72

Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een dataverwerkend systeem of uitgezonden in enige vorm door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van de directeur van NiVo network architects. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

1/72

NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

2/72

Voorwoord

Ons 2e boek … In 2006 bestond NiVo network architects 15 jaar. Sinds 1991 zijn Gerard Niersman (r) en Erik Vollers (l) met NiVo actief op de tele- en datacommunicatie markt. Ter gelegenheid van ons 15–jarig bestaan gaven wij ons 1e boek met de titel “Visie op het veilig gebruik van WiFi” uit. Gezien de vele positieve reacties hierop hebben wij besloten hieraan een vervolg te geven. Wij zijn trots op de auteurs (onze medewerkers) van dit 2e boek.

Namens alle NiVo medewerkers veel leesplezier toegewenst !

Gerard Niersman Erik Vollers


©

www.nivo.nl

3/72

Inhoudsopgave 1 2 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 2.2.1 2.2.2 2.2.3 3 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.4 3.4.1 3.4.2 3.4.3 3.5 3.6 3.6.1 3.6.2 3.6.3 3.6.4 3.7 3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.8 4 4.1 4.2

Inleiding ...................................................................................................... Trends in Mobiliteit.................................................................................... Inleiding ....................................................................................................... Fixed Access ............................................................................................... Nomadic Access.......................................................................................... Portability..................................................................................................... Simple Mobility ............................................................................................ Full Mobility ................................................................................................. 24-uurs economie........................................................................................ Internationalisering ...................................................................................... Nederland Kennisland ................................................................................. Flexibel werken............................................................................................ De Business case voor mobiel werken ................................................... Inleiding ....................................................................................................... Kwantitatief of Kwalitatief............................................................................. Kosten Mobiel Werken................................................................................. Mobiele Data ............................................................................................... HotSpot (WiFi)............................................................................................. Apparatuur en devices................................................................................. Middleware en meer .................................................................................... Beheer ......................................................................................................... Baten Mobiel Werken .................................................................................. Verhoogde productiviteit/efficiency .............................................................. Kantoorruimte.............................................................................................. Real-time (locatie) informatie ...................................................................... Case Accountants Kantoor.......................................................................... Huidige situatie............................................................................................ Gewenste situatie ........................................................................................ Voorgestelde oplossing ............................................................................... Toegevoegde waarde en baten ................................................................... Resultaten ................................................................................................... Case Beveiligingsbedrijf .............................................................................. Huidige situatie............................................................................................ Gewenste situatie ........................................................................................ Voorgestelde oplossing ............................................................................... Toegevoegde waarde en baten ................................................................... Resultaten ................................................................................................... Conclusie..................................................................................................... Architectuurvraagstuk mobiel werken .................................................... Inleiding ....................................................................................................... Een standaard mobiele omgeving ...............................................................


9 11 11 11 12 13 13 13 14 14 15 16 18 18 18 20 20 20 21 24 25 26 26 26 27 27 28 28 28 29 30 30 30 30 31 31 32 32 33 33 33

©

www.nivo.nl

4/72

4.3 4.3.1 4.3.2 4.3.3 4.4 4.4.1 4.4.2 4.4.3 4.4.4 4.5 5 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.3 5.4 5.4.1 5.4.2 5.4.3 5.5 5.6 5.7 6 6.1 6.2 6.2.1 6.2.2 6.3 6.3.1 6.3.2 6.3.3 6.4 6.5 6.5.1 6.5.2 6.5.3 6.6 6.7 6.8

Transmissieverbindingen ............................................................................. Vaste technologieën ................................................................................... Mobiele technologieën ................................................................................ Roaming ...................................................................................................... Applicatie verbindingen ............................................................................... L2tp/IPSec................................................................................................... SSL-tunnels................................................................................................. Begin en eindpunt van de applicatie verbinding .......................................... VPN concentrators ...................................................................................... Conclusie..................................................................................................... Het mobiele randapparaat ........................................................................ Inleiding ....................................................................................................... Soorten randapparatuur .............................................................................. Laptop ......................................................................................................... Mobiele telefoon .......................................................................................... Personal Digital Assistant............................................................................ Smarttelefoon .............................................................................................. Besturingssystemen voor PDA, mobiele- en smarttelefoon ........................ USB stick ..................................................................................................... Toegangsmethoden ..................................................................................... Toepassingen en oplossingen ..................................................................... Laptop ......................................................................................................... Mobiele telefoon .......................................................................................... Personal Digital Assistant en smarttelefoon ................................................ Unified Communications ............................................................................. Aandachtspunten bij keuze van randapparaat ............................................ Conclusie..................................................................................................... Beveiliging en beheer ............................................................................... Inleiding ....................................................................................................... De verbinding .............................................................................................. Toegangsbeveiliging .................................................................................... Gegevensbeveiliging ................................................................................... Authenticatie................................................................................................ Wat je weet.................................................................................................. Wat je hebt .................................................................................................. Wat je bent .................................................................................................. Thuiswerkplek.............................................................................................. Gegevensopslag.......................................................................................... Locatie ......................................................................................................... Verlies en diefstal ........................................................................................ Backup......................................................................................................... Softwaremanagement ................................................................................. Asset- en configuratiemanagement............................................................. Support .......................................................................................................


35 35 36 40 41 42 42 43 43 44 45 45 45 46 47 47 47 48 48 48 49 48 51 51 53 54 54 56 56 56 57 57 58 58 59 59 59 60 61 61 62 62 63 63

©

www.nivo.nl

5/72

6.9 7 7.1 7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.3 7.4 7.5 7.6

Conclusie..................................................................................................... Bijlage: voorbeeld beveiligingspolicy ..................................................... Inleiding ....................................................................................................... Apparatuur................................................................................................... Aanvraag ..................................................................................................... Thuiswerken ................................................................................................ Mobiel werken ............................................................................................. Verlies en diefstal ........................................................................................ Wachtwoorden............................................................................................. Dataopslag .................................................................................................. Verbinding.................................................................................................... Bestrijding van Malware .............................................................................. Aantekeningen...........................................................................................

64 66 66 66 66 66 67 67 68 68 69 69 71

Lijst met afbeeldingen en tabellen Figuur 2 Mobiliteits landschap ................................................................................ Figuur 3 Second life ................................................................................................ Figuur 4 Ruggedized mobile ?................................................................................ Figuur 5 Onebridge oplossing................................................................................. Figuur 6 Typisch voorbeeld van een mobiele omgeving ......................................... Figuur 7 Mobiele technieken positionering .............................................................

11 15 23 24 33 36

Tabel 1 MOS en Codecs ....................................................................................... 19 Tabel 2 Hot spot situatie........................................................................................ 21 Tabel 3 Investeringskosten accountantskantoor ................................................... 28 Tabel 4 Periodieke kosten accountantskantoor..................................................... 29 Tabel 5 Investeringskosten beveiligingsbedrijf ...................................................... 31 Tabel 6 Periodieke kosten beveiligingsbedrijf........................................................ 31 Tabel 7 Componenten in de mobiele omgeving .................................................... 34 Tabel 8 Overzicht draadloze technieken ............................................................... 39 Tabel 9 Overzicht type applicatie verbindingen................................................ 41/42 Tabel 10 Leveranciers van VPN concentrators ....................................................... 43


©

www.nivo.nl

6/72

De auteurs: Kim Blom Sinds november 2006 werk ik voor NiVo network architects. Via Linux systeembeheer, C en JAVA programmeren ben ik nu doorgegroeid naar netwerk consultancy Daar beleef ik veel voldoening aan en ben op dit moment bezig met CCIE Routing en Switching. ICT is een beweeglijke sector en juist dat heeft mij doen besluiten om te gaan werken bij een consultancy organisatie. Bij NiVo zijn de lijnen kort en daardoor kunnen we snel zaken gedaan krijgen. NiVo heeft mensen van diverse pluimage in dienst, allen zijn zeer ervaren en capabel. Peter Hartman In 2003 ben ik bij NiVo network architects in dienst gekomen. Ik heb voor NiVo gekozen omdat ik mij breder wenste te oriënteren dan uitsluitend op specialistisch niveau. NiVo biedt deze uitdaging. Ik heb Elektrotechniek/telematica gestudeerd aan de Hogeschool van Utrecht. Het werk als consultant biedt mij uitdaging op technologisch gebied, goede samenwerking met collega’s en tevens een solide basis voor de toekomst. Joris te Gussinklo In 2005 ben ik in dienst gekomen bij NiVo network architects. Ik heb Technische Bedrijfskunde (Industrieel Management) gestudeerd aan de HTS in Zwolle, gevolgd door een bedrijfskundige vervolgopleiding op Nijenrode. Het werk als consultant bij NiVo biedt voor mij het beste uit twee werelden: Werken in verschillende omgevingen in uitdagende projecten, maar ook bij NiVo collega's waar je mee kan sparren of bij kan aankloppen wanneer je dit nodig hebt. Behalve professionals zijn de collega's ook -ondanks (of juist door) de diverse achtergronden- heel interessante mensen om mee om te gaan. Jeroen Roos Na mijn studie HEAO Bedrijfskundige Informatica aan Hogeschool Alkmaar ben ik aan het werk gegaan bij een grote ITdienstverlener, waar ik me ben gaan specialiseren in (IP-)netwerken. Ik heb allerlei projecten gedaan, de laatste jaren vooral in de telecom-industrie.


©

www.nivo.nl

7/72

Van LogicaCMG ging ik naar NiVo: van meer dan 20000 collega's naar minder dan 50 collega's! Maandelijks heeft NiVo een bijeenkomst voor alle collega's om bij te praten; over werk maar zeker ook over vrije tijd. Zo houd je contact met je collega's en weet je wie je kunt bellen als je eens tegen iets aanloopt waar je zelf wat minder ervaring mee hebt.

Het bedrijf: NiVo network architects is een onafhankelijk adviesbureau op het gebied van de Informatie en Communicatie Technologie en richt zich op de volgende marktpartijen: • • • •

Top 500 ICT eindgebruikers Service providers ICT dienstverleners Opleidings instituten

Figuur 1 Kennis en kunde van NiVo

Het realiseren van een ICT infrastructuur is voor ons als het bouwen van een huis. Als netwerkarchitecten maken wij niet alleen het ontwerp maar zijn van begin tot eind betrokken bij de realisatie. Wij communiceren daarbij op alle niveaus binnen uw organisatie


©

www.nivo.nl

8/72

1 Inleiding “Mobiel werken” is het thema van het boekje wat voor u ligt. Zeker geen nieuw thema maar wel een thema waar de ontwikkelingen de laatste tientallen jaren zeer snel zijn verlopen. Enerzijds door maatschappelijke ontwikkelingen zoals: de toenemende verkeersdrukte, streven naar een groene economie, globalisering, de 24uurs economie, duurzaamheid, de flexibilisering van de arbeidsmarkt etc. Anderzijds door technologische ontwikkelingen die mobiel werken ook daadwerkelijk mogelijk maken. Als we deze ontwikkelingen beschouwen is vooral de penetratie van de mobiele (smart) telefoon van cruciaal belang. Maar ook ontwikkelingen die een stille dood sterven zoals bijv. WAP. Deze ontwikkelingen hebben de behoefte bij zowel eindgebruikers als (diensten) leveranciers verder vormgegeven waardoor mobiel werken werkelijkheid geworden is. Mobiel werken zien we dagelijks om ons heen. Dat het ook de aandacht heeft in de vakpers getuige de verschillende boekjes rondom dit thema bijvoorbeeld het boek1 wat ik voor me heb liggen met inzage in een aantal succesvolle praktijkvoorbeelden uit de zorgsector. Of een ander boek2 uitgegeven door de BTG getiteld “van ‘thuis werken naar thuiswerken” met enkele praktijkvoorbeelden uit het zakenleven. Waarom dan nog een boek over dit onderwerp zult u zich wellicht afvragen? Dit boek richt zich, zoals u gewend bent van NiVo, meer op de technische infrastructuur die benodigd is om mobiel werken mogelijk te maken. Verder kunnen we ons voorstellen dat U gezien de snelle ontwikkelingen op dit vlak het overzicht kwijt bent. Met dit boekje willen we het overzicht weer compleet maken. We hebben gekozen om de volgende structuur aan te brengen in het boekje: In hoofdstuk 2 starten we met het schetsen van de trends die we momenteel zien rond om mobiel werken. In hoofdstuk 3 onderzoeken we wat de noodzakelijke aspecten zijn voor het opzetten van een business case en werken we vervolgens een tweetal business cases uit voor mobiel werken beide vanuit een totaal ander gezichtspunt. In hoofdstuk 4 schakelen we over naar de techniek en de keuzes die we daarin hebben om de noodzakelijke communicatie kunnen realiseren. We staan stil bij de verschillende benodigde mobiele randapparaten en de bijbehorende voor- en nadelen daarvan. In hoofdstuk 6 tenslotte worden de noodzakelijke beveiligingsaspecten rondom mobiel werken behandeld, waarbij de uitdaging ligt in het vinden van een goede balans tussen flexibiliteit en veiligheid.

Mobiele diensten in de zorgpraktijk Een uitgave van het EIHCI, september 2007 Van ‘Thuis werken’ naar thuiswerken. Een uitgave van de BTG in samenwerking met M&I, juni 2007

1 2


©

www.nivo.nl

9/72

Met dit boekje hebben wij ernaar gestreefd om een overzicht te schetsen van de benodigde infrastructurele zaken om mobiel werken ook daadwerkelijk mogelijk te maken. Vergeet echter niet dat naast het inregelen van een technische infrastructuur ook de bedrijfsfilosofie ruimte moet bieden voor mobiel werken en dat eventueel werkprocessen aangepast moeten worden om tot een succesvolle invoering van mobiel werken te komen. Wij wensen u veel leesplezier.

Gerard Niersman


©

www.nivo.nl

10/72

2 Trends in Mobiliteit 2.1 Inleiding Dit hoofdstuk beschrijft de trends die we waarnemen met betrekking tot de mobiliteit van medewerkers in een organisatie. We beschouwen daarbi jde huidige stand van zaken en de ontwikkelingen in de (nabije) toekomst. Daarnaast wordt ook beschreven welke nieuwe mogelijkheden worden geboden door de technische ontwikkelingen, zowel op het gebied van netwerken als van devices. De toename van mobiliteit van medewerkers zal leiden tot nieuwe vraagstukken waar een gepast antwoord op geformuleerd moet worden. Denk hierbij aan thema’s als veiligheid, afhankelijkheid van systemen, maar ook de grenzen tussen werk en privé. Allemaal vraagstukken die direct of indirect gekoppeld zijn aan Mobiel Werken. Verder vraagt het thema ‘Trends in Mobiliteit’ natuurlijk ook om een beschrijving van mobiliteit. De onderstaande figuur geeft vanuit technisch oogpunt een beschouwing van verschillende vormen van mobiliteit. De figuur laat zien dat voor verschillende vormen van mobiliteit verschillende invullingen bestaan.

Locations/ Speed Fixed access

Single Stationary

Techniques Microwave

Nomadic access

Multiple Stationary

Portability

Multiple Walking speed

WiFi, WiMAX GPRS, UMTS

Simple Mobility

Multiple Low vehicular

WiMAX, GPRS UMTS, EDGE

Full Mobility

Multiple High vehicular

WiMAX, GPRS UMTS, EDGE

Laptop with Wifi

Figuur 2 Mobiliteits landschap

2.1.1

Fixed Access

Fixed Access is plaatsgebonden toegang. Toegang tot netwerken en gegevens is gebonden aan de fysieke locatie.


©

www.nivo.nl

11/72

Draadloze netwerkvoorzieningen hebben een Point-to-Point karakteristiek. De technische oplossingen die in dit scenario worden gebruikt zijn straalverbindingen of afgeleiden daarvan. Deze straalverbindingen kunnen zicht bevinden in de gereguleerde ether (licensed band) of in de vrije ether. Straalverbindingen worden ingezet in een aantal scenario’s: o Vaste verbindingen niet beschikbaar o Vaste verbindingen te kostbaar o Tijdelijke oplossing o Overbrugging totdat vaste verbinding wel beschikbaar is Voor Fixed Access zijn een aantal trends en ontwikkelingen waar te nemen. o Goedkope (tijdelijke) oplossingen op basis van WiFi en richtantennes. WiFi componenten worden op zeer grote schaal gefabriceerd en kunnen zijn goedkoop verkrijgbaar. Door het koppelen van standaard componenten zijn goedkope en redelijk betrouwbare oplossingen mogelijk. o Het gebruik van WiMAX licenties voor ‘the last mile’ waardoor breedband ontsluiting mogelijk wordt. Al een aantal jaar wordt WiMAX door de markt gepropageerd als de oplossing voor mobiel breedband. Huidige oplossingen zijn geschikt voor Fixed Access, oplossingen voor mobiele toepassingen volgen in een later stadium. o Draadloos vormt een steeds beter alternatief voor vaste verbindingen. Doordat de technische oplossingen voor wireless Fixed Access steeds volwassen zijn geworden bieden ze een alternatief voor huurlijnen met aanzienlijke maandelijkse lasten.

2.1.2 Nomadic Access Bij Nomadisch gebruik wisselen gebruikers regelmatig van werkplek. De werkplekken zijn wel vast, dus op het moment dat er wordt gewerkt is de positie vast. Op een plaats waar toegang geboden wordt kunnen meerdere gebruikers het toegangspunt benutten (point-to-multipoint). Toegangspunten bestaan zowel in private ruimtes (kantooromgeving en thuis) als publieke ruimtes (station, café’s, hotels, luchthavens etc.). Trends voor Nomadic Access zijn: o Sterke toename van mogelijkheden om vanuit publieke ruimtes aan te loggen. o Ontwikkeling van toegang in treinen, vliegtuigen en bussen. Hotspots worden meer ingezet als marketing instrument of zelfs als randvoorwaarde voor een publieke locatie. o De aandacht voor beveiliging van dataverkeer over publieke infrastructuur leidt ertoe dat het gebruik ook veiliger wordt gemaakt (door bijvoorbeeld gebruik te maken van VPNs) De kosten voor het gebruik van publieke access points (HotSpots) zijn vrij hoog in vergelijk met andere technologieën. De keerzijde is dat wanneer er verbinding is gemaakt met een hotspot, de snelheid vaak hoog is.


©

www.nivo.nl

12/72

Het gebruik van HotSpots biedt wel duidelijke kostenvoordelen in het buitenland (geen roaming tarieven zoals bij telefonie). Bij grotere WiFi netwerken kan al de basis worden gelegd voor Portability, waar de gebruikers binnen een beperkte ruimte vrij kunnen bewegen zonder netwerkverbinding te verliezen.

2.1.3 Portability De volgende stap in mobiliteit is Portability. In dit geval is het mogelijk om binnen een veel groter geografisch dekkingsgebied mobiele toegang te hebben. Typisch voor Portability is dat de dekking van de netwerken wordt gemeten in percentages van de bevolking (en dus geen geografische percentages). Technologieën als GPRS, UMTS en HSDPA maken het mogelijk om breedband dataverbindingen te onderhouden tijdens het reizen. De snelheden mogen niet te hoog zijn omdat de verbindingen hier niet tegen bestand zijn. Trends op het vlak van Portability: o toename in de dekking van netwerken, ook geografisch o toename van de snelheid van de verbindingen, van GPRS naar UMTS naar HSDPA o afname van de kosten van deze verbindingen en meer flat-fee proposities o Portability en Simple Mobility zullen binnen afzienbare tijd migreren naar Full Mobility. Techniek zal standaardiseren naar twee of drie basistechnieken (GPRS, HSPA en WiFi)

2.1.4 Simple Mobility Simple Mobility is de evolutie van Portability naar Full Mobility. Binnen Simple Mobility kan de gebruiker zich met een hogere snelheid verplaatsen terwijl de beschikbare bandbreedte stabiel blijft. Enerzijds wordt dit mogelijk gemaakt door betere dekking van de netwerken, aan de andere kant ook door verbeterde devices mogelijkheden worden gecreëerd. Met name de introductie van hybride devices maakt het mogelijk gebruik te maken van de technologie met de beste eigenschappen voor de locatie. Denk hierbij aan GPRS voor gebieden met een matige breedband dekkig, HSPA voor stedelijke gebieden met een goede dekking en WiFi voor gebruik binnen de kantoor- of huisomgeving. De volgende trends zijn zichtbaar: o Zie de ontwikkelingen bij Portability o Devices worden hybride waardoor gekozen kan worden uit de beste technologie voor de situatie. Voorbeelden zijn mobiele telefoons voorzien van WiFi maar ook laptops met ingebouwd HSDPA modem.

2.1.5 Full Mobility Full Mobility voorziet in volledige breedbandaansluiting, ook op hogere snelheid (denk aan verbinding in een rijdende auto). Landelijk dekkende


©

www.nivo.nl

13/72

netwerken zijn noodzakelijk, net zoals roaming tussen verschillende technieken (zie hoofdstuk 4) Voor Full Mobility zijn de volgende trends zichtbaar: o Devices worden speciaal ontwikkeld voor specifieke toepassingen waardoor betere kwaliteit haalbaar is o Dekking van de netwerken wordt steeds beter waardoor breedband op meer locaties beschikbaar is o Roaming tussen verschillende draadloze technieken wordt steeds beter

2.2 24-uurs economie Niet alleen binnen Nederland worden de werktijden steeds verder opgerekt, maar ook een toename van internationale contacten maakt dat de ouderwetse werkweek van 9 tot 5 achterhaald begint te raken voor een toenemend deel van de bevolking. Zeker nu Nederland zich sterker ontwikkelt als kennismaatschappij, zal een groter deel van het werk niet meer achter het bureau op kantoor plaatsvinden maar vanaf een andere locatie, bijvoorbeeld thuis. Steeds groter wordt dus de behoefte aan toegang tot informatie en communicatie vanaf locaties anders dan de traditionele werkplek. Een ander kenmerk van de 24-uursmaatschappij is dat de snelheid van handelen ook moet worden vergroot. Lange responsetijden zijn niet acceptabel meer. De markt verwacht snelle en adequate reacties, vaak dus ook buiten de reguliere patronen. Een tekenend voorbeeld (april 2007) is dat het Ruimtelijk Planbureau (RPB) in een studie stelt dat met name in de binnensteden het winkellandschap zal veranderen. Reisbureaus, bruingoed- en witgoedzaken, cd-winkels en boekhandels verdwijnen grotendeels uit de straat door de opkomst van E-Shops (www.rpb.nl). De traditionele winkeliers moeten zich dus aanpassen aan de toenemende mobiliteit van de consument.

2.2.1 Internationalisering Dienstverlenende instanties verruimen de dienstverlening (soms ook noodgedwongen) tot buiten de gangbare kantooruren. Dit vraagt ook om aangepaste voorzieningen voor de medewerkers. Natuurlijk kan een bedrijf kiezen voor aan gepaste kantoortijden of het openen van een vestiging in de tijdzone van de klant (denk hierbij aan buitenlandse vestigingen). Het is echter in veel gevallen aantrekkelijker om kantoorvoorzieningen beschikbaar te stellen buiten de fysieke kantooromgeving. Een groot aantal praktische problemen wordt daarmee opgelost.


©

www.nivo.nl

14/72

Hoewel het steeds laagdrempeliger wordt om fysiek naar een (internationale) bestemming te reizen, geldt voor bestemmingen op Internet dat alles en iedereen over praktisch de hele wereld bereikbaar is, zonder noemenswaardige inspanning of kosten. Het onderhouden van contacten met klanten, leveranciers maar ook vrienden en familie is tegenwoordig niet moeilijker dan wanneer deze in Nederland zouden wonen. Een andere vorm van internationalisering waar het bedrijfsleven en de overheid zich nu het hoofd over breken is Second Life. Een steed groter aantal mensen heeft naast een eerste leven ook een tweede leven in de virtuele wereld. In Second Life kan je een virtueel tweede leven opbouwen zonder de beperkingen die je hebt in het eerste leven. Het bedrijfsleven maar ook de overheid nemen deze ontwikkelingen waar en vragen zich af of en hoe ze moeten reageren op de mobiliteit naar virtuele bestemmingen. Een aantal voorlopers als Randstad Uitzendbureau en Gemeente Zoetermeer heb- Figuur 3 Second life ben hun opwachting gemaakt in Second Life. Randstad biedt zelfs betaalde banen aan in en voor de virtuele wereld. Is dit het toppunt van internationalisering en mobiliteit? Het is in ieder geval een feit dat ook de virtuele gemeenschap een steeds grotere invloed heeft op het gewone leven en dat er ook gebruik gemaakt kan worden van de nieuwe mogelijkheden die deze wereld biedt.

2.2.2 Nederland Kennisland Om het hoofd te kunnen bieden aan de aanstormende economieën als China, met een enorm productiepotentieel en lage lonen, moet Nederland zich onderscheiden door een hoog kennisniveau. Alleen veel kennis is niet toereikend. Deze kennis moet efficiënt ingezet kunnen worden met behulp van communicatiemiddelen om er voordeel uit te kunnen halen. De mogelijkheden die door de huidige techniek worden geboden kunnen kenniswerken uitstekend ondersteunen. Voordeel uit kennis is namelijk alleen te bereiken wanneer kennis kan worden gedeeld met anderen. Denk hierbij aan verkoop van licenties op ontwikkelingen. Op deze manier wordt er geld verdiend aan het uitdenken en ontwikkelen van ideeën en concepten en kan het model in stand worden gehouden. Kennisland is een denktank met een missie (www.kennisland.nl). Kennisland wil van Nederland een slimmer land maken. Geciteerd van de website:


©

www.nivo.nl

15/72

“In de kenniseconomie wordt de waarde van steeds meer producten en diensten in toenemende mate bepaald door de creatieve component. Oftewel, de betekenis, identiteit of ervaring die het ons verschaft. Dit vereist uiteenlopende innovaties op allerlei vlakken (bv. technologisch, organisatorisch, cultureel) om dat mogelijk te blijven maken. De kracht van een kenniseconomie wordt bepaald door de capaciteit van mensen en organisaties om nieuwe concepten, ideeën en kennis om te zetten in economische waarde. De kenniseconomie is daarmee letterlijk een creatieve economie.” Door het gebruik van internettechnologie is het mogelijk om samen te werken aan het verrijken van kennis, en ook het creatieve proces te ondersteunen. Communicatie vindt plaats onafhankelijk van plaats en tijd (misschien zelfs in een virtuele wereld ). In eigen land speelt natuurlijk mee dat door de kennisintensieve werkzaamheden de werknemer niet per definitie gebonden is aan een vaste werkplek en aan de kantooruren. Zolang de benodigde informatie beschikbaar is voor de medewerker kan het werk worden uitgevoerd. Door creatief om te gaan met technologische hulpmiddelen als ‘connected devices’ en VPNs kan op een veilige manier samen worden gewerkt aan het verrijken van de kennis. Om dit mogelijk te maken zal kennis en informatie (in digitale vorm!) beschikbaar moeten zijn voor participanten in projecten en activiteiten. Mobiliteit kan het kenniswerken dus op een creatieve en effectieve manier ondersteunen. Hoe groter en belangijker het kenniswerken wordt, des te meer aandacht besteed moet worden aan de totale veiligheid van informatiesystemen. De spagaat tussen toegankelijkheid en veiligheid wordt steeds groter. In hoofdstuk 6 wordt nader ingegaan op mobiliteit en veiligheid.

2.2.3 Flexibel werken Uit de voorgaande paragrafen is duidelijk geworden dat flexibel en mobiel werken bijna voorwaardelijk zijn om als organisatie aan te kunnen haken bij de kennisintensieve economie. In januari 2007 heeft Ernst & Young (www.ey.nl) haar periodieke ICT barometer (www.ictbaometer.nl) gepubliceerd over thuiswerken. Het onderzoek is gebaseerd op een steekproef onder 600 directeuren, managers en professionals. Uit dit onderzoek komen een aantal interessante conclusies naar voren: De overheid zegt thuiswerken te stimuleren, onder meer om de reistijden en dus de files te verkorten. Niettemin is het pc privé project nog geen twee jaar geleden afgeschaft en is de ARBO regelgeving over de thuiswerkplek zodanig aangescherpt, dat het veel moeilijker is geworden om aan de regels te voldoen. Kortom: de overheid maakt thuiswerken in de praktijk eerder moeilijker,” aldus Jacob Verschuur, directeur ICT Leadership bij Ernst & Young.


©

www.nivo.nl

16/72

“Hier ligt dus een uitgelezen kans voor het nieuwe kabinet: maak thuiswerken echt een prioriteit en practice what you preech” “Thuiswerken helpt niet alleen om de files korter te maken. De opwarming van de aarde door uitstoot van CO2 is de laatste tijd dagelijks in het nieuws en de zorg over het klimaat staat hoog op de agenda van het nieuwe kabinet. Het stimuleren van thuiswerken zal ook een belangrijke bijdrage kunnen leveren aan de vermindering van deze uitstoot. “Bovendien”, meent Verschuur: “is een van de speerpunten van het nieuwe kabinet om de kenniseconomie te bevorderen en hierdoor innovatie mogelijk te maken. Dit zal alleen mogelijk zijn als werkgevers hun kenniswerkers ruimte kunnen geven zo effectief mogelijk te werken. De traditionele 9 tot 5 mentaliteit hoort niet thuis in een kenniseconomie” Uit dit onderzoek blijkt ook dat het voor 75 procent van de ondervraagden mogelijk is om voor een deel thuis te werken. Echter, slechts 7 procent van de bedrijven stimuleert daadwerkelijk deze geënquêteerden om thuis te gaan werken

Met betrekking tot het efficiënt inzetten van middelen om flexibel te kunnen werken kunnen er nog grote stappen worden gemaakt. De technische ontwikkelingen voorzien steeds meer mogelijkheden om flexibel werken eenvoudiger te maken. De grootste uitdaging ligt bij de organisaties om zich bewust te worden van de snel veranderende omgeving en de organisatiecultuur te vormen naar deze nieuwe omgeving. Flexibiliteit is één van de grootste voorwaarden om het toenemende tempo te kunnen volgen.


©

www.nivo.nl

17/72

3 De Business case voor mobiel werken 3.1 Inleiding Business Cases zijn de onderbouwing van beslissingen om over te gaan tot de invoering van oplossingen. In dit hoofdstuk zijn twee business cases uitgewerkt, voor de invoering van mobiel werken oplossingen bij respectievelijk een accountancy kantoor en een beveiligingsbedrijf. Voorafgaand aan de uitwerking worden een aantal essentiële onderwerpen verder uitgediept, die moeten leiden tot een solide opbouw van de business case en dus ook tot een betrouwbaar resultaat. Hoewel afgeleid van bestaande ondernemingen zijn de gebruikte gegevens gebaseerd op kennis, ervaring en vrij beschikbare marktgegevens. Geen enkele business case is gelijk aan de ander. De twee geselecteerde business cases benaderen Mobiel Werken elk vanuit een ander gezichtpunt, waardoor een beeld ontstaat van de specifieke keuzes in een bedrijfstak.

3.2 Kwantitatief of Kwalitatief Kwantitatieve informatie zorgt voor een betrouwbaardere business case omdat ‘harde’ vergelijkingen gemaakt kunnen worden. Ook is het veel beter mogelijk de effecten van aanpassingen door te rekenen. Op deze manier kunnen verschillende scenario’s tegen elkaar worden afgezet. Wanneer de business case wordt opgezet, dan lijkt het in eerste instantie vaak moeilijk om kwantitatieve gegevens boven water te krijgen en is de verleiding groot om kwalitatieve gegevens te gebruiken. Het loont vaak wel de moeite om te proberen deze kwalitatieve gegevens kwantificeerbaar te maken. De waarde van de informatie neemt toe en een objectief vergelijk is beter mogelijk. Voor het onderzoeken van kwalitatieve informatie kan bijvoorbeeld ook een ranglijst worden gebruikt. Door de rangschikking op deze lijst kan een meerwaarde worden gegeven aan een kwalitatief element ten opzichte van ander element. Verder kan vaak door de vraag anders te benaderen een kwalitatief gegeven kwantitatief worden gemaakt. Om het bovenstaande te illustreren de volgende stelling: “De geluidskwaliteit moet goed zijn”


©

www.nivo.nl

18/72

Deze stelling is erg duidelijk, maar absoluut niet meetbaar. Geluidskwaliteit kan wel meetbaar worden gemaakt door bijvoorbeeld de MOS3 waarde te gebruiken. Op deze manier kan kwaliteit worden vergeleken. De onderstaande tabellen zijn afkomstig van wikipedia (http://en.wikipedia.org/wiki/Mean_Opinion_Score) en beschrijven de waardes van de MOS. Ter illustratie (ook van wikipedia) de MOS waardes van verschillende CODECS die worden gebruikt bij VoIP.

Tabel 1 MOS en Codecs

Codec (data rate)

Mean Opinion Score (MOS)

Mean Opinion Score (MOS) G.711 MOS

Quality

4.1

Impairment (64 kbit/s)

5

Excellent

Imperceptible

4

Good

Perceptible but not annoying

(8 kbit/s)

G.729 3.92

3

Fair

Slightly annoying

G.723.1

2

Poor

Annoying

(6.3 kbit/s)

1

Bad

Very annoying

G.729a

3.9

3.7 (8 kbit/s) G.723.1 3.65 (5.3 kbit/s)

Mean Opinion Score (MOS) is een indicatie voor de kwaliteit van een telefoongesprek uitgedrukt in een getal van 1 tot en met 5, waar 1 de slechtste kwaliteit heeft en 5 de beste. In de praktijk wordt Mean Opinion Score gebruikt om de kwaliteit van Voice over IP gesprekken te meten. De MOS waarde wordt bepaald door de gemiddelde score van antwoorden op subjectieve vragen over de ervaren gesprekskwaliteit. (www.wikipedia.nl) 3


©

www.nivo.nl

19/72

3.3 Kosten Mobiel Werken Business Cases zijn bijzonder krachtig omdat onderliggende structuren en afhankelijkheden worden weergegeven. De opbouw van de kostenstructuur is in de cases erg belangrijk. Alle relevante elementen moeten benoemd zijn. De volgende paragrafen geven een (niet arbitraire) onderverdeling in een kostenopbouw.

3.3.1 Mobiele Data Deze paragraaf behandelt de kostenopbouw van Mobiele Data. In deze context omvat Mobiele Data de producten die aangeboden worden door telecomaanbieders zoals GPRS, UMTS en HSPA. Deze producten worden in hoofdstuk 5 in detail beschreven. Voor deze business cases stellen we de eis dat de tariefstructuur bestaat uit een Flat Fee Propositie in combinatie met een fair-use policy zodat we niet worden geconfronteerd met hoge verbruikskosten achteraf. De kosten voor een Flat Fee UMTS/GPRS abonnement bedragen voor een normale eindgebruiker tussen de € 50 en € 754 per maand per mobiele aansluiting. Door gebruik te maken van marktmacht kunnen met name voor grotere partijen behoorlijke kortingen op deze tarieven worden bedongen. Recente grote overheidsaanbestedingen zoals OT2006 (www.OT2006.nl) laten zien dat de maandelijkse kosten voor mobiele data aansluitingen drastisch gereduceerd kan worden. Ook grote (commerciële) instellingen kunnen door aanbestedingen de kosten van mobiele data terugdringen. Datagebruik in het buitenland blijft heel kostbaar, door de grotere internationale aanbieders zoals Vodafone wordt gewerkt aan internationale tarieven, maar de voordelen zijn vooralsnog beperkt. Bovendien geldt voor mobiele data nog meer dan voor spraak dat op internationaal gebruik zeer hoge marges worden gemaakt en dat het niet in het belang van de operators is om deze tarieven terug te dringen.

3.3.2 HotSpot (WiFi) Als alternatief voor de mogelijkheden van UMTS/HSPA en GRPS kan gekozen worden voor het gebruik van HotSpots of WiFi. WiFi techniek heeft een aantal duidelijke voordelen ten opzichte van UMTS/HSPA. Deze voordelen bestaan uit een hogere bandbreedte, een lagere latency en internationale standaards (802.11 a/b/g). De nadelen van WiFi bestaan uit een beperkte geografische dekking van de Hotspot en weinig tot geen mogelijkheden voor roaming. Op de Nederlandse markt zijn opereren een aantal grote spelers (zie top 10). Deze partijen hebben een roamingoverenkomsten zodat gebruikers kunnen aanloggen op de HotSpots van roaming partners.. Naast deze partijen zijn er nog een aantal kleinere spelers die zich richten op specifieke marktsegmenten.

4

Prijsniveau medio 2007


©

www.nivo.nl

20/72

Deze kleinere spelers zoeken vaak wel aansluiting en hebben roaming overeenkomsten met (inter)nationale partijen om het dekkingsgebied uit te breiden. Tabel 2 Hot spot situatie Provider

Roaming partners

1

KPN

2 3 4 5

iPass T-Mobile Boingo Trustive

6

Vodafone

KPN (764) T-Mobile (754) Wjoy (221) EnertelWireless-(Winq) (185) Mobilander (31) etc. KPN (764) T-Mobile (754) Eurospot (179) Attingo (1) KPN (764) T-Mobile (754) KPN (764) Wjoy (221) Eurospot (179) Picopoint (1) KPN (764) Enertel-Wireless-(Winq) (185) Mobilander (31) Enertel-Wireless-(Winq) (185) Mobilander (31) Happy-Connect (22) RAI-Wireless (10) Wjoy (221) Eigen-Beheer (212) Enertel-Wireless-(Winq) (185) Attingo (1)

7 8 9 10

Wjoy Eigen Beheer WeRoam Enertel Wireless (Winq) Enertel-Wireless-(Winq) (185) Bron: www.hotspotsvinden.nl

Aantal Hotspots 1989 1698 1518 1165 980 248 221 212 186 185

Het kostenmodel voor HotSpot aanbieders is gebaseerd op 2 pijlers: Ad Hoc en abonnement. Ad Hoc: Bij Ad Hoc gebruik wordt toegang gekocht voor een kort tijdsbestek. De kosten per tijdseenheid zijn relatief hoog (typisch € 5 per uur). Bij langere tijdsduur zakt de prijs per tijdseenheid snel. Abonnement: Abonnementen worden afgesloten bij telecomproviders of gespecialiseerde bedrijven. De kosten voor een abonnement verschillen maar bevinden zich in de range van € 30 – € 70 per maand. WiFi lijkt vooral interessant voor Mobiel Werken wanneer de gebruikers veel internationaal reizen en zich veel op publieke plaatsen bevinden. Een landelijk dekkend WiFi netwerk zal niet worden ontwikkeld, dus HotSpots en WiFi zijn niet geschikt om ‘always online’ te zijn wanneer de medewerker continue in beweging is, zoals bijvoorbeeld bij een koeriersdienst. In tegenstelling tot UMTS/HSPA is het internationaal gebruik van HotSpots vaak net zo duur als nationaal gebruik, dus voor internationaal werkende organisaties kan dit een aantrekkelijk scenario zijn. Met name de USA en Azië bieden veel HotSpots.

3.3.3 Apparatuur en devices Om mobiel werken mogelijk te maken moet randapparatuur geschikt zijn voor de verschillende technieken (zie voorgaande paragrafen). NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

21/72

Deze paragraaf beschrijft een aantal mogelijke oplossingen en de bijbehordende kosten. Omdat de markt sterk in beweging is, en veel concurrentie kent zullen de prijzen aan fluctuaties onderhevig zijn. HSPA/UMTS/GPRS Kaart / USB Bestaande apparatuur kan relatief eenvoudig worden uitgebreid met HSPA/UMTS/GPRS mogelijkheden. Nagenoeg alle laptops kunnen worden uitgebreid met een losse PC Card. Deze PC Card zorgt voor draadloze verbinding naar het netwerk van de telecom operator. Operators leveren deze PC-Cards vaak mee tegen gereduceerde tarieven wanneer een abonnement wordt afgesloten. Prijzen voor losse datacards bedragen tussen € 175 en € 375. Wanneer het gebruik van een PC Card niet mogelijk is zijn er ook USB uitvoeringen beschikbaar. Door gebruik te maken van deze USB uitvoeringen kunnen bijvoorbeeld ook desktop-PC’s worden aangesloten. De kosten van USB modems zijn vergelijkbaar met die van PC Cards. Hybride oplossingen Maandelijkse kosten voor mobiele datacommunicatie zijn relatief hoog. Oplossingen om een draadloze netwerk verbinding te delen met een aantal gebruikers op een netwerk worden steeds meer toegepast. Met behulp van een UMTS/HSPA router kan een klein netwerk worden gekoppeld aan een mobiel netwerk. De koppeling van werkstations aan een UMTS router kan met vaste bekabeling of met behulp van een lokale WiFi cel. Leveranciers van dit soort oplossingen zijn bijvoorbeeld Linksys (ism Vodafone) en Lancom. De routers zijn voorzien van een uitbreidingsslot waar een PC Card in gestoken kan worden (zie vorige paragraaf). Deze kaart moet meestal apart worden aangeschaft. Prijzen voor deze routers vanaf € 500. Connected laptop Fabrikanten van laptops nemen de toenemende mobiliteit ook waar en breiden het portfolio uit met producten waar de mobiele netwerk voorzieningen in zijn opgenomen. In het portfolio van leveranciers als Dell, HP, Lenovo en Acer zijn producten opgenomen waar optioneel een UMTS/HSPA/GPRS modem in geplaatst kan worden. Op deze machines dus geen uitstekende PC Cards meer. De benodigde SIM kaart kan in de laptop worden geplaatst waarna de laptop gereed is voor mobiel gebruik. Sinds een aantal jaren wordt WiFi (voornamelijk 802.11 b/g) overigens al standaard geleverd op laptops. De prijzen voor deze laptops starten bij ongeveer € 1.300. Wanneer de laptops worden gebruikt in extreme situaties, kan toevlucht worden genomen tot een ‘ruggedized’ uitvoering. Deze laptops presteren vergelijkbaar met normale apparaten, maar zijn bestand tegen vallen, water etc.. Een bekende leverancier van ruggedized laptops is Panasonic met de Toughbooks. Deze toughbooks zijn optioneel ook voorzien van UMTS/HSPA/GPRS modem. Prijzen voor Toughbooks beginnen bij € 3.500.


©

www.nivo.nl

22/72

Tablet PC’s/Ultra Mobile PC (UMPC) Tablet PC’s vormen de brug tussen de PDA en de laptop. Wanneer de gebruikerseisen de mogelijkeheden van de PDA overtreffen maar wanneer een laptop te groot is biedt de Tablet PC uitkomst. Hoewel de maatvoering compacter is dan een laptop, de prestaties niet beter, liggen de prijzen van een Tablet PC rond het niveau van een normale laptop. In hetzelfde domein als de Tablet PC, maar een duidelijke bloedband met de PDA is de T-Mobile AMEO. Dit device heeft een groter scherm dan een PDA, een redelijk keyboard, volop verbindingsmogelijkheden, maar draait op Windows Mobile 5. De fabrikant van dit apparaat is HTC. Prijzen vanaf € 850. Ultra Mobile PC (UMPC) is de verzamelnaam van compacte devices op basis van een speciale versie van Windows XP Tablet Edition De apparaten zijn een compact soort tablet, maar groter dan een PDA. Na een gehypte introductie in 2006 van het apparaat is het rustig geworden. De eerste generatie UMPC zijn voorzien van Bluetooth en WiFi maar niet van UMTS/HSPA/GPRS. De tweede generatie voorziet wel in deze technieken. Prijzen voor UMPC’s vanaf € 800. PDA/Ruggedized PDA/Smartphone PDA’s vormen de eerste generatie van connected devices. Al dan niet met behulp van externe netwerken (GPRS via Bluetooth) kon de PDA verbinding maken met het internet. De PDA heeft een ontwikkeling doorgemaakt richting smartphone op het gebied van connectiviteit. Recente connected PDA’s ondersteunen WiFi, GPRS/UMTS en HSDPA. Bekende fabrikanten zijn HP (iPAQ), HTC (runner up met diverse modellen), Palm (Treo) en Panasonic met Ruggedized versies. De kosten voor een connected PDA beginnen bij € 400 en eindigen rond de € 1.500 voor een ruggedized Panasonic.

Figuur 4 Ruggedized mobile ?


©

www.nivo.nl

23/72

3.3.4 Middleware en meer Middleware is de verbindingslaag die het connected device in verbinding moet brengen met de mail en agenda servers in de organisatie. Voor de verschillende soorten devices zijn verschillende oplossingen mogelijk. Wanneer bijvoorbeeld laptops via UMTS moeten worden aangesloten dan volstaat in veel gevallen een (tijdelijke) VPN verbinding met het LAN. Het wordt complexer wanneer PDA’s verbinding willen maken met de kantoorautomatisering. Nog complexer wordt het wanneer verschillende soorten en merken toegang willen hebben tot de kantoorautomatisering. Deze paragraaf beschrijft een aantal mogelijke middleware oplossingen. Onebridge (www.ianyware.com)

firewall

corp domain controller

firewall

OneBridge proxy server

- notes - exchange OneBridge server

DMZ internet WAN/LAN/WLAN (TCP/IP)

OneBridge desktop connector

Figuur 5 Onebridge oplossing Het Onebridge platform is een platform dat het mogelijk maakt een aantal verschillende types PDA op een veilige manier te koppelen aan een Lotus Notes of Microsoft Exchange server. Een voordeel van Onebridge is dat er een verschillende merken en typen PDA kunnen worden geprovisioned zoals Windows Mobile en Palm OS. De licentiekosten voor een Onebridge platform zijn afhankelijk van het aantal gebruikers. Voor een representatieve omgeving kunnen de volgende kentallen worden gebruikt: - Licentie Server € 10.000 - Licentie per client € 70 – € 100


©

www.nivo.nl

24/72

Microsoft Exchange Server 2007 De laatste release van MS Exchange ondersteunt de mogelijkheid van Push Mail standaard. Vanzelfsprekend worden alleen connected devices op basis van MS Windows Mobile ondersteund. Toepassing van deze server biedt aan de ene kant voordeel omdat geen aparte investering gedaan hoeft te worden. De organisatie moet zich bewust zijn van de beperkingen die deze oplossing met zich meebrengt. Naast het client-server model biedt MS Exchange ook de mogelijkheid voor Outlook Web Access (OWA). OWA biedt misschien nog wel meer mogelijkheden doordat alleen (compatible) internet browser nodig is. Afgezien van de reguliere kosten voor MS Exchange Server zijn er geen investeringen nodig. Blackberry Enterprise Server Het succesproduct van Research in Motion (RIM) is de Blackberry. De Blackberry kan op een aantal manieren worden aangesloten op het bedrijfsnetwerk. De eerste methode is door gebruik te maken van een Blackberry server bij een ASP of bij RIM. De andere mogelijkheid is het plaatsen van een eigen Blackberry Enterprise Server (BES). Door het installeren en opereren van een eigen BES kan een organisatie zorgen voor een end-to-end beveiligde oplossing. Net als bij de Microsoft Exchange Server kan de BES alleen worden gebruikt voor ‘eigen’ producten van RIM, Blackberries dus. Het voordeel van de BES ten opzichte van MS-Exchange is dat de berichten volledig versleuteld worden verstuurd. Tevens heeft de BES heeft de mogelijkheid Blackberries op afstand te resetten of uit te zetten. De kosten voor een Blackberry oplossing bedragen globaal: BES € 3.000 Client licenties € 50 – € 100

3.3.5 Beheer Naast het aanschaffen van devices en het installeren van servers moet ook het beheer van de mobiele devices worden geborgd. Ervaring leert dat mobiele devices minstens net zoveel beheer vragen als normale kantoorautomatisering. Voor mobiele devices geldt ook dat de kans op schade, verlies of diefstal groter is. Bij de keuze voor een mobiele oplossing moet de inrichting van het beheer ook mee worden genomen. Wanneer beheerders remote acties kunnen uitvoeren op apparatuur maakt dit beheer veel efficiënter. Extra kosten voor beheer zijn volledig afhankelijk van het volume en de soort gekozen oplossing.


©

www.nivo.nl

25/72

3.4 Baten Mobiel Werken Voorgaande paragrafen zijn volledig gericht op de kosten die Mobiel Werken met zich meebrengen. Om een positieve business case te kunnen bouwen moet de andere kant van de balans baten aantonen.

3.4.1 Verhoogde productiviteit/efficiency Mobiel werken maakt het mogelijk productief te blijven wanneer een medewerker zich niet op de werkplek bevindt. Toegang tot email, agenda maar ook informatiesystemen maakt het mogelijk direct activiteiten op te pakken zonder te moeten wachten tot de medewerker weer op kantoor is. In paragraaf 3.2 is een gloedvol betoog gehouden over het kwantificeren van de gegevens dus er moet concreet worden gemaakt waar deze verhoogde productiviteit toe leidt. - Minder reistijd of tijd in de file omdat de gang naar kantoor niet nodig is. Stel dit scheelt 2 uur per week. Bij veertig werkbare weken per jaar komt dit neer op 40 x 2 uur is 80 uur. Deze 80 uur kunnen productief worden ingezet in plaats van aansluiten in de file. Wanneer de gemiddelde bruto kosten per uur per medewerker worden gesteld op € 25 per uur, dan bedraagt de besparing € 2.000 per jaar per medewerker. - Doordat het eenvoudiger is thuis werkzaamheden uit te voeren, kunnen bijvoorbeeld offerte trajecten of opleveringen sneller worden afgerond, waardoor er eerder gefactureerd kan worden. Stel orderwaarde bedraagt € 100.000. De actuele rente bedraagt 3% en door zaken af te kunnen ronden wordt er 5 dagen eerder gefactureerd. De winst bedraagt dan € 41. Een zeer beperkte besparing dus. Bovenstaande voorbeelden zijn fictief, maar geven aan dat onderwerpen die in eerste instantie kwalitatief lijken, meetbaar gemaakt kunnen worden. Zolang de aannames realistisch zijn en gedocumenteerd worden zijn de risico’s beperkt.

3.4.2 Kantoorruimte Wanneer oplossingen voor mobiel werken worden ingevoerd, dan bestaat ook de mogelijkheid om een deel van de vaste werkplekken te vervangen door flexplekken. Ambulante (mobiel werkende) collega’s maken gebruik van deze plekken terwijl vaste medewerkers een persoonlijke werkplek hebben. De verhouding tussen aantal werkplekken en het aantal medewerkers wordt Flexratio genoemd. Met een flexratio van 0,6 (6 werkplekken per 10 medewerkers) en hybride ruimtes zoals het restaurant waar ook draadloos kan worden gewerkt, wordt de beschikbare ruimte optimaal benut.


©

www.nivo.nl

26/72

Op basis van enkele aannames kan de volgende berekening worden gemaakt: Stel door mobiel te werken kan een Flexratio bereikt worden van 0,7 (dus 7 werkplekken voor 10 medewerkers) Bij een omvang van 50 medewerkers zijn er dus in plaats van 50 werkplekken maar 35 nodig. Wanneer de kosten van een werkplek worden gesteld op € 1.000 per maand, dan levert dit een besparing op van 15 werkplekken x € 1000 x 12 maanden = € 180.000 per jaar.

3.4.3 Real-time (locatie) informatie Wanneer medewerkers in het veld werken is het mogelijk (bijvoorbeeld door GPS informatie te versturen) de geografische locaties van de medewerkers weer te geven in een Geografisch Informatie Systeem (GIS). Deze informatie kan worden gebruikt voor een aantal toepassingen: - Controleren of de medewerkers zich bevinden daar waar ze dienen te zijn. - Routeren van de dichtstbijzijnde medewerker of capaciteit naar een locatie wanneer dat noodzakelijk is - Ondersteuning bij interne en externe kwaliteits- en managementrapportages doordat activiteiten of gebeurtenissen gekoppeld kunnen worden aan een exacte locatie op een exact tijdstip. De waarde van bovenstaande toepassingen is indirect te verkrijgen doordat de organisatie meer middelen heeft om de uitvoering te ondersteunen waardoor ze beter in staat is gemaakte prestatie overeenkomsten na te komen (en te bewijzen).

3.5 Case Accountants Kantoor Deze case beschrijft de invoering van een mobiele werkplek voor het management en de medewerkers van een middelgroot accountantskantoor. De doelstelling van de invoering is het verbeteren van de communicatie van de medewerkers onderling en met de buitenwereld. De beveiliging van zowel de agendainformatie als het email verkeer is van erg groot belang omdat er vertrouwelijke informatie over klanten wordt verstuurd.

3.6 Huidige situatie Het accountants kantoor bestaat uit 50 accountants en 15 ondersteuners. De accountants hebben allen een vaste werkplek in het kantoor, maar brengen een groot gedeelte van hun tijd door op de locatie van de klant. Om de werkzaamheden bij de klant goed uit te kunnen voeren hebben de accountants een laptop ter beschikking.


©

www.nivo.nl

27/72

Op kantoor wordt de laptop aangesloten op het LAN. Thuis kan de laptop worden aangesloten op een veilige DSL aansluiting om verbinding te maken met het kantoornetwerk om email en agenda bij te werken. De medewerkers hebben verder de beschikking over een standaard GSM toestel en een rekenmachine .

3.6.1 Gewenste situatie In de gewenste situatie hebben de accountants toegang tot de email en agenda functionaliteit, ook wanneer ze bij klanten zijn of onderweg. Zowel het verkeer als de informatie op het device moeten versleuteld zijn. In geval van verlies of diefstal mag de informatie niet meer toegankelijk zijn voor derden. De oplossing moet eenvoudig te bedienen en mee te nemen zijn.

3.6.2 Voorgestelde oplossing Op basis van de gewenste situatie wordt voorgesteld een oplossing op basis van Blackberry Enterprise Server (BES) en Blackberry handhelds voor de accountants. Hoewel de totale oplossing de flexibiliteit van de medewerkers vergroot wordt een houden de accountants hun eigen bureau en wordt een mogelijke besparing door flexwerken te introduceren buiten beschouwing gelaten. Tabel 3 Investeringskosten accountantskantoor

Investering

Kosten (€)

Blackberry Enterprise server (BES) Licenties voor 50 gebruikers (50 x € 70) Installatie + testen (3 dagen) Bijdrage toestellen (€ 100 per toestel bij afsluiten 1 jarig abonnement.)

€ 3.000 € 3.500 € 4.500

Totaal

€ 16.000


€ 5.000

©

www.nivo.nl

28/72

Tabel 4 Periodieke kosten accountantskantoor Periodieke kosten (per maand)

Kosten (€)

Abonnement (50 x Blackberry Enterprise á € 32,50 per maand) € 1.625 Kosten onderhoud (1/12 x 15% van de investering per jaar) € 81 Vervanging defecte toestellen. Normaal gesproken gaat een toestel 3 jaar mee, dus ~30% vervangen per jaar. € 540 € 2.264

Totaal per maand

3.6.3 Toegevoegde waarde en baten Toegevoegde waarde voor deze investering is de verbeterde bereikbaarheid /communicatie van de accountants wanneer deze niet op kantoor zitten. Door deze oplossing kan de interne en externe dienstverlening verder worden verbeterd. Omdat gekozen is geen (extra) flexplekken in te richten zijn hier geen besparingen te verwachten. Resumerend kan worden gesteld dat de bereikbaarheid en communicatiemogelijkheden van de accountants worden verbeterd, maar dat dit niet om te zetten is betrouwbare financiele kentallen.


©

www.nivo.nl

29/72

3.6.4 Resultaten De goedkeuring voor deze businesscase zal niet komen uit de financiële hoek. Er moet de een andere justificatie zijn om de investering te doen. Op basis van andere argumenten dan het moeilijk kwantificeerbare ‘verbeterde bereikbaarheid’ kan besloten worden tot implementatie over te gaan.

3.7 Case Beveiligingsbedrijf Deze case beschrijft de invoering van een connected PDA voor de medewerkers van een beveiligingsbedrijf. De medewerkers (100) van dit bedrijf bewaken een bedrijfs- en particuliere panden. De wens bestaat om een real-time inzicht te krijgen in positie van de medewerkers, evenals het nauwkeurig vastleggen van de bewakingsronde van de medewerker in het te beveiligen pand.

3.7.1 Huidige situatie In de huidige situatie is de medewerker voorzien van een PDA met barcode scanner. Voordat de dienst van de medewerker begint wordt deze PDA met behulp van WiFi op kantoor gevuld met de geplande rondes van die dienst. De PDA informeert de beveiliger over de volgorde van de locaties, maar ook binnen de locaties, welke ruimtes gecontroleerd moeten worden. Dat deze locaties bezocht zijn wordt gecontroleerd door het scannen van een barcode in de betreffende ruimte. Wanneer de medewerker terug komt op kantoor wordt de PDA weer uitgelezen en wordt rapport opgemaakt.

3.7.2 Gewenste situatie De gewenste situatie is een uitbreiding op de huidige situatie. Alle voorzieningen uit de huidige situatie moeten dus beschikbaar zijn in de gewenste situatie. Aanvullend wil de Particuliere Alarm Centrale (PAC), de meldkamer van het beveiligingsbedrijf real-time weten waar de medewerkers zich bevinden. Aan de ene kant om de dichtstbijzijnde medewerker naar een alarmmelding te kunnen sturen (responsetijd op alarmmelding verkleinen), maar ook het kunnen vastleggen in de tijd wanneer de medewerker welk pand heeft bezocht en op wel tijdstip de rondes zijn gelopen (inclusief de gescande barcodes van de te lopen ronde). De informatie die op deze wijze verkregen wordt, zal voornamelijk worden gebruikt in de kwaliteitsrapportages van het bedrijf richting de klant. Gemaakte kwaliteitsafspraken kunnen op deze wijze worden bevestigd. Functionaliteit als email en agenda is niet nodig.


©

www.nivo.nl

30/72

3.7.3

Voorgestelde oplossing

In de voorgestelde oplossing wordt de PDA vervangen door een exemplaar met ingebouwde hoogwaardige GPS ontvanger. Naast de GPS voorziening is de PDA voorzien van een aansluiting voor de barcode lezer. Voor de PAC geldt dat de locatie-informatie in een GIS beschikbaar moet worden gesteld. In de PAC is al een GIS aanwezig, en de locaties van de medewerkers kan relatief eenvoudig worden toegevoegd. Omdat de PDA continue verbinding heeft met de PAC, is een carkit noodzakelijk om de PDA bij te laden gedurende de reistijd. Optioneel kan de PDA worden voorzien van navigatiesoftware, zodat de medewerker direct naar de volgende site kan worden begeleid. Tabel 5 Investeringskosten beveiligingsbedrijf Investering Aanpassing GIS + licenties Installatie + testen (10 dagen) PDA’s voor 100 medewerkers Carkit voor PDA inclusief inbouw Totaal

(100 x € 725) (100 x € 275)

Kosten (€) € 25.000 € 15.000 € 72.500 € 27.500 € 140.000

Tabel 6 Periodieke kosten beveiligingsbedrijf Periodieke kosten (per maand) Flat Rate Data abonnement tbv PDA (100 x € 65) Kosten onderhoud (1/12 x 15% van de investering per jaar) Vervanging defecte PDAs. Normaal gesproken gaat een toestel 3 jaar mee, in deze branche rekenen we met 2 jaar. Totaal per maand

3.7.4

Kosten (€) € 6.500 € 500 € 3.020 € 10.200

Toegevoegde waarde en baten

De toegevoegde waarde van deze business case richt zich op twee speerpunten: Efficiëntere routering Door de betere routering van medewerkers in het geval van een alarmmelding wordt de klant beter bediend en service levels beter gehaald. Er zal dus minder vaak een penalty moeten worden uitgekeerd (beter nog: de klant blijft behouden).


©

www.nivo.nl

31/72

Stel dat de nieuwe situatie het mogelijk maakt om in 8 gevallen binnen de gestelde servicelevels te blijven, dan levert dit (stelpost!) 8 x €1.500 = €12.000 op. Dit is voldoende om de periodieke kosten te dekken, maar nog niet voldoende om de investering terug te verdienen. Betere inzet medewerkers Er heerst een zware concurrentiestrijd in de branche, waardoor commerciele trajecten op het scherps van de snede worden worden gespeeld. Door de mogelijkheid om te bewijzen hoe lang medewerkers over hun route doen, en hoe intensief de inpandige controle worden uitgevoerd, onstaat een concurrentievoordeel. Beveiligingsprojecten lopen vaak meerdere jaren, dus wanneer door middel van de veel betere rapportages kan worden aangetoond dat er een aantal opdrachten worden binnengehaald, die anders niet waren gevallen, dan kan dit een groot verschil maken. Stel dat er 3 extra projecten worden binnengehaald met een looptijd van 3 jaar dan moeten deze projecten een bruto marge hebben van minimaal € 2.300 om break-even te draaien (gerekend met een afschrijving van 5 jaar). Binnen een gezonde organisatie is dit zondermeer haalbaar.

3.7.5 Resultaten Deze businesscase valt positief uit. De inzet van geavanceerde Connected PDAs maakt het mogelijk het werk beter uit te voeren en tevens de beschikbare medewerkers zo efficiënt mogelijk in te zetten.

3.8 Conclusie Dit hoofdstuk leert dat de businesscase voor de inzet van oplossing voor Mobiel Werken niet vanzelfsprekend sluitend zal zijn. De case van het accountantskantoor biedt te weinig aantoonbare voordelen om de businesscase sluitend te krijgen. In deze gevallen zullen of andere argumenten worden gebuikt voor invoering, of het project wordt gestaakt omdat de businesscase niet sluitend is. In het geval van het beveiligingsbedrijf komt wel duidelijk naar voren dat een positieve case haalbaar is. De oorzaak ligt bij het feit dat de oplossing een directe bijdrage levert aan de kernprocessen (bij de accountants een ondersteunende functie). Doordat het mogelijk is de kernprocessen beter te beheersen kunnen concrete voordelen worden geboekt.


©

www.nivo.nl

32/72

4 Architectuurvraagstuk mobiel werken 4.1 Inleiding In dit hoofdstuk zullen we nader ingaan op de infrastructurele zaken die nodig zijn om mobiel werken mogelijk te maken. Hierbij zullen technische oplossingen aan bod komen die een medewerker in staat stellen om zijn of haar taken uit te voeren zonder daarbij gebonden te zijn aan plaats. Dit concept gaat een stap verder dan thuis werken waarbij men toch gebonden is aan plaats. De doelgroep thuiswerkers kon reeds geruime tijd bediend worden initieel met inbelvoorzieningen en later met xDSL en CAI netwerken. Sectoren waarin mobiliteit of beweeglijkheid al wordt voorondersteld zoals de vervoerssector of transportsector kunnen hiermee niet uit de voeten en dienen te vertrouwen op een mobiele infrastructuur. Met technieken als GPRS, UMTS en WLAN kan deze doelgroep ook afdoende bediend worden. Met verdergaande prijserosie van deze mobiele technieken komt het volledig mobiel werken en het “always on” zijn binnen handbereik van een ieder.

4.2 Een standaard mobiele omgeving In Figuur 6 is een voorbeeld gegeven van een mobiel werken omgeving.

Typische mobiele omgeving Applicatie verbindingen

Vaste infra Cable /xDSL

Server

Bedrijfsomgeving

Fire wall

Mobiel device

Internet Mobiele infrastructuur

Transmissie verbindingen

Figuur 6 Typisch voorbeeld van een mobiele omgeving


©

www.nivo.nl

33/72

In een dergelijke omgeving kunnen we de volgende componenten onderscheiden: Bedrijfsnetwerk

Binnen het bedrijfsnetwerk worden de bedrijfstoepassingen beschikbaar gesteld. Deze toepassingen zijn toegankelijk voor de medewerkers die rechtstreeks zijn aangesloten op dit netwerk. Veelal krijgen mobiele gebruikers door een koppeling naar dit bedrijfsnetwerk toegang tot de bedrijfstoepassingen.

Koppeling bedrijfsnetwerk aan openbare infrastructuur

Hier worden het private en het publieke netwerk aan elkaar gekoppeld. Dit dient uiteraard op een veilige manier te ge beuren. Hier dient middels diverse technische hulpmiddelen zoals firewalls, proxies, VPN concentrators de beveiliging geborgd te worden.

Openbare infrastructuur

De openbare infrastructuur wordt beschikbaar gesteld door de telecom providers. Deze infrastructuur is continue in ontwikkeling. Meestal wordt er onderscheid gemaakt in mobiele en vaste infrastructuren alhoewel we dit onderscheid in de toekomst verder zal vervagen. Er wordt door de providers continue gewerkt aan een zo laag mogelijke bit per seconde kosten.

Randapparaat

Het randapparaat bij de gebruiker zelf. Dit randapparaat komt aan de orde in hoofdstuk 4

Tabel 7 Componenten in de mobiele omgeving


©

www.nivo.nl

34/72

Een trend die we de laatste jaren steeds meer zien is dat de bedrijfstoepassingen niet altijd meer op het eigen bedrijfsnetwerk meer staan. maar extern betrokken worden via de publieke infrastructuur bij zogenaamde ASP Application Service Providers. Een andere doorsnede die we kunnen maken, is die volgens het OSI model. Op de onderste lagen zien we de transmissie verbindingen en op de hogere lagen zien we de applicatie verbindingen. We zullen deze aspecten verder behandelen aan de hand van deze indeling.

4.3 Transmissieverbindingen Bij de transmissie verbindingen gaat het met name om de zogenaamde “ last mile” technologie. Het stukje netwerk waarmee het randapparaat kan communiceren. Deze “Last mile” is vaak kostenbepalend voor de oplossing en daarmee ook bepalend voor het soort applicatie verbinding. We maken in deze paragraaf verschil in vaste en mobiele technieken. Aan het slot van dit hoofdstuk staan we stil bij het overschakelen tussen de verschillende technieken en providers. Ook wel “roaming” genoemd.

4.3.1 Vaste technologieën Hieronder een overzicht van de vaste technologieën: Inbel (Dial-up) verbindingen via het openbare telefonienet hebben internet groot gemaakt. Dial-up modems kwamen rond 1985 op de markt met snelheden van 300 bps. Begin jaren negentig kwamen de eerste betaalbare 9600 bps modems op de markt. Anno 2007 is 75 % van de laptops standaard uitgerust met een 56K/v924 modem. Het gebruik van deze modems is echter beperkt geworden tot misschien hotel locaties of exotische oorden. Een door de telecomproviders gepositioneerde opvolger van Dial-up verbindingen is xDSL. Vanaf 2000 is ADSL (Asymetric Digital Subscriber Line) op de markt gekomen en qua bandbreedte steeds met stappen verhoogd tot (mede afhankelijk van kwaliteit verbinding) tot maximaal 8Mbps downsteam en 1Mbps upstream. De ADSL2+ techniek gaat nog een stukje verder en maakt het mogelijk om 20 Mbps download snelheid te verkrijgen. De asymmetrische versies van ADSL zijn prima geschikt voor consumenten die over het algemeen meer data consumeren als produceren. Voor het bedrijfsleven is er ook een symmetrische versie SDSL beschikbaar. Huidige snelheden van SDSL bedragen zo’n 2Mbps up en downstream. De providers zullen ervoor zorgen dat de snelheden van xDSL in de toekomst nog verder opgevoerd worden.


©

www.nivo.nl

35/72

Ten behoeve van de consumentenmarkt hebben de kabelbedrijven met behulp van kabelmodems hun aanbod competitief gemaakt met consumenten xDSL oplossingen. Gelijksoortige snelheden en prijzen worden hier gehanteerd. Gezien het openbare karakter van kabelverbindingen zijn er echter beperkte beveiligingsvoorzieningen getroffen in de kabelmodems om te voorkomen dat dataverkeer voor een consument niet bij de buren terecht komt. Glasvezeltechnologie staat aan de vooravond om grootschalig ingevoerd te worden. Bij aanleg van nieuwbouwwijken of Industrieterreinen zien we deze technologie toegepast worden. Voor vervanging van bestaande netwerken door glasvezel is helaas nog maar in beperkte mate een positieve business case te maken. Met aanleg van glasvezel tot in de huiskamer worden ongekende aansluit bandbreedtes mogelijk.

4.3.2 Mobiele technologieën Er is een ruime variëteit aan mobiele technologieën beschikbaar. Een belangrijk aspect bij de bepaling welke mobiele technologie gekozen dient te worden is het bereik. Anders gezegd “Waar bevinden de te koppelen mobiele werkers zich ?”. In Figuur 7 zijn de verschillende technologieën gerangschikt op dit bereik. Figuur 7 Mobiele technieken positionering

Wereld GSM Satcom

Nationaal Regionaal UMTS WLL GPRS WiMAX WAN

MAN

Kantoor WLAN

In één ruimte Bluetooth InfraRood WLAN UWB

LA N

PAN

© NiVo

Op dit moment zijn GSM, GPRS, UMTS en WiFi beschikbaar en treffen de operators voorbereidingen voor HSDPA. Onderstaand een overzicht van de verschillende mobiele technologieën:


©

www.nivo.nl

36/72

Bluetooth – oplossing voor bekabelingprobleem van telecommunicatie apparatuur, zoals communicatie tussen toetsenbord en PC, headsets voor GSM telefoons of GPS koppeling naar PDA . Bluetooth is geschikt voor het overbruggen van korte afstanden en voor hoge datasnelheden tot en met 3 Mbps. Voordeel van Bluetooth is laag stroomverbruik. Er is geen licentie nodig voor inzet van Bluetooth. De standaard voor Bluetooth is beschreven in IEEE 802.15.1. DECT - Digital European Cordless Telephone wordt veelvuldig toegepast in de telefonie wereld voor draadloos bellen in huis. Bereik buiten is tot ca. 300 meter. Ondanks het feit dat de technologie primair ontwikkeld is voor spraak (zeer succesvol en grootschalige toepassingen) is datacommunicatie mogelijk tot 550 Kbps. WLAN – Wireless LAN in verschillende varianten bestaat al meer dan 10 jaar en is met name geschikt voor draadloze client-server toepassingen. Twee bekende WLAN varianten zijn Wireless Fidelity (WiFi) en WIMAX wat staat voor Worldwide Interoperability for Microwave Access. De doorvoersnelheid van WiFi is afstandsafhankelijk en varieert van 1 tot 54 Mbps. Bekende WiFi standaarden zijn 802.11a (11 Mbps), 802.11b (54 Mbps) en opvolger 802.11g (54 Mbps). Naast data biedt WiFi de mogelijk voor spraak. Om de kwaliteit van de spraak te waarborgen dient de standaard te worden uitgebreid met Quality of Service. De standaard voor Quality of Service is beschreven in 802.11e. GSM – Global System for Mobile communication is de huidige technologie voor mobiele telefonie en biedt tevens mogelijkheid tot versturen van berichten. Er zijn twee technieken bekend als GSM900 en GSM1800. GSM900 heeft een groot bereik van 30 – 70 Km en kent een landelijk bereik in Nederland. GSM1800 heeft een lagere energie consumptie tegen een kleiner bereik tot 6 Km. GSM is een, 8 slots, Time Division Multiple Access (TDMA) systeem, werkend op RF (Radio Frequente) kanalen/dragers van 200Khz. HSCSD, GPRS – zijn technieken die als uitbreiding op de GSM infrastructuur zijn ontwikkeld en bieden mogelijkheid om data communicatie via het bestaande GSM netwerk te verrichten. High Speed Circuit Switches Data (HDCSD) is circuit geschakeld en biedt verbindingssnelheden tot ca. 40 Kbps. Voor HSCSD is geen aanpassing op de GSM infrastructuur benodigd. Wel dient het randapparaat de technologie te ondersteunen. General Packet Radio System (GPRS) is pakket geschakeld en biedt snelheden tot maximaal 170 Kbps door het bundelen van maximaal 8 tijdsloten. GPRS is op dit moment de meest toegepaste technologie. De circuit geschakelde oproep voor telefonie heeft daarbij voorrang op een pakket geschakelde oproep en gaat ten koste van de beschikbare bandbreedte. Voor GPRS hebben de operators een aanpassing op de GSM infrastructuur uitgevoerd. Bij communicatie via GPRS dient uiteraard ook het randapparaat deze technologie te ondersteunen.


©

www.nivo.nl

37/72

W-CDMA (UMTS) – door hogere snelheid biedt Universal Mobile Telecommunication Systems (UMTS) de mogelijkheid de mobiele en vaste netwerken te integreren. UMTS is een wereld standaard voor breedband toegang, werkt op basis van Code Division Multiple Access techniek. UMTS, de 3de generatie mobiele netwerken (3G), is gedefinieerd door de ITU en staat bekend onder International Mobile Telecommunications 2000 (IMT-2000). Er zijn twee varianten, TD-CDMA en W-CDMA. Bij de eerste wordt de frequentie toebedeeld op basis van tijdsloten. Snelheden zijn mogelijk tot 2 Mbps. De tweede is gebaseerd op frequente verdeling, waarmee de gebruiker toegang krijgt tot de volledige bandbreedte. In Nederland is W-CDMA de meest toegepaste standaard5. Wideband-CDMA biedt snelheden tot 384 Kbps. Bij W-CDMA zijn de uplink en de downlink gescheiden in tijd (duplex). Tevens biedt WCDMA uitstekende Quality of Service mogelijkheden. Het core netwerk van UMTS is volledig op IP gebaseerd. Steeds meer laptops worden standaard uitgerust met mobiele UMTS modems. De gebruiker hoeft alleen zijn SIM te plaatsen en hij kan via UMTS verbindingen opzetten. HSDPA – High Speed Downlink Packet Access maakt deel uit van het 3rd Generation Partnership Project (3GPP), dat standaarden opstelt voor W-CDMA. Er zijn meerdere organisaties vertegenwoordigd in het 3GGP, waaronder het European Telecommunication Standard Institute (ETSI). HSDPA is een verbetering van W-CDMA door toevoegingen van componenten aan het 3G netwerk en verbetering van de WCDMA downlink (technologie upgrade) en biedt theoretische snelheden tot 14,4 Mbps. Een voorbeeld van een verbeterslag is reeds eerder toegepast bij EDGE, waar de doorvoersnelheid is verhoogd door verbeterde modulatie- en coderingsschema. WiMAX - Worldwide Interoperability for Microwave Access is een nieuwe standaard gebaseerd op de IEEE 802.16 (en ETSI HiperMAN) standaard voor breedbandige draadloze netwerken met middelgroot bereik. IEEE 802.16 staat ook wel bekend onder de naam WirelessMAN. WiMax kan in meerdere banden bedreven worden. Voor WiMAX wordt vaak gezegd dat het theoretische bereik 50 km en de datasnelheid maximaal70 Mbit/s bedraagt. Dit kan inderdaad gehaald worden bij vaste installaties met goede uitgerichte antennes en een bandbreedte van 28 Mhz. Voor vaste WiMAX systemen die in de banden onder 11 GHz werken is de theoretische datasnelheid ook maximaal 70 Mbit/s, maar dit wordt enkel bereikt in bepaalde kanalen waar men 20 MHz aan bandbreedte ter beschikking heeft. Het theoretisch bereik ligt, afhankelijk van de aannames, rond de 10 km. Deze Fixed WiMAX systemen kunnen in eerste instantie gebruikt worden voor het leveren van breedbandverbindingen in gebieden waar Internet via de kabel of ADSL niet beschikbaar is. Voor mobiele systemen, geldt in praktijk dat de beschikbare bandbreedtes onder de 7 MHz liggen. De theoretische doorvoersnelheid ligt dan ook rond de 20 Mbit/s.

5 Bron: Organisation for Economic Co-operation and Development (OECD), Mobile multiple play: New service pricing and policing implications, 15—Jan-2007.


©

www.nivo.nl

38/72

Realistisch gezien komt dit echter neer op minder dan 10 Mbit/s (dicht bij het basisstation) wat gedeeld moet worden onder alle gebruikers en in beide richtingen. Men mag dan ook verwachten dat operators gebruikers een datasnelheid van 1 Mbit/s zullen toestaan. Het theoretisch bereik ligt, afhankelijk van de uitgangspunten, rond de 2 km. SATCOM - Ten slotte hebben we uiteraard ook nog altijd de mogelijkheid van satelliet communicatie waneer we ruimere dekkingsmogelijkheden willen hebben. Satelliet verbindingen zijn er weer in vele soorten en maten. Variërend van VSAT oplossingen waarbij het bereik beperkt wordt door het gebied wat een enkele satelliet boven de aarde bestrijkt. Bijvoorbeeld de Astra satelliet die West-Europa bedient tot oplossingen via enkele geostationaire satellieten zoals Imarsat voor dekking op de oceanen t.b.v. scheepvaart en de oplossingen met meerdere satellieten zoals bijvoorbeeld het Iridium netwerk, wat in feite een opgevoerd GSM netwerk is. Het nadeel van satelliet netwerken zijn over het algemeen hoge kosten en aanzienlijke netwerkvertragingen. Andere technologieën zijn Zigbee, een architectuur voor draadloze sensornetwerken met lage datasnelheden, en UltraWideBand (UWB) voor hoge communicatiesnelheden bij korte afstanden. Bij UWB kan de snelheid oplopen tot 1 Gbps bij afstanden tot enkele meters. Beide technologieën kenmerken zich door een zeer laag stroomverbruik. Zigbee en UWB zijn gedefinieerd in standaarden 802.15.4 (Zigbee) en 802.15.3a (UWB). Tabel 8 Overzicht draadloze technieken Techniek

Dekkings gebied

Snelheid

Bereik

SAT

Wereld / regio

64 kbps10 Mbps

De gehele aarde

GSM, HDCSD,GPRS

Per land

20-150 kpbs

UMTS, HSDPA

Per land

Wimax

Per regio

10-2048 kbps 1-20 mbps

WLAN

Kantoor, huis een ruimte

Alle landen, tot 5 km uit de kust Dicht bevolkte gebieden Bereik van zo’n 2-50 km Bereik van 5 – 100 meter Bereik van 2 -10 meter

Bluetooth 6

10-70 mbps 3 mbps

Kosten bit/s6 per jaar $50.000 per Mbps

F 180,= per Mbps Gratis Gratis

Situatie oktober 2007


©

www.nivo.nl

39/72

4.3.3 Roaming Helaas zitten mobiele werkers niet stil. Een uitdaging ontstaat wanneer communicerende gebruikers zich verplaatsen en buiten bereik raken van hun huidige aangesloten netwerk. Bijvoorbeeld: - Wanneer een gebruiker zich binnen een gebouw verplaatst waardoor hij/zij buiten de DECT of WiFi cel geraakt en in een andere cel terecht komt. We kunnen hier ook spreken van inpandige roaming; - Waneer gebruiker het pand in of uitgaat en je wilt overschakelen van een WIFI cel naar bijvoorbeeld een GPRS of UMTS verbinding. We kunnen hier spreken over een privaat naar publiek netwerk roaming. - Wanneer je vanuit Nederland de grens overgaat en in België aankomt en je dus bediend gaat worden door een andere provider/netwerk. Ofwel publiek naar publiek roaming. Uitgangspunt bij de afhandeling van roaming dient te zijn dat eventuele overdracht van een netwerk naar het andere op een veilige, snelle en voor de gebruiker eigenlijk niet merkbaar dient te geschieden.

Roaming uitdaging Provider

Provider

Provider

Provider

A

B

C

D

WLAN GPRS UMTS

Figuur 8 Roaming uitdaging

De complexiteit van deze roaming wordt mede bepaald door het type verkeer. Voor de eindgebruiker niet merkbare roaming voor spraakverkeer is lastiger te realiseren als voor dataverkeer. Immers spraak betreft real-time verkeer.


©

www.nivo.nl

40/72

Een eventuele handover naar een andere cel of netwerk dient in fractie van een seconde (<50 ms) plaats te vinden om hier geen hinder van te ondervinden. Gedurende de roaming dienen o.a. authenticatie gegevens overgedragen en gecontroleerd te worden. Vervolgens dienen eventuele beveiligingsprotocollen voor de verbinding ingeregeld te zijn alvorens de communicatie gecontinueerd en dit allemaal binnen 50 ms. Uiteraard is dit een enorme technische uitdaging. Bij een dataverbinding zijn we er nog niet want wat doen we met het IP adres? Veranderd dit of kunnen we het gelijk houden bij overgang naar het nieuwe netwerk? Wanneer dit veranderd dan moet de dataverbinding opnieuw opgezet worden. Dus zaak is om bij roaming de gebruiker zijn oorspronkelijke IP adres te laten behouden. De hedendaagse praktijk is dat handover binnen één netwerken met de nodige technische maatregelen wel lukt. Maar roaming van private naar publiek is echter nauwelijks mogelijk. Deze situatie zal naar ons idee niet snel veranderen. De business case voor een telecom operator om iemand van zijn UMTS netwerk over te dragen naar het privé WLAN netwerk is immers niet sterk.

4.4 Applicatie verbindingen In de voorgaande paragraaf zijn we ingegaan op de transmissie verbinding de zogenaamde “last mile”. Voor mobiel werken is dit niet genoeg. Er dient op een hogere OSI laag nog een verbinding tot stand gebracht te worden die zorg draagt voor een end-to-end koppeling van het mobiele randapparaat in de onveilige buitenwereld naar de applicatie die veelal op een veilige plek staat opgesteld in het interne netwerk. In de praktijk zien we dat deze koppelingen vanuit veiligheidsoverwegingen stoppen in de DMZ (DeMilitarized Zone) op bijvoorbeeld de Firewall of op een speciaal daarvoor geconstrueerde VPN-concentrator en van daaruit worden doorgezet. Het type applicatieverbinding hangt af van de gekozen architectuur tussen applicatie en randapparaat. We onderscheiden grofweg de volgende mogelijkheden:

# 1

Architectuur Client-server

2

Server Based Computing

Voorbeelden Office programma’s die gebruik maken van File shares, Exchange + outlook, Lotus Notes. Citrix, MS terminal server


Type verbinding L2tp/IPsec

SSL-tunnels

©

www.nivo.nl

41/72

3

Webbased

4

Batch-messages

5

Voice

Exchange met Outlook Web Access client. Intranet. Lotus met webclient Push email tbv Blackberry of Exchange VoIP verbindingen

SSL-tunnels

L2tp/IPsec L2tp/IPsec

Tabel 9 overzicht type applicatie verbindingen Naast het zorgdragen voor foutvrije overdracht van data zorgen deze applicatie verbindingen ervoor dat de authenticatie van de gebruiker en de versleuteling van het verkeer gerealiseerd wordt. Voor de duidelijkheid; dit is een andere authenticatie en versleuteling dan voor de transmissie verbinding wordt gehanteerd. We authenticeren hier tegen de gebruikersdatabase van het eigen bedrijf terwijl dit voor de transmissie verbinding tegen de database van de provider is. In Tabel 9 zien we in feite dat er twee typen applicatie verbindingen bestaan. We zullen deze twee type verbindingen hieronder verder behandelen.

4.4.1 L2tp/IPSec L2tp werkt als een datalinklaag (laag 2 uit het OSI-model) protocol voor het tunnelen van netwerkverkeer tussen twee eind-stations over een bestaand netwerk (normaal gesproken het Internet). Het is een uitbreiding van het Point-to-Point Protocol (PPP). L2TP biedt op zichzelf geen vertrouwelijkheid. IPsec wordt gebruikt om L2TP-pakketten te beveiligen. De combinatie van deze twee protocollen is ook bekend onder de naam L2TP/IPSec. Dit is gestandaardiseerd in RFC3193. De twee eindpunten van een L2TP-tunnel worden de LAC (L2TP Access Concentrator) genoemd en de LNS (L2TP Network Server). De LAC is de initiator van de tunnel terwijl de LNS de server is dat wacht op nieuwe tunnels. Als er een tunnel aangemaakt is dan gaat het netwerkverkeer tussen de eindpunten (peers) in twee richtingen (duplex). IPSec (of InternetProtocol Security) is een standaard voor het beveiligen van internetprotocol (IP) door middel van encryptie en/of authenticatie op alle IP-pakketten. IPSec ondersteunt beveiliging vanaf het 3e niveau van het OSI-model, namelijk de netwerklaag. Hierdoor kan het gebruikt worden door zowel TCP als UDP maar het levert wel overhead op ten opzichte van bijvoorbeeld SSL dat op hogere OSI-niveaus werkt.

4.4.2 SSL-tunnels Zowel het SSL- als het TLS-protocol draait op een laag onder applicatieprotocollen als HTTP, SMTP, FTP en Usenet en boven het transportprotocol TCP, dat deel uitmaakt van de protocolsuite TCP/IP. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

42/72

Ondanks dat zowel SSL als TLS veiligheid kan bieden aan elk protocol dat gebruik maakt van TCP, wordt SSL het meest gebruikt voor HTTPS, bijvoorbeeld ter beveiliging van het versturen van creditcard-gegevens over het internet. Indien men het gebruikt om HTTP te beveiligen, wordt het "http://" gedeelte in een URL vervangen door "https://", waarbij de s staat voor "secure". Ook andere klassieke TCP/IP-applicatielaag protocollen waarbij de informatie (zoals wachtwoorden) normaal onversleuteld over het netwerk gaan, kunnen met SSL/TLS worden beveiligd.

4.4.3 Begin en eindpunt van de applicatie verbinding Aan de client zijde is het uiteraard mogelijk om de transmissie verbinding alsmede de applicatie verbinding op basis van L2tp/IPSec tunnels inclusief de noodzakelijke authenticatie voorzieningen zelf te configureren in bijvoorbeeld Windows XP, Vista of Windows Mobile software. Dit configureren is redelijk complex en een vergissing is hier snel gemaakt. Om deze redenen leveren diverse leveranciers van VPN concentrators zogenaamde VPN client software. Deze VPN client software dient geïnstalleerd te worden op het betreffende randapparaat. De sofware werkt optimaal samen met de centraal opgestelde VPN concentrator en is in een aantal gevallen ook in staat om integraal de noodzakelijke transmissie verbinding op te zetten. Vanuit deze VPN concentrators worden de verbindingen gecontroleerd doorgezet naar de op het interne netwerk opgestelde toepassingen. Bij SSL tunnels ligt het aan de client zijde een stuk eenvoudiger. Elk randapparaat uitgerust met een Internet-browser is in staat om een HTTPS verbinding op te zetten naar een VPN concentrator of een secure WEB server. Helaas is een SSL verbinding niet geschikt voor alle soorten verkeer.

4.4.4 VPN concentrators VPN concentrators zorgen dus voor het verzamelen van de verschillende externe verbindingen en het veilig doorzetten naar het interne netwerk. Er zijn verschillende leveranciers op dit gebied. Te denken valt aan systemen van: Tabel 10 Leveranciers van VPN concentrators Leverancier AEP Networks F5 Networks, Juniper Networks, Nokia Checkpoint Cisco

Product range Netilla Security Platform Firepass series Netscreen series Nokia Secure Access System Connectra, SSL extender VPN 3000


Internet adres www.aepnetworks.com www.f5.com www.juniper.net www.nokia.com www.checkpoint.com www.cisco.com

©

www.nivo.nl

43/72

Deze systemen zijn verkrijgbaar met mogelijkheden voor het aansluiten 10 tot enkele duizenden gelijktijdige externe verbindingen. Fail-over, redundancy en integraal management zijn meestal standaard aanwezig. Voor wat betreft het authenticatie mechanisme worden diverse mogelijkheden ondersteund. Te denken valt aan onder andere aan: • • • •

Interne gebruikersdatabase in de concentrator zelf; Het gebruik maken van een centrale Radius, Active directory of LDAP database; De inrichting van two factor authenticatie op basis van RSA SecureID; De inrichting van two factor authenticatie waarbij op de client een geldig client certificaat aanwezig dient te zijn.

4.5 Conclusie We hebben gezien dat we voor het realiseren van “mobiel werken” oplossingen twee soorten verbindingen gerealiseerd moeten worden: • Een transmissie verbinding die hoofdzakelijk bepaald wordt door wat erop de betreffende werklocatie voor handen is. Deze transmissie verbinding is ook in hoge mate bepalend voor de kosten van mobiel werken. • Een applicatie verbinding waarvan het soort voornamelijk bepaald wordt door de gekozen architectuur tussen het randapparaat en de toepassing. Beveiliging is een belangrijk aandachtspunt bij het ontwerpen van deze applicatie verbindingen.


©

www.nivo.nl

44/72

5 Het mobiele randapparaat 5.1 Inleiding Door nieuwe ontwikkelingen, toenemende bandbreedtes en een grote variëteit aan randapparatuur zijn de mogelijkheden van thuis- en mobiel werken hedendaags groot. Feitelijk maakt het niet meer uit waar men zich bevindt: thuis, onderweg, bij de klant of op kantoor. Overal heeft men toegang tot het bedrijfsnetwerk. In dit hoofdstuk wordt een overzicht gegeven van beschikbare randapparatuur, gangbare toepassingen en de samenwerking tussen de toepassingen op de verschillende randapparatuur. Ondanks de grote variëteit aan toepassingen en randapparatuur staat mobiel werken op meerdere facetten nog in de kinderschoenen. Gemiddeld beschikt een mobiele werker over drie systemen: de mobiele telefoon, een handcomputer en een laptop. De mogelijkheden van de toepassingen zijn daarbij sterk afhankelijk van de gekozen randapparatuur. Zo wordt naast de mobiele telefoon de handcomputer of personal digital assistant (PDA) ingezet voor e-mail, agenda, adresboek of routeplanner. Afhankelijk van de gebruikerswensen kan men kiezen voor een smarttelefoon waarbij al deze en een legio aan nieuwe toepassingen in een handzaam toestel zijn geïntegreerd. Voor toegang tot complexe applicaties op het bedrijfsnetwerk geniet de laptop over het algemeen de voorkeur. De toepassingen die als gevolg van de nieuwe technologieën beschikbaar komen zorgen voor een sterke groei aan mogelijkheden voor de mobiele werker. Er ontstaat een walhalla aan randapparatuur met een ruime keuze uit leveranciers. De keuze’s alsmede de beschikbare toepassingen zijn legio. Wat betekent dit echter voor de samenwerking tussen al deze apparatuur? Wat zijn de consequenties voor beschikbaarheid, stabiliteit en flexibiliteit en wat heeft men nodig voor het uitvoeren van de dagelijkse werkzaamheden?

5.2 Soorten randapparatuur De basis benodigdheden voor mobiel werken zijn sterk functie gerelateerd. Zo zullen de toepassingen voor een magazijnmedewerker, een koerier of een treinconducteur sterk verschillen van een verzekeringsagent die te allen tijde toegang wenst tot e-mail en de klanten database. Over het algemeen kan worden gesteld dat de basisbenodigdheden bestaan uit telefoneren, berichtenuitwisseling, het zoeken naar informatie op het web en applicaties voor presentaties en tekstverwerking. In de nabije toekomst kunnen hier presence, collaboration en conferencing aan worden toegevoegd. De technologieën en toepassingen hiervoor zijn al beschikbaar.


©

www.nivo.nl

45/72

Het wachten is nog op grootschalig gebruik. Afhankelijk van de functie wenst de mobiele gebruiker daarnaast toegang tot bedrijfsspecifieke toepassingen. De gangbare randapparaten voor huidige en nieuwe toepassingen zijn de: - laptop, tablet PC en ultra mobile PC (data); - mobiele telefoon (telefonie); - personal digital assistant (data en telefonie); - smarttelefoon (telefonie en data); - USB stick (data).

5.2.1 Laptop De laptop of notebook behoort veelal tot de standaard uitrusting voor de mobiele werker die toegang wenst tot het bedrijfsnetwerk. De laptop is een krachtige draagbare computer die bestaat uit een opklapbaar scherm, een vast toetsenbord en algemene hardware dat ook beschikbaar is op een vaste PC. Zo beschikken laptops standaard over een harde schrijf en een DVD. De laptop wordt ook schootcomputer genoemd. Strikt gezien is de notebook in omvang en kracht een kleine versie van een laptop, maar de termen worden doorgaans door elkaar gebruikt. Op de vaste werkplek in het bedrijf kan de laptop in een zogenaamd docking station worden geplaatst. Hierdoor kan gebruik worden gemaakt van een vast opgesteld scherm met toetsenbord en muis en worden direct de bekabelings-ergernissen van toetsenbord en scherm opgelost. Er zijn vele besturingssystemen voor de laptop beschikbaar. De meest gangbare zijn besturingssystemen van Microsoft, Apple en vele Unix varianten zoals Linux en OpenBSD. De keuze van het besturingssysteem is mede afhankelijk van de hardware leverancier. Zo zal Apple de notebook doorgaans voorzien van een Mac OS of een Apple Unix variant en zal de traditionele leverancier van Unix platformen de laptop voorzien van een Unix OS, bijvoorbeeld Solaris van Sun. Veel leveranciers bieden Microsoft als besturingssysteem op een laptop aan, maar er zijn ook hardware leveranciers die met initiatieven starten om een open source besturingssysteem zoals Linux mee te leveren. Op dit moment groeit het percentage verkochte notebooks jaarlijks harder dan het percentage verkochte desktops. Marktonderzoeker IDC verwacht dat op basis van de huidige ontwikkelingen in 2011 wereldwijd meer notebooks dan desktops worden verkocht (bron: Automatisering gids maart 2007). Naast de laptop bieden fabrikanten ook nog een tussenvariant, de tablet PC. Deze is vergelijkbaar met de laptop, maar heeft geen toetsenbord of muis. De bediening geschiedt middels een aanraakscherm, met de vinger of met een pen (Stylus). De schermgrootte van de tablet PC is even groot als van een laptop. Verder biedt de tablet PC dezelfde mogelijkheden als een normale laptop en leent zich uitstekend voor presentaties op het gebied van tekst, afbeeldingen, audio en video. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

46/72

Het besturingssysteem is meestal een tablet PC editie van Microsoft Windows. De Tablet PC is goed toepasbaar in musea of openbare gebouwen. Een variant tussen de laptop en de PDA is de ultra mobile PC (umpc). De umpc is een compact apparaat en heeft net zoals de tablet PC een volwaardige Microsoft Windows als besturingssysteem.

5.2.2 Mobiele telefoon De mobiele telefoon is nauwelijks weg te denken uit de samenleving en maakt de werkplek van de mobiele werker compleet. Was de mobiele telefoon in eerste instantie primair bedoeld om draadloos te kunnen telefoneren, inmiddels zijn een legio aan functionaliteiten aan de mobiele telefoon toegevoegd. Zo beschikken ze standaard over functionaliteit om korte berichten te verzenden en beschikken ze over een agenda, een adresboek, een wekker, e-mail en Internet browsing functionaliteit. De huidige en meest toegepaste standaard voor mobiele telefonie is GSM. Met de huidige dekking in Nederland is de mobiele werker nagenoeg overal bereikbaar.

5.2.3 Personal Digital Assistant De Personal Digital Assistant is een kleine draagbare computer, die voorzien is van een minitoetsenbord of aanraakscherm. De schermgrootte varieert sterk per model. De PDA heeft zijn oorsprong in de organiser, en dateert van medio 1990. De eerste versies van de PDA die rond 1993 uitkwamen leverden oplossingen voor fax, agenda, kladblok en adresboek. Drie belangrijke PDA leveranciers zijn Palm, HP en Dell. Inmiddels biedt de PDA tal van functionaliteiten en toepassingen waaronder agenda, adresboek, To-Do-list, Internet browser, etc. De nieuwste PDA modellen met UMTS manifesteren zich zelfs als heus ‘mobiel kantoor’.

5.2.4 Smarttelefoon Aan de huidige mobiele telefoons wordt steeds meer functionaliteit toegevoegd. De mobiele telefoons lijken daarbij steeds meer op handcomputers. Men zou kunnen stellen dat de high-end modellen van deze mobiele telefoons zoveel data functionaliteit bevatten dat ze kunnen worden ondergebracht onder de categorie smarttelefoons. De high-end telefoons beschikken veelal over een groter toetsenbord en scherm en er zijn modellen die primair uitgaan van een aanraakscherm met pen. Ze doen zich daarbij nauwelijks onder van de PDA. De smarttelefoon heeft als uitgangspunt telefoonfuncties waar data toepassingen aan zijn toegevoegd, terwijl de PDA data als primair uitgangspunt heeft. Zo had de PDA in het verleden meestal een groter scherm en hoger scherm resolutie dan de smarttelefoon. Bovendien hadden de PDA’s meer geheugen, een hogere opslagcapaciteit en ondersteunden ze meer applicaties.


©

www.nivo.nl

47/72

Tegenwoordig zijn de verschillen steeds kleiner en gaan toestellen regelmatig als PDA maar ook als smarttelefoon over de toonbank. Andere benamingen die naast smartphones en PDA worden gebruikt zijn handhelds en PDA phones. Of de smarttelefoon de PDA in de toekomst gaat vervangen kun je nu nog niet stellen. Beiden zijn op grote schaal beschikbaar en nieuwe modellen komen met regelmaat uit. Ook zou je kunnen stellen dat in de toekomst standaard zoveel functionaliteit aan de PDA, de mobiele telefoon en de smarttelefoon is toegevoegd dat men niet meer kan spreken van een onderscheid. In feite beschikt men over een handzaam mobiel communicatie systeem met functionaliteiten voor spraak, data, audio en video geïntegreerd in één apparaat. Men heeft een ruime keuze uit meerdere modellen en afhankelijk van de gebruikerswensen beschikt men direct over de gewenste functionaliteit of worden ze achteraf naar wens toegevoegd.

5.2.5 Besturingssystemen voor PDA, mobiele- en smarttelefoon Fabrikanten van PDA‘s, mobiele telefoons en smarttelefoons leveren de systemen doorgaans uit met een uniform besturingssysteem, afgestemd op het mobiele apparaat. Een aantal leveranciers maakt gebruik van het besturingssysteem Symbian. Symbian is een samenwerkingsverband tussen hardware leveranciers Nokia, Panasonic en Samsung en Ericsson. Op het gebied van mobiele telefonie hadden deze vier leveranciers bij elkaar in 2006 het grootste marktaandeel in handen. Het Symbian besturingssysteem is daarmee het meest gebruikte, gevolgd door Windows Mobile. Andere bekende besturingsystemen zijn PalmOS, Linux en BlackBerry OS.

5.2.6 USB stick Een USB stick hoeft niet alleen voor data opslag te worden gebruikt. Met een mini besturingssysteem op USB stick is het mogelijk kleine programma’s te draaien die alleen op de USB stick staan. Voordeel is dat de toepassingen niet op de laptop worden geïnstalleerd en niet achterblijven zodra de USB stick wordt verwijderd. Zo kan de mobiele werker bijvoorbeeld veilig surfen via de USB stick en worden applicaties zoals een e-mail client en een tekstverwerker ondersteund.

5.3 Toegangsmethoden Voor de mobiele randapparatuur is een variëteit aan technologieën voorhanden om toegang te krijgen tot diensten en toepassingen in het bedrijfsnetwerk. Op dit moment zijn GSM, GPRS, UMTS en WiFi beschikbaar en treffen de operators voorbereidingen voor HSDPA. Hieronder een beknopt overzicht van de verschillende technologieën per randapparaat.


©

www.nivo.nl

48/72

Laptop - vanaf het thuisnetwerk wordt de laptop aangesloten via een breedband Internet toegang op basis van ADSL of kabelmodem, veelal in combinatie met een draadloze LAN. Onderweg biedt mobiel breedband toegang op basis van UMTS en in de nabije toekomst HSDPA uitstekende mogelijkheden. In Nederland geldt over het algemeen de Wideband-CDMA standaard voor UMTS. Mobiele telefoon - de huidige mobiele telefoons zijn gebaseerd op de GSM standaard voor telefonie en GPRS voor data, terwijl de nieuwste modellen voorzien zijn van UMTS. Hoewel GSM een goede dekking kent en nog ruime tijd zal worden ondersteund, is de verwachting dat over twee jaar de mobiele telefoons die uitsluitend werken op de GSM standaard langzaam zullen verdwijnen7. PDA en smarttelefoon - voor toegang tot het bedrijfsnetwerk zijn meestal een combinatie van toegangsmethoden beschikbaar, bijvoorbeeld draadloos via Bluetooth of WLAN. Daarnaast kunnen PDA’s worden uitgerust met GSM, GPRS, UMTS of een combinatie hiervan. Afhankelijk van de dienstenleverancier en de randapparatuur wordt ook HSDPA ondersteund.

5.4 Toepassingen en oplossingen De mobiele werker die toegang wenst tot complexe bedrijfsapplicaties kiest over het algemeen voor de laptop. De laptop beschikt over een krachtiger processor met een groter scherm, toetsenbord en muis. Zeker in vergelijk met de notebook of PDA biedt de laptop voordelen bij langdurig mobiel gebruik. Waren door lage bandbreedtes de toepassingen voor de mobiele werker in het verleden beperkt, met de huidige technologieën lijken er voor de normale bedrijfsvoering nauwelijks meer beperkingen te zijn. De mobiele telefoon of de smarttelefoon maakt de mobiele werkplek veelal compleet. In deze paragraaf vindt u een beknopt overzicht van beschikbare toepassingen en oplossingen voor achtereenvolgens de laptop, de mobiele telefoon, de smarttelefoon en de PDA.

5.4.1 Laptop De mobiele werker logt aan op het bedrijfsnetwerk via een centraal bij het bedrijf opgestelde VPN concentrator. De VPN concentrator maakt het mogelijk om op afstand via het Internet toegang te krijgen tot applicaties van het bedrijfsnetwerk. De oplossing wordt ook wel remote access VPN of internet VPN genoemd en is tevens beschikbaar via een diensten leverancier. De koppeling met het netwerk vindt plaats via een versleutelde (IPSec) verbinding over het Internet. De Internet VPN biedt oplossingen voor beveiligde communicatie over publieke netwerken door middel van authenticiteit en versleuteling. 7 Bron: Organisation for Economic Co-operation and Development (OECD), Mobile multiple play: New service pricing and policing implications, 15—Jan-2007.


©

www.nivo.nl

49/72

Als extra beveiligingsmaatregel kunnen digitale certificaten worden ingezet. Het gebruik van certificaten staat bekend als een Public Key Infrastructure. Een toepassing die gebruik maakt van een beveiligde verbinding is de versleuteling van HTTP verkeer naar een web pagina op het Internet (HTTPS). Banken bieden op deze wijze beveiligd producten aan via het Internet. Één van de meest bekende voorbeelden hiervan is Internet Bankieren. Verder worden ook vaak credit card transacties met behulp van HTTPS gerealiseerd. Een andere veel toegepaste vorm, waarbij informatie versleuteld over een tunnel tussen het randapparaat en de Internet VPN wordt verstuurd, is een VPN-tunnel. Deze techniek biedt mogelijkheden om toegang te krijgen tot bijna alle bedrijfstoepassingen. De mobiele werker kan bijvoorbeeld gebruik maken zijn CRM systeem en ervaart dit als ware hij op het lokaal van het bedrijfsnetwerk is aangelogd. Zo heeft hij de beschikking over de standaard mail client die men ook op de vaste werkplek gebruikt. Men hoeft dan niet over te schakelen naar webmail, de web variant voor de toegang tot de e-mail van het bedrijf. Deze Internet VPN is opgenomen in een centrale firewall infrastructuur. De firewall zorgt er voor dat de omgeving wordt afgeschermd van de buitenwereld. Daarnaast zijn er voorzieningen om het randapparaat en het bedrijfsnetwerk te beschermen tegen beveiligingrisico’s door vooraf te controleren of de gebruiker beschikt over het juiste antivirus beschermer. Deze controle vindt plaats voordat de mobiele werker toegang krijgt tot het bedrijfsnetwerk. Er zijn meerdere leveranciers die producten leveren voor deze oplossing. Voor het verhogen van de toegangsbeveiliging kan tevens gebruik worden gemaakt van een token. De gebruiker voert dan een combinatie van een PIN code en een getal in. Het getal wordt gegenereerd door de token. Bij een juiste combinatie krijgt de gebruiker toegang tot het bedrijfsnetwerk. Ook zijn er oplossingen beschikbaar die werken op basis van een mobiele telefoon en SMS. Indien wenselijk kan gebruik worden gemaakt van een thin client oplossing, ook bekend onder Server Based Computing. Dit is vooral handig indien de doorvoersnelheid van de toegangsmethoden lager is zoals bij bijvoorbeeld GPRS. Het gebruik van een thin client oplossing kan de beveiliging verhogen door de bestanden en gegevens te centraliseren op het bedrijfsnetwerk. Veelal worden de combinatie thin client en thick client naast elkaar gebruikt. Telefoneren kan eenvoudig worden geïntegreerd op basis van een headset en wat software, de IP softphone, of door de bedrijfstelefoon te verlengen via het Internet. In de praktijk wordt doorgaans gebruik gemaakt van de mobiele telefoon.


©

www.nivo.nl

50/72

5.4.2 Mobiele telefoon De standaard mobiele telefoon beschikt over basis functionaliteiten om naast spraak korte berichten te versturen en afhankelijk van het model e-mail te sturen en te browsen op het Internet. Voor e-mail of Internet browsing dient de standaard mobiele telefoon over een extra toegangsmethode te beschikken, bijvoorbeeld GPRS. Zowel de telefoon als het abonnement dient hierin te voorzien. Met de komst van Fixed Mobile Convergence (FMC) ontstaan legio aan nieuwe functionaliteiten waarbij de mobiele telefoon als het ware onderdeel uitmaakt van de bedrijfs-PABX. De mobiele gebruiker heeft daarmee toegang tot zakelijke telefoniefunctionaliteiten. Met FMC is de medewerkers onder één nummer bereikbaar voor vast en mobiel. Afhankelijk van de oplossing kan men gebruik maken van verkorte bedrijfsnummers, eenvoudig overschakelen tussen vast en mobiel en behoort doorschakelen tot de standaard mogelijkheden. Er zijn toestellen verkrijgbaar waarbij een combinatie van GSM en WLAN als toegangstechniek wordt toegepast. Bij deze dual-mode toestellen wordt binnen het bedrijf gebruik gemaakt van WLAN. Buiten het bedrijf dient men over te schakelen naar GSM. Bovendien werken mobiele telefoon en PABX leveranciers aan oplossingen waarbij de overschakeling van WLAN naar GSM en omgekeerd automatisch verloopt (WiFi-GSM handover). Enerzijds bespaart de mobiele gebruiker binnen het bedrijfspand belkosten, maar er zijn ook bedrijven waar binnen het gebouw GSM niet is toegestaan of niet wordt ondersteund. WLAN biedt in dit geval veelal een goed alternatief. Aandachtspunt bij deze dual-mode toestellen is de batterij in WLAN mode. Vooral bij de wat oudere modellen van mobiele telefoons die gebruik maken van de WLAN technologie raakt de batterij snel uitgeput. Naast de combinatie WLAN/GSM bestaat een initiatief op basis van GSM en Bluetooth (Bluephone).

5.4.3 Personal Digital Assistant en smarttelefoon Het besturingssysteem van de PDA beschikt over de nodige software om op basis van een VPN een beveiligde verbinding op te zetten naar het bedrijfsnetwerk. Dit werkt op dezelfde manier als bij een laptop. Ook is een thin client variant op de PDA beschikbaar, zodat op basis van Server Based Computing gebruik kan worden gemaakt van toepassingen op het bedrijfsnetwerk. Dat de PDA veelvuldig wordt toegepast naast de laptop wordt mede veroorzaakt door een handige functionaliteit die het mogelijk maakt gegevens te synchroniseren met de laptop. Hierbij communiceert de PDA via USB , Bluetooth of WiFi met de laptop en worden gegevens zoals kalender, contacten, taken en e-mail gesynchroniseerd. Een voorbeeld is ActiveSync van Microsoft of de opvolger Windows Mobile Device Center.


©

www.nivo.nl

51/72

Daarnaast zijn er leveranciers die op basis van een abonnement oplossingen leveren waarbij de synchronisatie automatisch wordt verzorgd. Synchronisatie geschiedt dan bijvoorbeeld via een GPRS, EDGE of UMTS. Voordeel is dat de gebruiker altijd beschikt over de meest recente informatie beschikt, waar hij zich ook bevindt. Een bekende open standaard voor synchronisatie is SyncML. Informatie over deze standaard is te vinden op de Open Mobile Alliance web site (OMA, www.openmobilealliance.org). De meeste PDA’s bieden standaard e-mail functionaliteit. Er zijn twee vormen van email te onderscheiden, de push- en de pulltechnologie. Bij pushtechnologie wordt de mail direct bij binnenkomst doorgestuurd naar de PDA, terwijl bij pulltechnologie de mail moet worden opgehaald bij de mailserver. Meerdere operatoren leveren oplossingen van software leveranciers waarbij push e-mail, maar ook agendafuncties en contactgegevens als dienst op de mobiele producten wordt geleverd. Een veelgebruikte draadloze oplossing is de BlackBerry. De BlackBerry combineert de PDA met telefoonfunctie en is vooral bekend door ondersteuning van push e-mail functionaliteit die gekoppeld is aan het bedrijfsnetwerk. BlackBerry was daarmee één van de eerste oplossingen die het mogelijk maakte om in plaats van twee e-mail adressen over één e-mail adres te beschikken voor mobiel en op kantoor. Tevens biedt de BlackBerry ondersteuning voor onder andere Internet browsing en is het voorzien van een Personal Information Manager. Voor het gebruik van BlackBerry is een BlackBerry abonnement nodig. In eerste instantie waren de apparaten voorbereid op GSM en GPRS, maar inmiddels zijn er ook versies beschikbaar die met UMTS overweg kunnen. De PDA of smarttelefoon kan eenvoudig worden toegepast als navigatiesysteem. Het toestel dient te worden voorzien van navigatie software en GPS hardware ten behoeve van plaatsbepaling. Er zijn PDA’s en smarttelefoons beschikbaar met geïntegreerde GPS ontvanger, maar deze kan ook worden aangesloten via een snoer of draadloos op basis van Bluetooth. Voordelen van een ingebouwde GPS ontvanger is dat je de GPS overal beschikbaar hebt. Bovendien heb je geen last van losse snoeren in de auto, maar kan dit eveneens met de draadloze koppeling op basis van Bluetooth. Nadeel zijn de kosten voor de ingebouwde GPS ontvanger en navigatiesoftware. De vraag moet worden gesteld of de mobiele werker de navigatieoplossing daadwerkelijk nodig voor uitvoeren van zijn beroepsfunctie. Zo niet, dan kan dit alleen worden beschouwd als gadget en werkt de ingebouwde GPS kostenverhogend voor het bedrijf. Naast de integratie van vast en mobiel worden nieuwe toepassingen mogelijk die nu aan het bedrijfstelefonie netwerk worden toegevoegd. Een voorbeeld hiervan is de set van toepassingen die bekend staan onder Unified Communications. Met Unified Communications komen nieuwe functionaliteiten op de mobiele telefoon beschikbaar, die we nu al toepassen op laptops en personal computers in het bedrijfsnetwerk. Voorbeelden hiervan zijn instant messaging, presence en collaboration. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

52/72

5.5 Unified Communications Een opkomende trend is beschikbaarheid van presence informatie. De presence informatie is al langer bekend van de Instant Messaging toepassingen zoals Microsoft MSN, Skype of de commerciële varianten voor bedrijfsnetwerken. Door deze extra informatie krijgt de gebruiker een extra dimensie op het gebied van communiceren. Op de randapparatuur wordt weergegeven of de persoon waarmee je wenst te communiceren beschikbaar is en op welke manier de persoon kan worden bereikt. In bedrijfsnetwerken wordt de presence informatie veelal gekoppeld aan de enterprise mail omgeving. Indien de medewerker niet beschikbaar is, bijvoorbeeld omdat hij vergadert, dan past de presence informatie zich automatisch via de mail omgeving aan. In de mail toepassing van de gebruiker is dan een blok voor vergaderen gereserveerd. Veelvuldig gebruik van presence heeft direct consequenties voor de manier van werken. Indien presence informatie niet accuraat is kan dit leiden tot inefficientie. Meerdere smartphone leveranciers bieden de functionaliteit presence op het randapparaat. Door deze toepassing is het nu ook voor de medewerker onderweg eenvoudig te zien of en op welke manier de persoon bereikbaar is, bijvoorbeeld via voice of zelfs op basis van video. Overweegt men het gebruik van presence informatie in het bedrijfsnetwerk, dan is aanbevolen aanschaf van nieuwe mobiele apparatuur zoals PDA’s of smartphones met deze nieuwe functionaliteit rekening te houden en de leverancier te vragen hoe en met welke standaarden presence functionaliteit wordt geleverd. Door de komst van presence en andere toepassingen zoals collaboration en conferencing ontstaat een integratie tussen datacommunicatie en telefonie. De snelle opkomst en uitrol van de Internet telefonie maakt de integratie compleet. Overweegt men de kantoorautomatisering of telefonie-infrastructuur te vernieuwen, dan is het zeker de moeite waard rekening te houden met deze nieuwe trends en te kijken hoe deze toepassingen de bedrijfsvoering kunnen ondersteunen. Niet alleen bekende toepassing zoals audio en video streaming zijn hedendaags op de smartphones beschikbaar. Ook video conferencing met het bedrijf behoort tot de mogelijkheden. Een video conferencing tussen twee medewerkers op de vaste werkplek kan dan eenvoudig naar de mobiele werker worden doorgezet. De verwachting is dat video conferencing op termijn standaard beschikbaar is op smartphone’s, zeker met de sterke opkomst van UMTS en WLAN op smartphones en PDA’s. Bij aanschaf van nieuwe apparatuur is aanbevolen te kijken in hoeverre of deze nieuwe toepassingen inpasbaar zijn in de huidige infrastructuur.


©

www.nivo.nl

53/72

5.6 Aandachtspunten bij keuze van randapparaat Bij de selectie van het nieuwe randapparaat ligt de keuze voor smartphone, PDA of laptop redelijk voor de hand. Een kantoormedewerker die regelmatig thuis werkt geeft de voorkeur aan een vaste PC of laptop, terwijl de treinconducteur beter af is met een PDA. Daarnaast zijn er tussenvarianten zoals de ultra mobile pc. Nadat het type toestel is gekozen ontstaat weer een legio aan mogelijkheden. Zo zal een zakenman onderweg kiezen voor een stabiele PDA met push-mail, Internet en telefonie. De journalist is beter af met multimedia toepassingen voor de interviews onderweg. Ook zijn er afhankelijkheden met de bedrijfstelefonie centrale, met name indien Fixed Mobile Convergence of Unified Communications moet worden ondersteund. Men doet er verstandig aan de keuze van de randapparatuur mede af te stemmen op de communicatie infrastructuur, de interne automatisering en vooral de bedrijfsprocessen waarbinnen de mobiele apparatuur moet worden ondersteund. Het gebruik van een laptop biedt zijn voordelen, maar er zijn ook nadelen. Nadelen van de laptop zijn de omvang, de levensduur van de batterij en afhankelijkheid van de toegang tot het bedrijfsnetwerk. Tevens zijn de laptops door transport kwetsbaarder dan de vaste PC. Bij ontbreken van extra voorzieningen of door onjuist werken met de laptop bestaat verhoogde kans op RSI klachten. RSI staat voor Repetitive Strain Injury en is een aandoening van de pezen of zenuwen, doorgaans in de arm of hand. Door je te houden aan een aantal regels kan de kans op klachten worden verkleind (bron: Interne Arbo-dienst Universiteit Leiden, www.arbodienst.leidenuniv.nl). Ook PDA’s en smartphone hebben hun nadelen. Veel PDA´s en de smarttelefoons kennen het probleem dat ze opnieuw moeten worden ingesteld indien de accu leeg is. De mobiele telefoons gaan frequent defect door het vallen. In mindere mate geldt dit ook voor PDA´s. Voor werkzaamheden onder ruwe omstandigheden zijn ook meer robuuste versies van PDA´s te verkrijgen.

5.7 Conclusie Met de opkomst van nieuwe technologieën komen niet alleen steeds meer functionaliteiten op de mobiele toestellen beschikbaar. De toepassingen voor de smartphone, de PDA en zelfs de laptop groeien naar elkaar toe. Ook wijzigt de manier waarop we communiceren. In de nabije toekomst beschikken we over een mix van communicatie mogelijkheden. Naast mail voor berichtenuitwisseling behoort presence en video conferencing tot de standaard uitrusting. De gebruiker beschikt dan over een waar mobiel multimedia systeem voor thuis, onderweg of op de vaste werkplek. De technieken voor deze nieuwe manier van mobiel werken zijn grotendeels beschikbaar, maar het ontbreekt nog aan grootschalig gebruik.


©

www.nivo.nl

54/72

Het type toestel hangt af van de plek waar de mobiele apparatuur wordt gebruikt, bijvoorbeeld een laptop voor een kantoormedewerker en een PDA voor een medewerker onderweg. Via de huidige en nieuwe toepassingen kunnen we steeds beter aangeven of en hoe we beschikbaar zijn. Maken we op de vaste werkplek al langer gebruik van het Internet, in de nabije toekomst zal de mobiele telefoon aan de communicatie infrastructuur van het Internet zijn toegevoegd en zal de traditionele telefonie grotendeels zijn vervangen voor Internet telefonie. Mobiel werken is in sterke opkomst, maar er liggen er nog tal van uitdagingen om de integratie tussen de systemen te bevorderen, denk aan bijv. dual-mode toestellen zoals GSM/WLAN. Met de opkomst van op Internet gebaseerde technologie en toepassingen volgen de ontwikkelingen zich in een razendsnel tempo op. Hierdoor zullen zowel de kwaliteit als de functionaliteit van toepassingen voor mobiel werken snel toenemen.


©

www.nivo.nl

55/72

6 Beveiliging en beheer 6.1 Inleiding

In elke ICT-oplossing zijn de veiligheid en beheersbaarheid van belang; bij oplossingen voor mobiel werken komen er extra risico's en knelpunten om de hoek kijken, in dit hoofdstuk worden deze bekeken en mogelijke oplossingen besproken. Beveiliging draait om 3 zaken: vertrouwelijkheid: zekerheid dat gegevens niet in handen komen van mensen die daar niks mee te maken hebben; integriteit: zekerheid dat gegevens daadwerkelijk afkomstig zijn van degene die de afzender claimt te zijn en dat de gegevens niet gewijzigd zijn sinds deze verstuurd of opgeslagen zijn; beschikbaarheid: zekerheid dat systemen, applicaties en gegevens te benaderen zijn op het moment dat ze nodig zijn. Net als bij andere IT-infrastructuren is beveiliging van een infrastructuur meer dan de aanschaf van een technische oplossing. De eerste stap is het opstellen van een beveiligingspolicy: wat wil ik wel en wat wil ik niet toelaten in mijn omgeving. De aanschaf en configuratie van de technische hulpmiddelen moet daarop afgestemd worden. Zo'n policy moet ook voor gebruikers duidelijke “do's” en “don'ts” opstellen, mogelijk inclusief disciplinaire maatregelen bij overtreding: een zwaar beveiligde VPN-verbinding heeft geen nut als de gebruiker vervolgens de laptop, met wachtwoord-post-it in de auto achterlaat. Daarnaast is het van belang dat de policy evenwichtig opgebouwd is: een VPN met driedubbele authenticatie is nutteloos als vervolgens wachtwoorden bestaande uit één karakter gebruikt mogen worden. Dit hoofdstuk is als volgt opgebouwd: aan de hand van een aantal componenten van de infrastructuur wordt naar er naar de beveiliging gekeken. Vervolgens wordt er gekeken naar de beheerprocessen.

6.2 De verbinding

De mogelijkheid om op afstand te werken staat of valt met de mogelijkheid om gegevens uit te wisselen met de kantooromgeving. Er zal een verbinding gemaakt moeten worden tussen deze omgevingen; vrijwel altijd zullen er bedrijfsvertrouwelijke gegevens over zo'n verbinding uitgewisseld worden en dus zal er aandacht besteed moeten worden aan beveiliging van deze verbinding. Afhankelijk van de mobiliteit van de gebruiker en de aard van de gegevens die deze gebruiker nodig heeft zijn er diverse verbindingsmogelijkheden mogelijk. Voorbeelden zijn een inbelverbinding of een VPN; maar ook een laptop of USB-stick die “op de zaak” gevuld wordt met de mobiel benodigde gegevens kan een vorm van “verbinding” zijn. Uiteraard weer met specifieke gevolgen voor beveiliging.


©

www.nivo.nl

56/72

6.2.1 Toegangsbeveiliging Onder toegangsbeveiliging wordt verstaan: de maatregelen die nodig zijn om te voorkomen dat ongeautoriseerden toegang krijgen tot een bepaalde bron. Voorbeelden van zulke maatregelen zijn een adequaat geconfigureerde firewall, authenticatie van gebruiker en/of systeem, maar ook het regelmatig bijhouden van softwareupdates op het toegangssysteem. Toegangsbeveiliging bestaat uit 2 componenten: authenticatie, controleren of iemand is wij hij zegt dat hij is, (zie paragraaf 6.3) en autorisatie: tot welke bronnen heeft deze persoon toegang? In het geval van mobiele applicaties kunnen dit zowel maatregelen zijn om toegang tot het mobiele apparaat te voorkomen als maatregelen om ongeautoriseerde toegang tot het bedrijfsnetwerk van buitenaf te voorkomen. Hierbij moet wel gedacht worden aan het feit dat authenticeren van het mobiele device niet voldoende is: immers in geval van diefstal heeft de dief het mobiele apparaat in handen; als hij daarmee vervolgens ongehinderd kan binnenkomen op het bedrijfsnetwerk, zijn de gevolgen niet te overzien!

6.2.2 Gegevensbeveiliging Tijdens het opzetten en gebruik van de verbinding door een geautoriseerde gebruiker bestaat het risico dat er wordt meegeluisterd door een ongeautoriseerde partij. Zeker als zo'n verbinding over een publiek netwerk, zoals het Internet of een WiFihotspot loopt. Om te zorgen dat een meeluisterende partij niks aan de opgevangen gegevens heeft, zullen deze beveiligd moeten worden door deze te versleutelen. Gaat de verbinding over GPRS of UMTS-netwerk is dit afluisteren al een stuk moeilijker, afhankelijk van de vertrouwelijkheid van de gegevens kan deze al dan niet versleuteld worden worden. Indien er gebruik wordt gemaakt van encryptie, kan er gekozen worden voor versleutelen van de netwerkverbinding, door middel van een VPN (Virtual Private Network) of versleutelen in de applicatie, bijvoorbeeld door gebruik te maken van het “veilige” zusje van http: https. Een VPN is, zoals de naam al zegt, een virtueel netwerk waar anderen geen toegang toe hebben. Dit wordt bereikt door de gegevens in het netwerkpakket te versleutelen (“transport mode”) of door de gehele verbinding te versleutelen (“tunnel mode”). Voor het versleutelen (encrypten) van het verkeer moet een bepaalde encryptietechniek gekozen worden. Hierbij is het belangrijk te weten dat geen enkele encryptietechniek onkraakbaar is, echter, hoe sterker de encryptie, hoe langer het duurt voor het gekraakt is. Voorbeeld: WEP encryptie voor draadloze netwerken kan binnen enkele minuten gekraakt worden, terwijl RSA met een 640 bit key een cluster van 80 CPU's vier en een halve maand bezighoudt8.

8 http://mathworld.wolfram.com/news/2005-11-08/rsa-640/ NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

57/72

Overigens zegt de lengte van de sleutel niet direct iets over de kraakbaarheid: vaak wordt een techniek niet met brute kracht (dat wil zeggen: één voor één alle mogelijke sleutels proberen) gekraakt, maar door middel van een fout in het ontwerp, een voorbeeld hiervan is de eerder genoemde WEP encryptie. Bij een mobiele toepassing is er naast de mogelijkheid om gegevens tijdens het transport af te tappen, ook nog de mogelijkheid om de PDA of laptop in zijn geheel te stelen. Om de gegevens die op een PDA / VPN te beschermen kunnen een aantal maatregelen worden getroffen die beschreven worden in paragraaf 6.5.2.

6.3 Authenticatie Bij authenticatie gaat het erom dat iemand kan bewijzen dat hij is wie hij zegt dat hij is. Hiervoor kunnen diverse “bewijzen” gebruikt worden: Wat je weet, wat je hebt, wat je bent. Afhankelijk van een aantal factoren kunnen er één of meerdere vormen van authenticatie worden toegepast. Overkill werkt vaak averechts en moet dus vermeden worden. Een eenvoudige stelregel is: in een omgeving met sociale controle (zoals een kantooromgeving) is enkelvoudige authenticatie voldoende; terwijl bij authorisatie zonder sociale controle (bijvoorbeeld via Internet) er twee verschillende vormen van authenticatie worden gebruikt.

6.3.1 Wat je weet De meest gebruikelijke vorm van authenticatie is “Wat je weet”: een wachtwoord of pincode bijvoorbeeld. Helaas blijkt in de praktijk dat gebruikers vaak een zwak wachtwoord kiezen (naam van vrouw, geboortedatum of simpel te raden wachtwoorden als “abc123”), of dat hetzelfde wachtwoord op meerdere plekken gebruikt wordt. In de laatste situatie kan bijvoorbeeld de beheerder van een Internetforum beschikken over de wachtwoorden van iedereen die zich aanmeldt bij zijn forum en zichzelf vervolgens toegang verschaffen tot vertrouwelijke gegevens. Om zwakke wachtwoorden te voorkomen kunnen er in veel authenticatiesystemen eisen aan een wachtwoord gesteld worden, bijvoorbeeld een minimaal aantal tekens, hoofd- en kleine letters, leestekens. Hier geldt ook weer: overkill werkt averechts, een gebruiker die 10 verschillende wachtwoorden van 10 karakters moet onthouden zal deze zeker op gaan schrijven. Er zijn overigens tools beschikbaar om wachtwoorden versleuteld in op te slaan, zodat een gebruiker maar één wachtwoord hoeft te onthouden, waarmee hij dan toegang krijgt tot al zijn andere wachtwoorden. Nog effectiever, maar ook kostbaarder is een “single sign-on” infrastructuur; waarbij een gebruiker met één wachtwoord toegang krijgt tot alle applicaties.


©

www.nivo.nl

58/72

Veel gebruikers kiezen voor de optie “wachtwoord opslaan”, waardoor bij diefstal van de apparatuur van deze gebruiker de dief het wachtwoord tegelijkertijd met de apparatuur in handen krijgt. Schakel dus, indien mogelijk, de functie “wachtwoord opslaan” uit.

6.3.2 Wat je hebt De tweede vorm, “Wat je hebt” is al jaren populair bij banken: de bankpas is een voorbeeld van deze vorm van authenticatie: zonder bankpas kan je geen transacties doen. In dit geval wordt de veiligheid nog verder vergroot door deze authenticate te combineren met een “wat je weet” authenticatie: de pincode. Ook bij telewerk-oplossingen wordt deze vorm van authenticatie veel toegepast, voorbeelden hiervan zijn smartcards, die in de laptop gestoken moeten worden voordat een VPN-verbinding opgezet kan worden of een “calculator” waarop de gebruiker een getal moet intypen dat hij of zij op het scherm ziet, waarop de calculator een ander getal teruggeeft en de gebruiker dit vervolgens weer intypt op het inlogscherm. Erg belangrijk indien er gebruik wordt gemaakt van deze vorm van authenticatie: zorg dat het hulpmiddel niet in dezelfde tas als de laptop bewaard wordt.

6.3.3 Wat je bent De laatste vorm, “Wat je bent” is de laatste jaren aan een opmars bezig. Bij deze vorm wordt door middel van een lichaamskenmerk (bijvoorbeeld vingerafdruk, irisscan, gezichtsherkenning of spraakherkenning) bepaald dat de gebruiker werkelijk degene is voor wie hij zich voordoet. Het grote voordeel is dat het “bewijs” in dit geval niet verloren en nauwelijks gestolen kan worden; echter het blijkt dat de methoden nog lang niet waterdicht zijn. Een vingerafdruklezer kan vaak redelijk eenvoudig om de tuin geleid worden met behulp van een eerder gemaakte afdruk van een vinger.

6.4 Thuiswerkplek In een LAN-omgeving wordt het eigen netwerk en de daarop aangesloten apparatuur meestal, hoewel niet altijd terecht, als “trusted” aangemerkt. Als men dit netwerk doortrekt naar de thuiswerkplek van een medewerker, komen er een aantal extra factoren om de hoek kijken. De computer die de gebruiker thuis gebruikt, is dat zijn eigen computer of een door het bedrijf beschikbaar gestelde computer? Moet de gebruiker zelf voor de software zorgen of levert het bedrijf software en licenties? Wie is er verantwoordelijk voor het dagelijks beheer (patches, backups) van deze computer? Allemaal vraagstukken die in een bedrijfsnetwerk meestal afgedekt zijn, maar die voor een thuiswerkplek niet altijd even vanzelfsprekend zijn.


©

www.nivo.nl

59/72

Een ander aandachtspunt is het privé-gebruik van de thuiswerkplek door de medewerker en zijn of haar huisgenoten. Een van het Internet gedownload spelletje of “tooltje” dat een Trojaans paard bevat kan grote gevolgen voor het bedrijfsnetwerk hebben, zeker als een “handige” huisgenoot de virusdetectie op de thuiswerk-computer gesaboteerd heeft onder het mom “dat vertraagd alleen maar”. Tot op zekere hoogte kunnen dit soort acties voorkomen worden met technische maatregelen, maar daarnaast zijn duidelijke regels en afspraken noodzakelijk. Dit geldt in nog sterkere mate indien er gebruik gemaakt wordt van de eigen PC van de medewerker thuis: de medewerker zal het niet accepteren als hij niet meer vrij kan beschikken over zijn eigen systeem. Een aantal mogelijke oplossingen voor dit laatste probleem zijn het aanloggen op een Citrix/Terminalserver omgeving of gebruik maken van virtualisatiesoftware als VMWare. Hierbij maakt de thuiswerker gebruik van een virtuele bedrijfs-PC beschermd tegen misbruik. Een derde mogelijkheid is de gebruik te maken van een computer on a stick, waarbij de thuiswerker zijn eigen computer opstart van een USB-stick met een bedrijfsomgeving9. Hierdoor kan een gebruiker die incidenteel thuiswerkt toch gebruik maken van een gecontroleerde omgeving, zonder dat een investering in apparatuur nodig is. Een PC in een bedrijfsnetwerk is meestal van het Internet afgeschermd met een firewall, waardoor er geen direct contact tussen deze PC en het Internet mogelijk is. Een PC bij de gebruiker thuis zal vaak direct aan Internet aangesloten zijn, waardoor deze veel kwetsbaarder is dan een PC in het bedrijfsnetwerk. Een regelmatig bijgewerkte softwarefirewall en virusscanner zijn dus onontbeerlijk.

6.5 Gegevensopslag Elke gebruiker, dus ook de mobiele gebruiker, heeft voor zijn werk bepaalde gegevens nodig. Sommige van die gegevens zijn vrij statisch, zoals bijvoorbeeld een telefoonlijst of PDF's met productinformatie; andere gegevens zijn vrijwel continue aan verandering onderhevig, voorbeelden hiervan zijn orderinformatie en beurskoersen. Afhankelijk van de toepassing kan een gebruiker behoefte hebben aan een bepaalde “versheid” van informatie, in veel gevallen is voor een verkoper orderinformatie van gisteren voldoende up-to-date terwijl voor een beurshandelaar aandelenkoersen van een uur geleden al volkomen waardeloos zijn. Tenslotte hebben de gegevens een bepaalde mate van vertrouwelijkheid: productspecificaties die iedereen van Internet kan halen zijn veel minder vertrouwelijk dan een lijst van inkoopprijzen.

9 Het nadeel van de computer on a stick is, dat door grote diversiteit aan verschillende systeemconfiguraties mogelijk problemen met drivers op kunnen treden. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

60/72

6.5.1 Locatie Gegevens moeten ergens opgeslagen worden. Er kan gekozen worden om de gegevens centraal op te slaan, op een (beveiligde) server binnen het bedrijfsnetwerk of lokaal, op de door de mobiele medewerker gebruikte apparatuur. De keuze voor de locatie van de gegevens brengt gevolgen met betrekking tot “versheid” van gegevens, gebruiksgemak en veiligheid met zich mee. Bij gebruik van lokaal opgeslagen gegeven kunnen dynamische gegevens snel verouderen terwijl bij centraal opgeslagen gegevens er altijd een verbinding nodig is om de gegevens te kunnen gebruiken. In veel gevallen wordt er dus ook gebruik gemaakt van synchronisatie: de gegevens worden opgeslagen op een centrale server en de gebruiker synchroniseert zijn lokale kopie met die centrale opslagplaats.

6.5.2 Verlies en diefstal Qua veiligheid heeft lokaal opslaan van gegevens een groot nadeel: bij verlies of diefstal van het gebruikte device liggen de daarin opgeslagen gegevens “op straat”. Dit nadeel geldt uiteraard ook bij synchronisatie. Afhankelijk van de vertrouwelijkheid van deze informatie zullen er maatregelen getroffen moeten worden om de gevolgen hiervan te beperken. Dit kan bijvoorbeeld door gebruik te maken van encryptie. Wel is het zaak in de gaten te houden of de toegepaste encryptie wel voldoende veiligheid biedt: veel encryptiesoftware maakt gebruik van relatief eenvoudige en vaak proprietaire encryptietechnieken die niet voldoende zijn voor echt vertrouwelijke informatie. Een voorbeeld hiervan is het Windows Encrypting File System (EFS), dat tot en met Windows 2000 de private key opslaat op dezelfde harde schijf als de versleutelde gegevens, waardoor het terughalen van de versleutelde gegevens een relatief eenvoudige taak wordt, pas vanaf Windows XP wordt de private key zelf versleuteld met een hash van gebruikersnaam en wachtwoord. Veiliger is het, gebruik te maken van een encryptietechniek waarbij de private key niet op hetzelfde apparaat opgeslagen wordt, maar op bijvoorbeeld een USB-stick of smartcard, dit is vanaf Windows Vista mogelijk. Uiteraard geldt hier hetzelfde als bij smartcards voor authenticatie: als het apparaat in dezelfde tas wordt vervoert als de smartcard, is de beveiliging waardeloos. Bij Smartphones en PDA's kan er gebruik gemaakt worden van een “remote delete” functie, waarbij een beheerder op afstand een gehele PDA kan wissen. Daarbij moet wel in de gaten worden gehouden dat zolang het gestolen of verloren apparaat geen verbinding met de kantooromgeving maakt, deze opdracht niet uitgevoerd wordt en dat dus tot die tijd de gegevens beschikbaar kunnen zijn voor de vinder of dief. Indien de applicatie het ondersteund, is er nog de optie van redactie van gegevens voordat deze naar een mobiel device gestuurd wordt; redactie houdt in, dat het vertrouwelijke deel van de informatie verwijderd wordt.


©

www.nivo.nl

61/72

Zo kunnen bijvoorbeeld persoonsgegevens of medische informatie verwijderd worden, als de gebruiker deze mobiel niet nodig heeft. Uiteraard is dit weer afhankelijk van de toepassing: een arts heeft niks aan een medisch dossier als alle medische gegevens eruit verwijderd zijn, terwijl een zorgverzekeraar, die ook allerlei medische gegevens in haar systemen heeft staan, een verkoper van verzekeringen niet hoeft te voorzien van die gegevens.

6.5.3 Backup De manier van backuppen is in hoge mate afhankelijk van de locatie van de informatie; indien er gewerkt wordt met een centrale opslag, kan deze centrale server opgenomen worden in de reguliere backup. Ook indien de mobiele applicaties gevoed worden door middel van synchronisatie is dit meestal voldoende. Als er echter gebruik gemaakt wordt van de locale opslagcapaciteit van het het mobiele apparaat, zal er daarvoor iets geregeld moeten zijn. Vaak worden laptops uitgerust met een CD of DVD brander en wordt de backup een verantwoordelijkheid van de gebruiker; in de praktijk wordt echter vaak pijnlijk duidelijk dat deze niet of niet vaak genoeg een backup maakt. Tegenwoordig zijn grote externe schijven zeer betaalbaar en redelijk snel. Hiermee kan een gebruiker in korte tijd een backup maken van zijn laptop. Het is zelfs mogelijk om de backup automatisch te laten starten op het moment dat de schijf aangesloten wordt.

6.6 Softwaremanagement “Dankzij” de vrijwel constante stroom van beveiligingsfouten en de patches die die fouten weer oplossen, is softwaremanagement een belangrijk proces in het dagelijks beheer geworden. Voor een omgeving waar alle apparatuur met enige regelmaat aangemeld wordt op het netwerk is dit vaak al een uitdaging, in een omgeving waar PC's niet dagelijks aanmelden op het centrale netwerk en als dat gebeurt niet altijd via de snelste verbinding, is de uitdaging nog groter. Een mogelijkheid is om de laptops van mobiele medewerkers bij het aanloggen op het vaste bedrijfsnetwerk automatisch te voorzien van de laatste patches en antivirus-patronen; dit kan echter een probleem worden indien deze laptops zelden of nooit direct op het vast netwerk aanmelden. Zoals zo vaak met beveiligingsvraagstukken komt het uiteindelijk neer op de eeuwige strijd tussen veiligheid en gebruiksgemak: voor de veiligheid is het zaak elke patch – na interne test – zo gauw mogelijk te distribueren naar de werkplekken, echter, geen gebruiker zit erop te wachten om als hij via een trage GPRS verbinding nog even zijn mail wil lezen eerst het nieuwste servicepack á 150MB binnen moet halen. Hier zal dus een afweging gemaakt moeten worden, bijvoorbeeld, kleine en urgente patches direct distribueren en grote (servicepacks) op een geschikt moment. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

62/72

Dit kan zelfs via een offline-medium als CD-ROM, als de gebruiker zich nooit aanmeldt op een voldoende snel netwerk. Zoals in paragraaf 6.4 al genoemd, kunnen de gevolgen voor het bedrijfsnetwerk groot zijn als een PC al langere tijd niet voorzien is van updates en mogelijk zelfs al virussen of andere “malware” bevat op het netwerk aanmeldt. Door middel van producten als Cisco Network Admission Control (NAC) of Juniper Unified Access Control (UAC) kan een apparaat dat niet voorzien is van de laatste patches of virusdefinities in een “quarantaine” netwerk worden gezet. In dat netwerk is het mogelijk om patches en andere updates te downloaden, maar er is geen toegang tot het bedrijfsnetwerk of het internet. Als alle programma's bijgewerkt zijn, wordt de toegang naar het normale netwerk hersteld. Voor PDA's en Smartphones zijn er tot nu toe nog maar een beperkte hoeveelheid beveiligingsproblemen ontdekt, maar naarmate deze steeds minder “stand-alone” en steeds meer “always-on” gebruikt gaan worden zal dat aantal naar verwachting alleen maar toenemen. Voor PC-operatingsystemen zijn er inmiddels legio systemen om de software up-to-date te houden, voor de PDA- en Smartphone-omgevingen zijn die er (nog) niet of nauwelijks.

6.7 Asset- en configuratiemanagement

Veel organisaties passen een aantal van de ITIL (IT Infrastructure Library, een verzameling richtlijnen voor de inrichting van een beheersorganisatie) processen toe. Vrijwel alle organisaties die een eigen IT-organisatie hebben passen een variant van incident-, problemen changemanagement toe. Asset- en configuratiemanagement blijven meestal beperkt tot de grote organisaties en telco's. Gevolg is dat veel IT-middelen op het moment dat de huidige gebruiker ze niet meer nodig heeft, of een snellere variant krijgt, in de kast verdwijnen, terwijl mogelijk een andere gebruiker deze nog kan toepassen. Als die IT-middelen vervolgens ook nog eens mobiel worden, is het al gauw helemaal niet meer te overzien. Zaak is dus bij te houden, welke apparatuur bij welke medewerker in gebruik is, wat de configuratie is en of dit apparaat gevoelige gegevens bevat. In een grote omgeving is er vaak al een tool beschikbaar (zoals HP:Openview, TOPdesk of Remedy) waarin ook asset- en configurationmanagement gedaan kan worden. In een kleinere omgeving voldoet vaak een spreadsheet met de benodigde informatie.

6.8 Support

De IT infrastructuur van een bedrijf wordt meer en meer business kritisch. Ligt de applicatie stil, dan ligt het bedrijf stil. Om dit te voorkomen wordt er allerhande redundantie in de infrastructuur gebouwd. NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

63/72

Wat echter nog wel eens wordt vergeten, is dat als de applicatie niet stil ligt, maar de gebruiker niet meer weet hoe hij of zij verder moet, de business ook stil ligt! In zo'n geval is adequate support van levensbelang voor de voortgang van de business. Voor “vaste” infrastructuur zijn er diverse tools beschikbaar om de gebruiker te helpen het probleem te analyseren, voor een support-analyst is vaak een tool om het scherm van de gebruiker over te nemen en zo mee te kunnen kijken met de gebruiker vaak van onschatbaar belang. Echter, dit soort tools zijn er nog nauwelijks voor mobiele apparaten. Voor laptops en thuiswerk-PC's kan zo'n tool natuurlijk wel toegepast worden, waarbij uiteraard de beveiliging voldoende aandacht behoort te krijgen. Het is niet de bedoeling dat straks de eerste de beste tiener de PC van uw werknemers kan overnemen. Overigens zou zo'n tool nog weinig kunnen toevoegen als het probleem zich in het maken van de verbinding voordoet... en laat dat nu net een probleem zijn waar juist mobiele gebruikers tegenaan kunnen lopen. Het is dus verstandig om voorbereid te zijn op een situatie waar het niet meer lukt een mobiele gebruiker op afstand weer aan het werk te krijgen. Hoe belangrijk is de mobiele applicatie voor deze gebruiker? Kan deze zijn werk nog doen als zijn PDA of laptop uitvalt? Moet de gebruiker zelf naar een van vestigingen van het bedrijf komen om zijn apparatuur weer bedrijfsklaar te maken of is er een “vliegende keep” actief binnen de supportorganisatie om deze gebruikers thuis of “on-the-road” bij te staan? De meeste fabrikanten van PC's, laptops en PDA's bieden de optie om aan huis de apparatuur komen te repareren, maar meestal geldt dit alleen voor hardware-problemen. Ook voor het supportproces kan de assetmanagement database uit de vorige paragraaf een goede toegevoegde waarde bieden: als de supportmedewerker weet met wat voor apparaat de gebruiker werkt zal hij hem direct gerichte vragen kunnen stellen, in plaats van eerst te proberen van de (niet-technische) gebruiker te achterhalen wat voor systeem en software deze gebruiker gebruikt. (“Heeft uw PDA een rood knopje rechtsboven?”). Tenslotte is het van groot belang dat de medewerkers van de supportafdeling kunnen beschikken over de apparatuur die “in het veld” gebruikt wordt: zeker omdat op afstand meekijken met de gebruiker vaak niet mogelijk is, zal de supportmedewerker de gebruiker beter kunnen helpen als hij zelf de handelingen op zijn eigen PDA of smartphone kan uitproberen.

6.9 Conclusie Net als in een vaste IT infrastructuur zijn beveiliging en beheer bij een mobiele infrastructuur belangrijke processen. Door de specifieke eigenschappen van een mobiele infrastructuur kunnen er extra knel- en aandachtspunten om de hoek komen kijken. De meeste vraagstukken zijn bedrijfs- en toepassingsspecifiek: wat voor het ene bedrijf een goede oplossing is, kan voor het andere volstrekt onacceptabel zijn. De belangrijkste vraag die gesteld moet worden is: hoe belangrijk is deze applicatie voor de business? NiVo networks architects 2007 Mobiel Werken

©

www.nivo.nl

64/72

Het is zinloos om een vermogen uit te geven aan redundantie, terwijl de applicatie best een dagje gemist kan worden, net zoals het zinloos is tijd en moeite te steken in het onkraakbaar proberen te maken van een PDA die alleen maar PDF's bevat die iedereen van de website kan halen.


©

www.nivo.nl

65/72

7 Bijlage: voorbeeld beveiligingspolicy In deze bijlage wordt een voorbeeld gegeven van een beveiligingspolicy t.a.v. mobiel werken. Het voorbeeld is gebaseerd op de case Accountantskantoor uit hoofdstuk 3. De beveiligingspolicy beschrijft zowel de bestaande situatie – voor zover deze mobiel werken betreft - als de voorgestelde uitrol van Blackberry apparatuur.

7.1 Inleiding Dit document is een aanvulling op de algemene beveiligingspolicy met betrekking tot het gebruik van apparatuur, infrastructuur en informatie van het accountantskantoor, buiten de bedrijfspanden van het accountantskantoor. Er worden 2 vormen van werken buiten de bedrijfspanden van het accountantskantoor onderscheden: thuiswerken en mobiel werken. De richtlijnen in dit document zijn bindend; er mag alleen van afgeweken worden na toestemming van de Security Officer; deze zal deze toestemming alleen geven als er een bedrijfsbelang mee gediend is. Overtreding van deze richtlijnen zal leiden tot disciplinaire maatregelen, in geval van grove, moedwillige overtreding ontslag op staande voet.

7.2 Apparatuur 7.2.1 Aanvraag Een medewerker die vanwege bedrijfsbelang de beschikking moet hebben over apparatuur voor thuis- of mobiel werken, kan een aanvraag hiervoor indienen bij zijn directe chef. Deze zal de aanvraag beoordelen en indien toegekend doorsturen naar de IT-afdeling. De IT-afdeling zal deze aanvraag verder afhandelen. Apparatuur voor thuis- of mobiel werken wordt uitgegeven op naam, bij ontvangst van de apparatuur zal de gebruiker een gebruiksovereenkomst tekenen. Het is niet toegestaan apparatuur voor mobiel werken te delen met collega's.

7.2.2 Thuiswerken Medewerkers die regelmatig thuiswerken kunnen de beschikking krijgen over een thuiswerkplek van het accountantskantoor. Hiervoor krijgt de medewerker een ADSL-aansluiting thuis, waarop hij zijn (reeds beschikbare laptop) aan kan sluiten. • Incidenteel privé-gebruik van de laptop is toegestaan, in dezelfde mate als dat toegestaan is voor middelen binnen een kantoor van het accountantskantoor.


©

www.nivo.nl

66/72

•

•

•

•

Privé-gebruik van de ADSL-aansluiting is toegestaan. Hiervoor dient de medewerker zijn eigen PC te koppelen met het, door het accountantskantoor geleverde, ADSL-modem. De supportdesk kan geen ondersteuning bieden voor het gebruik van deze PC. Het is niet toegestaan draadloze apparatuur als WiFi-accesspoints aan deze verbinding te koppelen. Voor het gebruik van applicaties van het accountantskantoor wordt gebruik gemaakt van een zogenaamde VPN-verbinding, deze wordt door de IT-afdeling geconfigureerd op de laptop. Het is niet toegestaan deze VPN-software te gebruiken op andere systemen dan de door het accountantskantoor beschikbaar gestelde laptop. Het is niet toegestaan bestanden uit te wisselen tussen bedrijfs-PC (laptop) en privé-PC. De mogelijkheden daartoe zijn uitgeschakeld in de configuratie van de bedrijfs-PC. De door het accountantskantoor beschikbaar gestelde laptop is voorzien van een aantal beveiligingsmaatregelen, het is niet toegestaan deze uit te schakelen of te saboteren. Zie voor meer details paragraaf 7.6.

7.2.3 Mobiel werken Medewerkers die onderweg of op klantlocatie moeten beschikken over toegang tot bedrijfsapplicaties kunnen de beschikking krijgen over een Blackberry Telefoon. Voor het gebruik van dit apparaat gelden de volgende richtlijnen: • Incidenteel privé-gebruik van de telefoon is toegestaan, in dezelfde mate als dat toegestaan is voor middelen in een bedrijfspand van het accountantskantoor. Het is niet toegestaan de UMTS-dataverbinding voor privé-doeleinden te gebruiken. • De UMTS-dataverbinding mag alleen gebruikt worden om verbinding te maken met het bedrijfsnetwerk, in combinatie met de VPN-verbinding. • Voor de koppeling tussen laptop en UMTS-telefoon wordt een datakabel meegeleverd, de koppeling tussen deze 2 apparaten mag niet op een andere manier tot stand gebracht worden; het gebruik van met name bluetooth is niet toegestaan. Op zowel telefoon als laptop is deze mogelijkheid uitgeschakeld en het is niet toegestaan deze in te schakelen.

7.2.4 Verlies en diefstal Verlies of diefstal van door het accountantskantoor beschikbaar gestelde apparatuur of gegevens dienen terstond bij de IT-afdeling gemeldt worden. In geval van diefstal moet er aangifte gedaan worden bij de Politie.


©

www.nivo.nl

67/72

7.3 Wachtwoorden De door het accountantskantoor ter beschikking gestelde apparatuur en software is voorzien van wachtwoorden en pincodes. Het is niet toegestaan deze wachtwoorden te verwijderen of gebruik te maken van hulpmiddelen om deze automatisch in te vullen (“wachtwoord opslaan”). Het is ook niet toegestaan om de wachtwoorden te noteren. Indien een wachtwoord vergeten is, kan deze door de servicedesk aangepast worden. • De laptop is voorzien van een bios-wachtwoord • De Blackberry en GSM telefoons zijn voorzien van een pincode beveiliging, die ingetoetst dient te worden bij inschakelen of opheffen toetsvergrendeling. • Na de opstart dient de gebruiker aan te loggen met eigen gebruikersnaam en wachtwoord • Het is niet toegestaan gebruik te maken van een gebruikersnaam van een andere medewerker of een andere medewerker de beschikking te geven over de eigen gebruikersnaam/wachtwoord. • Om verbinding te maken met het bedrijfsnetwerk wordt gebruik gemaakt van VPN-token, voordat het token gebruikt kan worden moet daar een pincode ingevoerd worden. • Na het maken van de verbinding is de computer verbonden met het bedrijfsnetwerk en kan zonder wachtwoord gebruik gemaakt worden van alle applicaties waar de gebruiker toegang toe heeft. • Elke computer en laptop is voorzien van een screensaver met wachtwoord. Indien de medewerker de computer of laptop voor korte tijd uit het oog verliest, dient de mederwerker de screensaver te activeren. (Control-Alt-Delete, keuze “lock the computer” of Windows-L). • Indien de medewerker de computer voor langere tijd uit het oog verliest moet hij de VPN-verbinding verbreken. • Elk wachtwoord moet voldoen aan de eisen beschreven in de algemene beveiligingspolicy.

7.4 Dataopslag Iedere laptop is voorzien van een lokale harde schijf waarop gegevens opgeslagen kunnen worden. De harde schijf is voorzien van encryptie, hierdoor wordt in geval van diefstal het terughalen van informatie bemoeilijkt. • Het is niet toegestaan de encryptiesoftware te verwijderen of de configuratie aan te passen. • Het is niet toegestaan informatie op te slaan op externe media zoals USB-sticks, CD's, DVD's en externe harde schijven. Uitzondering hierop zijn de USB-harde schijven die uitgereikt worden aan medewerkers door de IT-afdeling om te gebruiken als backup-medium. Bewaar de backup harde schijf niet bij het gebackupte apparaat!


©

www.nivo.nl

68/72

•

Geen enkele beveiliging is onkraakbaar en daarom is het niet toegestaan documenten met het predikaat “vertrouwelijk” op te slaan op mobiele apparatuur. Zet deze informatie op de fileserver. Op de Blackberries worden geen bedrijfsgegevens opgeslagen. Alleen agenda en adressenbestand worden lokaal opgeslagen. Alle bedrijfstoepassingen worden “online” gebruikt, waarbij de gegevens op de servers van het accountantskantoor geplaatst worden.

7.5 Verbinding Er wordt door het accountantskantoor een VPN-client met VPN token beschikbaar gesteld. • Om veiligheidsredenen wordt tijdens het gebruik van het VPN de toegang tot het lokale netwerk geblokkeerd. Het is niet toegestaan deze instelling te wijzigen of te omzeilen. • De gebruiker dient de VPN-verbinding af te sluiten als deze niet gebruikt wordt. • De VPN-verbinding mag alleen gebruikt worden voor zakelijke toepassingen voor het accountantskantoor. • Toegang tot de VPN-verbinding mag alleen gemaakt worden vanaf apparatuur die beschikbaar gesteld is door het accountantskantoor. Het is niet toegestaan de VPN software op eigen apparatuur te installeren.

7.6 Bestrijding van Malware Op elke, door het accountantskantoor beschikbaar gestelde, PC is de volgende software geinstalleerd: − Software firewall − Virusscanner − Spyware detectiesoftware Op de Blackberry is alleen een virusscanner geinstalleerd. Deze software wordt bij het aanloggen op het netwerk van het accountantskantoor automatisch voorzien van de laatste updates. • Het is toegestaan – en wordt aangemoedigd – om deze software ook op eigen PC('s) te installeren. • Het is niet toegestaan de software te verwijderen, aan te passen, uit te schakelen, omzeilen of de configuratie te wijzigen. • Het is niet toegestaan updates te installeren, anders dan updates die automatisch tijdens het inloggen worden geïnstalleerd.


©

www.nivo.nl

69/72

•

Indien vermoed wordt dat er toch een infectie van virus, spyware of andersoortige ongeautoriseerde toegang tot het systeem zich voorgedaan heeft, moet dat terstond gemeld worden bij de IT servicedesk.


©

www.nivo.nl

70/72

Aantekeningen


©

www.nivo.nl

71/72


©

www.nivo.nl

72/72

72

Recommend Documents