ТОП-10 кейсов по управлению корпоративной мобильностью в 2020 году
В нынешнее время сисадмины отвечают не только за работоспособность оргтехники, настольных компьютеров, сетевой архитектуры компании, но еще и за настройки и работоспособность корпоративных смартфонов, планшетов и других мобильных устройств.
Не единственным, но главным условием выполнения этих обязанностей является наличие доступа к администрируемым устройствам. А если устройств в компании не один десяток, то доступ к ним должен быть удаленным и централизованным.
С офисной техникой это условие выполнить несложно, но в случае мобильных устройств условие выполняется только с помощью средств управления из семейства Enterprise Mobility Management (EMM).
О возможностях решений класса EMM мы писали в прошлом году. Под катом мы поделимся сведениями о наиболее распространённых сценариях использования EMM SafePhone у наших заказчиков в 2020 году.
На основе реальных событий
Итак, ТОП-10 практических сценариев использования EMM SafePhone выглядит следующим образом:
1. Установить и настроить мобильные приложения
Самостоятельная установка приложений из App Store, Google Play, etc. на личный смартфон у большинства пользователей не вызывает проблем. Но в случае с корпоративными пользователями, включая руководителей, эту задачу чаще всего выполняют сисадмины. Кроме того, постоянно увеличивается число корпоративных приложений, релизы которых могут выходить по несколько раз в день. И обновиться на нескольких тысячах устройствах необходимо обязательно до обеда!
Отдельная задача – это удалённая конфигурация приложений. Разработчики операционных систем уже давно придумали managed configuration. Но некоторые разработчики приложений с завидным упрямством продолжают изобретать свои собственные механизмы настройки приложений: кто-то собирает новую ХХ мегабайтную сборку только лишь для изменения URL, кто-то пишет файлы в памяти устройства, где их удалённо по SSH меняет сисадмин.
2. Найти и/или удалить данные на устройстве
Определить местоположение личного устройства, удалить фотографии, учетные записи и другие данные помогают сервисы типа Find my iPhone. Их корпоративным аналогом являются аналогичные функции систем EMM. С их помощью можно удалённо заблокировать устройство и попытаться найти его по данным GPS или стереть с него данные без возможности восстановления. Проблема состоит в том, что пользователь не может сразу сообщить о потере, ведь потерянный телефон мог быть единственным средством связи. Когда администратор отправит команду удаления данных, данные уже могли скачать. Поэтому важно автоматически блокировать доступ к устройству при первых признаках его несанкционированного использования. Если смартфон украли, первым делом из него вынимают симку, чтобы затруднить владельцу поиск устройства. EMM SafePhone позволяет в этом случае автоматически блокировать устройство.
3. Применить к смартфону общие политики ИБ
У большинства крупных компаний уже утверждена политика информационной безопасности: какие у пользователей должны быть пароли, какими приложениями можно пользоваться, можно или нельзя использовать флэшки и т.д. Поэтому проще адаптировать ее к смартфонам и планшетам, чем разрабатывать еще одну политику. Адаптация неизбежна, чтобы, например, вместо Safari в iOS не использовать принятый в компании Mozilla Firefox.
4. Отложить обновление iOS или Android
Мы подробно разбирали эту тему в одной из наших публикаций. Кратко напомним основной вывод: если корпоративный софт еще не успели адаптировать для работы с новой версией мобильной ОС, то ее обновление лучше запретить или хотя бы отложить.
5. Контейнеризация корпоративных данных
Контейнер на мобильном устройстве – это выделенная область памяти, где корпоративные данные безопасно хранятся и доступ к ним контролируется. Обычно контейнеры нужны, если компания допускает использование корпоративных мобильных устройства в личных целях или если допускается удалённый доступ к корпоративным данным с личных устройств.
Существует два способа контейнеризации:
1) Разработать приложения, которые будут самостоятельно защищать свои данные.
2) Использовать встроенные возможности мобильных ОС.
В своей практике мы реализуем оба подхода, вместе с тем второй подход более универсален. Так, например, в случае Android мы рекомендуем использовать «рабочие профили», в которых можно разместить любые приложения – как корпоративные, собственной разработки, так и встроенные или приложения из публичных магазинов. В результате пользователь получает доступ к почте с помощью привычного встроенного почтового клиента, но не может несанкционированно передать файл из корпоративной почты в мессенджер.
6. Не дать полевому сотруднику филонить
Корпоративные мобильные устройства выдают полевым сотрудникам для повышения производительности труда. Но «человеческий фактор» никто не отменял. Поэтому иногда сотрудники предоставляют отчёты «задним числом» или передают информацию о фиктивном местоположении.
Мы рекомендуем запрещать изменение даты и времени на устройствах полевых работников и блокировать на них доступ к функциям и приложениям, с помощью которых пользователь может подменить данные GPS. Также на практике имеет смысл получать данные о местоположении не только с помощью специализированного мобильного софта полевого работника, но и с помощью системы EMM, работе которой на устройстве работник не сможет помешать.
7. Упростить жизнь полевому сотруднику
Для некоторых полевых сотрудников корпоративный смартфон или планшет может стать первым «умным» мобильным устройством в жизни. Если передать смартфон такому сотруднику «как есть», он загрустит и будет пушить техподдержку бесконечными вопросами вида «я куда-то нажал, всё закрылось, что делать?». Панацея в этом случае – режим цифрового «киоска», в котором пользователю доступны приложения, которые нужны ему только для работы.
8. Запретить всё лишнее
Самый простой способ превращения устройства в корпоративное – запретить на нём всё личное.
Но наш опыт свидетельствует о том, что чем круче меры безопасности и чем менее удобны корпоративные сервисы, тем чаще реальная работа ведётся с помощью личных устройств, на которых нет никакой защиты.
9. Настроить беспроводные сети
Любой общий пароль для всех пользователей Wi-Fi в компании – это верный путь к подбору и атакам вида «человек посередине». Поэтому большинство компаний, если и разрешают использование Wi-Fi, то разумно усложняют процедуру аутентификации. Часто доступ к Wi-Fi требуется подтверждать с помощью учётных записей и цифровых сертификатов.
Выпустить и загрузить сертификат на каждое мобильное устройство – задача не из лёгких. В новой версии EMM SafePhone 4.4 мобильные устройства сами формируют запросы на сертификаты и предоставляют своим пользователям доступ к Wi-Fi.
Ещё одна менее типовая задача – это настройка мобильного интернета. Большинство сотовых операторов делает это самостоятельно, но иногда для части регионов или тарифов эта опция недоступна. В этом случае также выручают EMM системы, потому что пользователи самостоятельно с этой задачей не справляются.
10. Инвентаризация мобильных устройств
Обычно с этой задачи начинают корпоративную мобилизацию. В EMM есть вся информация об устройствах, о фактическом использовании корпоративных устройств.
Но важно отметить новый тренд подключения и инвентаризации разного рода носимой электроники – mHealth, очки дополненной реальности и т.д. При этом заказчики хотят управлять ими из общей консоли
Послесловие
Уважаемые читатели, если в вашей практике возникали задачи, которые не вошли в ТОП-10, поделитесь ими в комментариях. Возможно, коллективный разум подскажет решение.