen Einhaltung via Umsetzungskontrolle überwacht wird. Die Implementierung der Vorgaben der Gruppe, die Steuerung, Gestaltung und die Sicherstellung des Einsatzes von Lösungen und Technologien gehören in den Zuständigkeitsbereich der System- oder Informationseigner. Für jeden Antrag sind bewertete Lösungs- und Handlungsalternativen vorzulegen.

Analyse: Hauptrisiken im Umgang mit sensitiven Dokumenten

Abwägung von Lösungen und Handlungs-optionen

Informations Right Management (IRM) von Microsoft als überlegener Lösungsansatz Der Lösungsansatz des “Dokumentenschutzes” reduziert die Risiken für MS-Office basiertes Messaging stärker als eine generische Lösung zur Übertragungssicherheit von Files. IRM von Microsoft ist die kostengünstigste Lösung Benutzerfreundlichkeit und Integration in die gewohnte Arbeitsumgebung sind bei der empfohlenen Lösung am besten geeignet, die notwendige Benutzerakzeptanz für den Einsatz von Schutzmassnahmen zu erreichen. Die Einführung bei 17’800 Mitarbeitenden bedarf geeigneter rahmenorganisatorischer Massnahmen

IRM: Umgang mit sensitiven Daten leicht gemacht

Gestaltung und Realisierung durch Swisscom IT Services AG Swisscom IT Services ist eine führende Schweizer Informatik-Dienstleisterin mit Kompetenzen in den Branchen Telecommunication Financial Services Government Healthcare Starker, erfahrener Outsourcing-Partner Neue eTrade-Lösungen mit dem Handelsplatz Conextrade

Besondere Herausforderung der Implementierung Technik ist nun reif Einsatzkonzept erstellt Einsatzrichtlinie / Management Involvement Einführung mittels Pilot verifiziert / optimiert Schulung ist das A und O Webcast CBT

Ende 2004 ist das Projekt erfolgreich abgeschlossen Ohne partnerschaftliche Zusammenarbeit funktioniert so ein Projekt nicht April 04 Mai 04 Proof of Concept Feb 04 März 04 Jan 04 Detail Design Abnahme „Proof of Concept“ Grob Design Abnahme Pilot Funktionale Abnahme Sep 04 Okt 04 Juli 04 Aug 04 Juni 04 Nov 04 Dez 04 Schulungsunterlagen Realisierung Pilot Rollout Schulungskonzept Projekt Start  14.07. 27.08. 12.08. 08.10. Schulung User

Feedback Pilotuser zum Pilotbetrieb Gesamteindruck ausgezeichnet (87.8% der Maximalpunktzahl) Hervorragende Benutzerfreundlichkeit IRM Funktionalitätstests zu 100% erfolgreich Web Based Training verständlich, geeignet und erfolgreich Sehr zufrieden mit Performance Durchschnittlich +2.4 Sekunden zum Öffnen

IRM Workflow Der Autor erhält ein Client Licensor Certificate, sobald das erste Mal ein Dokument geschützt wird. Database Server Active Directory Der Autor vergibt Berechtigungen am Dokument. Dabei wird eine Publishing License erstellt und das File verschlüsselt. RMS Server Der Autor verteilt das Dokument. Der Empfänger öffnet das File, wodurch eine Verbindung zum RMS Server aufgebaut wird. Dieser validiert den Benutzer und gibt eine Use License zurück. 1 4 2 5 3 Die Applikation stellt das Dokument dar und sorgt für die Durchsetzung der Rechte. Information Author The Recipient

IRM Architektur der Swisscom RZ 1 Database Servers RZ 2 Productive Warm Standby Logging Database Configuration Database Directory Database Authentication Authentication HSM HSM RMS Root Certification Server RMS Root Certification Server ADS Load Balancing License request to cluster URL Information Rights Management Client

Schulung der Swisscom Mitarbeiter Teil I – Durchführung mit Web Cast Ausgangslage, Problematik und Regelungen rund um Rights Management Teil II – Durchführung mit Web Based Training Handhabung von Rights Management Funktionen Im Intranet angebotene Inhalte (animierte Benutzerführung und Texte) Anwender können Fragen stellen während Schulungsphase Antwort an Anwender Laufende Erweiterung FAQ

Inhalte Teil I - Web Cast Die Roadshow wird in drei Teilen durchgeführt Begrüssung Motivation durch Urs Stahlberger (Sicherheit ist ein Thema der Geschäftsleitung) Fixer Teil (folgt) Übersicht Rights Management Nutzungsrichtlinien Wissenswertes Was beim Umgang mit IRM zu beachten ist Hinweis auf „FAQ“ Problemfälle und Tipps Das Service Desk ist Anlaufstelle für alle IRM Belange Interaktiver Teil Q&A (Fragen der Benutzer werden via Mail gestellt) Eventuell kurzer Demoteil

Inhalte Teil II - Web Based Training Das Web Based Training beinhaltet zwei Lehrgänge: Basic: Notwendiges Wissen, um IRM im täglichen Gebrauch nutzen zu können Advanced: Vertieftes Wissen und Informationen über die Verwendung von IRM Handhabung von Rights Management Schützen von Office Dokumenten und E-Mail Verhalten des Schutzes bei Mailanhängen Ändern von „Zugriffslisten“ Entfernen des Schutzes von Dokumenten und E-Mail Zugriff auf geschützte Dokumente im Offline Modus Benutzerrollen und seine Themen Autor Empfänger Kein Zugriff auf gewünschte Informationen

Beispiele des Einsatzes

Beispiele des Einsatzes

Beispiele des Einsatzes

Beispiele des Einsatzes

Beispiele des Einsatzes

Die Grenzen von IRM … Fragen? Questions? heinz.toebben@swisscom.com

Die Grenzen von IRM … Fragen? Questions? heinz.toebben@swisscom.com