Переходим на мобильность без мучений для IT и рядовых сотрудников

    Мобильная революция захватила все сферы жизни человека. Смартфоны и планшеты сопровождают нас везде, мы привыкли решать с их помощью всевозможные задачи, общаться по всем возможным каналам, сохранять необходимую информацию. Конечно же, мобильность ценится и в бизнесе — большая часть пользователей уже не мыслит рабочие процессы без мобильных девайсов и приложений. Странно говорить о таком в 2016 году, но большая часть решений, которые используются сотрудниками подавляющего большинства российских компаний, не имеют никакого отношения к понятию корпоративная мобильность.



    Специализированные решения для бизнеса стали внедряться у нас не так давно, и в первую очередь по «запросу сверху». Распробовав возможности мобильных девайсов в жизни, руководители стали требовать решений и для работы. Пришли в IT-департаменты и сказали: «Сделайте так, чтобы с планшетов можно было работать с корпоративными приложениями и данными».

    Руководителям нужен постоянный доступ к корпоративной почте, файлам, документам. С таких решений и началось целевое проникновение мобильности в корпоративную среду. Ну а дальше все стало развиваться как снежная лавина: заместители посмотрели на шефов и тоже захотели работать с мобильных устройств. Потом подключились и их подчиненные. На первом этапе, с топ-менеджментом, у IT-служб не было особого выбора: начальник поставил задачу — надо ее выполнять. Когда же стремление к мобильности стало проникать на уровни ниже, началась борьба между пользователями и IT.

    Плюсы и минусы мобильности


    С одной стороны, пользователей понять можно — им хочется работать с тем, с чем они привыкли. Личная почта прекрасно работает на смартфоне — и все хотят, чтобы то же самое было с корпоративной почтой. Человек ходит на различные сайты с планшета — так почему же нельзя попасть внутрь корпоративного портала? И, конечно, если выбирать между двух-трехкилограммовым ноутбуком со всеми зарядками, и компактным устройством — последнее кажется гораздо более удобным для удаленной работы.

    IT-службы, в свою очередь, рассматривают мобильность как проблему. Как управлять всем парком всевозможных устройств? Что можно с этим сделать с точки зрения безопасности? Пользователь несет свое устройство на работу — но откуда знать IT-департаменту, что за приложения он туда поставил, какие данные этим устройством собираются и куда отправляются? Все потенциально зловредное, что находится на мобильном устройстве, может прямиком устремиться в корпоративную сеть. Кому нужны такие риски?

    Препирательства длятся долго и не собираются заканчиваться. У зарубежных коллег этот процесс ушел куда дальше: раз мобильность повышает эффективность труда сотрудников, значит, надо обеспечить ее всем работникам, которым это нужно.

    Сферы применения корпоративной мобильности


    В одной из европейских стран на мобильность перешло управление полиции. Сотрудники теперь приезжают в офис лишь для того, чтобы сдать оружие. Все остальное они делают в «полях», работая с планшетов. Заносят в базу инциденты, осуществляют проверку личности, оформляют документы — все необходимое для их работы находится в мобильном устройстве. И все стало гораздо быстрее и проще.

    Один из крупных западных банков внедрил для 20 тысяч сотрудников мобильные технологии. Теперь работники не сидят в офисе, ожидая, что кто-то придет к ним за кредитом. Они сами — вместе с планшетами, на которых есть необходимые данные — отправляются к потенциальным клиентам и предлагают свои услуги и сервисы. То есть, не человек идет в банк, а банк идет к человеку.



    В медицине у персонала есть доступ к различного типа компьютерным устройствам, где хранится нужная информация и данные пациентов. Но когда врач обходит больных, носить с собой ноутбук как минимум неудобно. Посмотреть, какие были сделаны назначения и что с динамикой выздоровления гораздо проще с планшета.

    Логистические компании раньше просто отслеживали местонахождение своих машин с помощью датчиков GPS. Теперь же, благодаря использованию мобильных устройств и специальных приложений, можно формировать загрузку транспортного средства динамически: пришел заказ, мы видим, что грузовик, который везет что-то из пункта А в пункт B и проезжает мимо точки С; значит, он может что-то оттуда забрать. Можно перенаправить машину и рассчитать, когда и что должно быть доставлено.

    Планшетами снабжаются пилоты некоторых авиакомпаний. Помимо загрузки плана полета в планшет можно загрузить всю документацию по самолету. Обычно экипажу приходится брать с собой несколько чемоданов с инструкциями и документацией. Здесь же все необходимое загружается в планшет. Это дает заметный выигрыш по весу — иногда в десятки килограммов. Не говоря уже об удобстве.

    Применимость мобильных устройств с точки зрения бизнеса не всегда очевидны, пока не начинаешь глубоко копать эту тему. Поэтому если говорить о самом понятии корпоративной мобильности, я бы сказал, что к нему относится все, что связано с мобильными устройствами применительно к их использованию в корпоративной среде. Это работа с приложениями, данными, взаимодействие сотрудников между собой.

    Цифровое рабочее место


    Некоторые задачи надо решать оперативно, и это удобно делать со смартфона. Есть задачи, которые лучше выполнять на планшете. Наконец, есть задачи, для которых необходим полноценный компьютер. Соответственно, возникает вопрос бесшовного перехода пользователя с одного устройства на другое. Поэтому говоря о внедрении мобильности, нельзя не упомянуть о цифровом рабочем месте в целом.



    Каждое устройство предназначено для выполнения определенных целей. Почту посмотрели на телефоне, на планшете уже можно поработать с документами, но сделать большой отчет проще на ПК с клавиатурой. Вы подготовили документ на ПК, уехали в командировку с одним планшетом, и вдруг потребовалось этот документ поправить и кому-то переслать. Соответственно, нужно, чтобы доступ к документу был на всех устройствах.

    При этом нужно обеспечить работу с различными приложениями, с данными, и учесть, что часть используемых сотрудником устройств могут быть не корпоративными. Одно дело, когда устройство выдали на работе — тут работодатель вправе применять свои политики, ограничить установку всего, что только можно или разрешить работу только с теми приложениями, которые установлены IT-департаментом. Запретить установку внешних приложений, запретить использование флэш-накопителей и так далее. Но когда пользователь приходит домой и садится за домашний компьютер или берет свой личный планшет и приходит с ним в корпоративную среду — вот тут встает вопрос: как разделить на одном устройстве личное и корпоративное.

    MAM, MDM, VPN, виртуализация


    Поговорим о наиболее актуальных решениях по управлению корпоративной мобильностью.

    MDM-решения (Mobile device management) предназначены для управления устройствами; для прописывания политик, определяющих, как устройство будет подключаться к корпоративной сети; для раздачи различных сертификатов для подключения (например, к корпоративному Wi-Fi); определения политик безопасности по доступу к устройству (например, чтобы PIN-код был не менее 6 символов) и т.п.

    MAM — следующий шаг при внедрении мобильности. Эти решения связаны с написанием и защитой приложений для мобильных устройств под iOS и Android. Фактически, это SDK — набор возможностей, которые даются разработчикам, чтобы они подготовили свои мобильные приложения, создаваемые под одну из мобильных платформ, к использованию в корпоративной среде.

    Например, можно разрешить или запретить приложению обмениваться данными с другими приложениями, запретить операции copy/paste из корпоративных приложений в приложения, которые пользователь установил самостоятельно. То есть, мы можем провести невидимую границу между тем, что на устройстве личного — что настраивает и устанавливает сам пользователь, и тем, что предоставила компания для работы в рамках корпоративной инфраструктуры с конфиденциальными данными.

    Можно использовать также технологию построения микро-VPN-туннелей – в тех случаях, когда мы не хотим давать всему устройству возможность подключаться к нашей корпоративной сети (в этом случае все, что у пользователя было непонятного, может попасть в нашу сеть). С помощью SDK можем открыть приложению доступ только к конкретному корпоративному сервису. Все остальное как ходило мимо корпоративной сети, так и остается вне микро-VPN-туннеля.

    Когда мы работаем с унаследованными приложениями — с Windows-приложениями, различными веб-сервисами либо внешними SaaS, здесь можно говорить об использовании виртуальных решений. С персонального компьютера, с мобильных устройств, с тонкого клиента мы подключаемся к инфраструктуре, развернутой либо у нас в дата-центре, либо у поставщика услуг, и работаем с терминальными Windows-приложениями, с Windows- или Linux-десктопами, которые необходимы сотрудникам.

    При охвате всех видов пользователей и всех вариантов работы нужно говорить не только о корпоративной мобильности, но и о виртуализации. Это хороший вариант использования устройств, которые не являются корпоративными. Политики исполняются на стороне дата-центра. Администратор в этом случае управляет не устройством пользователя, которое может быть и личным, а теми политиками, которые влияют на безопасность подключения и работы с удаленными ресурсами.

    Что и как внедряем


    Прежде, чем что-то внедрять — подумайте: а что конкретно вам нужно? Иногда наши партнеры, специалисты по продажам говорят: нашему заказчику нужно решение Х. Я спрашиваю — а почему именно оно? «Потому что он думает, что оно ему нужно» — не правильный ответ. У заказчика должна быть задача, решить которую поможет наш продукт Х.



    Часто бывает, что заказчик просто слышал о некоем решении, которое оказалось на волне «моды». Он проецирует это на свою инфраструктуру и решает, что ему это и нужно. Яркий пример: несколько лет назад, когда тема виртуализации десктопов только начинала звучать, заказчики приходили и говорили: нам нужна виртуализация десктопов. Первый вопрос, который я им задавал — а почему вы считаете, что она вам нужна?

    Начинаем копать глубже. Выясняем, какие задачи стоят перед человеком, что он хочет с помощью технологии решить, какие условия лицензирования ему подойдут, есть ли у него в текущей инфраструктуре ограничения. Часто в результате такой беседы выясняется, что на самом деле заказчику просто нужен удаленный доступ к определенным ресурсам. И задача организации этого удаленного доступа может решаться разными способами: через терминальный сервер, через виртуальный десктоп, через мобильное приложение.

    Вот подход, который я сформулировал за годы работы:

    — Тщательно формулируем задачу. Понимаем, что мы хотим получить и для чего;
    — Узнаем об ограничениях технологии — а они есть всегда, и если их не знать, можно оторваться от реальности;
    — Выбираем оптимальное для конкретного случая решение.

    Если говорить о решениях Citrix, то сказать, что всем подойдет какой-то один набор — категорически нельзя. Если у вас есть потребность исключительно в мобильности — наверное, полный набор инструментов вам не нужен и адекватнее будет ограничиться набором XenMobile.

    У Citrix есть отдельное решение по управлению мобильными устройствами —XenMobile MDM Edition. Если нужно еще и управление мобильными приложениями выбор падает на XenMobile Advanced Edition, куда включен и mobile application management (MAM).

    Если же вы планируете охватить всех пользователей и все задачи — тогда можно сделать выбор решения Citrix Workspace Suite, который включает в себя и мобильность, и виртуализацию десктопов, и безопасный удаленный доступ с точки зрения построения SSL VPN туннелей до дата-центра.

    Повторюсь: Workspace Suite нужен в том случае, если всем или большей части пользователей в компании нужны и мобильность, и виртуализация десктопов, и терминальные сервисы.

    Можно углубиться в такие вещи, как лицензирование. Оно может быть по конкурентным пользователям либо по пользователям/устройствам. Технически обе лицензии одинаковы — они обеспечивают один и тот же функционал для работы. По стоимости — условно, лицензия пользователь/устройство примерно вдвое дешевле, чем конкурентное лицензирование. Чтобы выбрать, нужно понять, сколько сотрудников будут пользоваться решением и сколько из них будут работать одновременно.

    Пример для расчета:

    — У заказчика 400 сотрудников, которым нужно обеспечить работу. Если из них одновременно будут работать 100-110 человек — можно купить 110 конкурентных лицензий, и любой пользователь сможет подключиться к инфраструктуре, главное — чтобы их было не больше, чем 110 человек одновременно.

    — Если же мы понимаем, что из этих 400 пользователей более половины должны работать одновременно — в этом случае нам лучше купить 400 лицензий на пользователя/устройство. Лицензий больше, но, поскольку они дешевле — общая стоимость проекта будет такой же или ниже.

    Одному заказчику нужны 400 лицензий XenDesktop и 100 XenMobile, другому требуется иное соотношение. Цену проекта мы можем назвать только после того, как пообщаемся с заказчиком и поймем, что на самом деле ему нужно. Конечно, есть вариант, когда задачу поставили, бюджет выделили, и купить можно хоть 500, хоть 1000 лицензий, а реально внедрить сотню. Остальное будет лежать мертвым грузом. Но мне кажется, такие времена прошли безвозвратно.

    Выбор поставщика


    Решение по выбору поставщика зависит, опять таки, от многих факторов. Если мы говорим не про случаи супер-крупных заказчиков, которые готовы платить за консалтинг и «индивидуальный подход», то обычно вендор работает через партнеров — интеграторов, которые и помогают определиться.



    По спецификациям решения различных поставщиков соответствующих сервисов выглядят примерно одинаково. И для того, чтобы понять разницу, ее надо буквально пощупать руками. Отличия состоят в гибкости настроек, удобстве работы, совместимости с другими продуктами.

    Если заказчику нужно много чего — не только MDM, но и MAM, и виртуализация десктопов то, как правило, мы готовы предоставить удаленный доступ к нашему демо, и интегратор может развернуть у вас пилотную версию, чтобы вы могли убедиться, насколько удобно и все работает.

    У заказчика могут быть свои предпочтения при выборе вендора. Например, уже есть опыт использования продуктов этого вендора, уже развернута какая-то часть инфраструктуры. Если, мы говорим о мобильности, а у заказчика уже есть наши терминальные сервисы, то в этом случае и Citrix может предложить какие-то более выгодные условия — апгрейд, переход на новую версию всегда будет стоить дешевле, чем покупка большого количества лицензий с нуля. Либо мы можем показать, что то, что заказчик хочет купить, будет отлично интегрироваться с тем, что у компании уже есть.

    Виртуализация десктопов и приложений обычно это связана с переходом на новые версии операционных систем. Самый большой страх заказчика в этом случае — он не знает, как поведут себя его рабочие приложения в новой инфраструктуре. Внутри решений Citrix есть такой компонент, как AppDNA, который позволяет в автоматизированном режиме проверить совместимость приложений при переходе на новые версии операционных систем, при переносе их с клиентской на серверную, при оборачивании этих приложений в контейнер Microsoft App-V. Когда у заказчика сотни приложений, он не должен вручную проводить установку и проверять, как все будет работать в той или иной среде, в той или иной комбинации. Вместо того, чтобы потратить сотни, а то и тысячи человеко-часов на тестирование, заказчик за несколько дней получает готовую матрицу, и ему нужно только проверить, те варианты, где система предсказала потенциальные проблемы.

    Я всегда говорю, что тщательная подготовка проекта нейтрализует множество проблем, которые могут проявиться в дальнейшем. Протестировали — сократили время проекта, упростили процесс развертывания, сэкономили деньги, сберегли нервы.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 15

      +1
      Обычно экипажу приходится брать с собой несколько чемоданов с инструкциями и документацией. Здесь же все необходимое загружается в планшет. Это дает заметный выигрыш по весу — иногда в десятки килограммов. Не говоря уже об удобстве.

      И что-то мне кажется, что так оно и будет еще много лет. Как минимум, чемодан с документацией не разряжается в экстремальной ситуации в самый неподходящий момент :)
        0
        Теоретически можно взять 2 или 3 запасных планшета и аккумулятор и все это будет легче чемодана.
        Но чемодан гораздо надежнее, чем планшеты и прочая электроника. В этом дело, а не в массе.

          0

          Со студентами в МАМИ мы занимаемся вспомогательными системами для пилотов. Надёжность надёжностью, но иногда важно получить данные мгновенно, а не роясь в кипах бумажек. Я уже не говорю о том, что на планшете можно мгновенно произвести любые вычисления, которые сейчас до сих пор производят на бумажках.


          Ну и аргумент по надёжности… Как бы самолёт у вас тоже не на педальной тяге летит. Понятно, что вспомогательные устройства должны быть не менее надёжны систем самолёта, но это вполне достижимо.

          0
          Делюсь ссылкой на любопытный материал как раз по этой теме, ссылки в конце статьи также рекомендую к прочтению. Это очень важная проблема в авиации, особенно в массовой, где даже небольшая экономия в одном рейсе в масштабе всей авиакомпании за год может дать существенную сумму.
            0
            Спасибо за ссылку, прочитал с интересом.
            Но я ведь не спорил с тем фактом, что планшет легче чемодана. Мне лишь показалось, что в посте этот вопрос подан с излишним упрощением. Поэтому я попытался намекнуть на то, что в авиации существует еще и фактор безопасности, помимо борьбы за снижение веса. Если лишний набор вилок с кухни и можно оставить на земле по распоряжению авиакомпании (как это описывается в приведенной вами статье), то далеко не факт, что подобное можно провернуть с полетной документацией. Это, на мой взгляд, потребует куда больших вложений по отработке, повышению надежности, стандартизации новой технологии, обучению экипажей и всему прочему, чем просто «все необходимое загружается в планшет», как это легко и просто подает автор.
              0
              Тогда еще одна ссылка :) В этот раз уже на конкретный пример, как это было реализовано с Aer Lingus
          +1

          Какая-то невнятная маркетинговая каша без описания хотя бы одной реальной проблемы и её решения. В статье говорится про личные приложения, что показывает, что мы используем устройство пользователя. Что туда добавили? Защиту от copy paste? Правда? Не смешите мои тапочки. Пользователь может просто сделать скриншот, а если у него рутованный девайс — может всё что угодно.
          Немного про реальные проблемы:


          1. Изначально просканировать девайс пользователя на наличие вредоносного ПО? А если оно уже прописалось в прошивку?
          2. Как защитить пользователя от установки вредоносного ПО? Да, в том числе из Google Play?
          3. Как привязать корпоративное ПО конкретному пользователю, чтобы никто не мог им воспользоваться, например найля потерянный телефон?
          4. Как защитить пользователя от уязвимостей самой ОС, которые порой могут получить рутовые права прямо через браузер?
          5. Как защитить пользователя от перехвата трафика при помощи вражеских вайфайных точек и не дай бог вышек?
          6. Как защитить от реверса ваших приложений на устройстве пользователя?
          7. Как защититься от слива информации между разными устройствами пользователя по его инициативе?

          Хотя на каждый вопрос можно дать частичный ответ, ни один из них на текущий вопрос рльзя решить полностью. И это я вопросы взял с потолка, набирая с планшета в метро — на самом деле их гораздо больше.


          Посмотрим в глаза правде — мобильность сотрудников сейчас просто необходима. Но это абсолютная адовая дыра, единственная защита от которой — понимать, что ты допускает эту дыру в своей инфраструктуре и относиться к этому с соответствующей осторожностью.

            +1
            Спасибо за интерес к статье и технологиям, постараюсь развеять ваши сомнения.

            Какая-то невнятная маркетинговая каша без описания хотя бы одной реальной проблемы и её решения. В статье говорится про личные приложения, что показывает, что мы используем устройство пользователя. Что туда добавили? Защиту от copy paste? Правда? Не смешите мои тапочки. Пользователь может просто сделать скриншот, а если у него рутованный девайс — может всё что угодно. Начнём с того, что системы MAM и MDM проверяют «рутованность» или «джейлбрейк» устройства и могут просто запретить регистрацию такого устройства в системе управления и распространения корпоративного ПО. Если у пользователя устройство сначала было зарегистрировано в системе управления и на него «приехали» корпоративные приложения, а уже потом пользователь решил «взломать» своё устройство, то как только он это сделает, администратор в консоли это увидит, получит предупреждение и дальше всё будет зависеть от принятых в компании правил, которые трансформируются в политики. Как вариант — «выбрасывание» устройства из системы и очистка всей корпоративной информации на устройстве пользователя. С точки зрения запрета copy-paste – это только одна из возможностей. Другими могут быть — блокирование возможности снятия скриншота :) (ваши тапочки могут быть спокойными); отключение фотокамеры на устройстве; отключение GPS и другие возможности подробно описанные в документации на продукт.

            Немного про реальные проблемы:

            1. Изначально просканировать девайс пользователя на наличие вредоносного ПО? А если оно уже прописалось в прошивку?
            К сожалению, реальность такова, что на мобильные устройства так же настоятельно рекомендуется устанавливать антивирусы. После того как агент установлен, антивирус может быть доставлен из корпоративного магазина или официального магазина (Google, Apple). Также можно осуществить проверку на наличие известных вредоносов. С точки зрения вредоносов установленных в прошивку то тут поможет только тот факт, что корпоративные приложения доставляются в виде контейнера и когда им необходимо взаимодействовать с серверами компании это взаимодействие будет осуществляться по принципу микро-VPN (конкретное приложение до необходимого ему серверу).

            2. Как защитить пользователя от установки вредоносного ПО? Да, в том числе из Google Play? Тут возможны разные ситуации – если это устройство пользователя, то мы конечно можем запретить пользователю установку ПО, но не думаю что пользователь будет рад таким перспективам. Такой вариант подходит для корпоративных устройств. В случае личного устройства – технология MAM позволит «привозить» корпоративное ПО в закрытом контейнере, которое недоступно для личного ПО, установленного пользователем.

            3. Как привязать корпоративное ПО конкретному пользователю, чтобы никто не мог им воспользоваться, например найля потерянный телефон? Аутентификация в ПО, удалённая очистка «похищенных»/потерянных устройств, политики безопасности по доступу к устройству – например «длинный» и сложный PIN.

            4. Как защитить пользователя от уязвимостей самой ОС, которые порой могут получить рутовые права прямо через браузер? — в случае «рутования устройства» его можно отключить от предоставляемых сервисов и очистить весь корпоративный контент, включая приложения.

            5. Как защитить пользователя от перехвата трафика при помощи вражеских вайфайных точек и не дай бог вышек? — возможны разные варианты, например от запрета подключения к сторонним Wi-Fi сетям, до передачи данных только по микро-VPN каналам.

            6. Как защитить от реверса ваших приложений на устройстве пользователя? — приложения поставляются в зашифрованном контейнере.

            7. Как защититься от слива информации между разными устройствами пользователя по его инициативе? — если у пользователя есть желание «слить» информацию, то никто не помешает ему например взять ручку и лист бумаги и переписать нужную ему информацию. Технически можно запретить пересылку сообщений «штатными» почтовыми клиентами и разрешить использование только SecureMail, к которому применяются корпоративные политики. В решении ShareFile можно настроить интеграцию с IRM и DLP системами. Доступ к контейнеру где хранится информация (ShareFile) открыт только для приложений поставляемых компанией с использованием политик ограничивающих взаимодействие с приложениями пользователя.

            Хотя на каждый вопрос можно дать частичный ответ, ни один из них на текущий вопрос рльзя решить полностью. И это я вопросы взял с потолка, набирая с планшета в метро — на самом деле их гораздо больше. Возможностей у современных решений по управлению корпоративной мобильности также много, особенно если осуществлять интеграцию с другими вендорами (DLP, IRM, антивирус итд)

            Посмотрим в глаза правде — мобильность сотрудников сейчас просто необходима. Но это абсолютная адовая дыра, единственная защита от которой — понимать, что ты допускает эту дыру в своей инфраструктуре и относиться к этому с соответствующей осторожностью. Вот тут я полностью с вами согласен. Мобильность – необходима, но требуется понимание кому и для чего мы даём доступ к корпоративным ресурсам, а также как мы эти ресурсы будем защищать. Но это справедливо также и для обычных решений по удалённому доступу.
              0

              О, спасибо! Один комментарий гораздо информативнее всего поста: )
              Интересно было бы прочитать про эти и другие конкретные вопросы в более развёрнутом виде.


              Вот, например, по первому пункту — реальность показывает, что современные мобильные антивирусы предоставляют довольно слабую защиту — в особенности, если это была целенаправленная атака, а не просто попадание под раздачу.


              Ещё по нулевому пункту — конечно, можно отключить камеру, GPS, Wi-Fi — но тогда проще выдать пользователю старое звонило — набор функций будет примерно тем же и мы потеряем все возможности мобильного приложения...


              По третьему пункту — длина пина и сложность пароля не имеет значения, если хакер получил контроль над пользовательским вводом...


              По четвёртому пункту — касательно рутованности и джейлбрейка — у вас действительно есть возможность 100% определения того, что это произошло? Как, если не секрет? К тому же, хакеру ничто не сможет помешать скопировать все данные с вашего телефона, не включая его, и вы никак не сможете этому помешать.


              По шестому — а где можно почитать подробнее про шифрованный контейнер?


              Ещё раз спасибо за крутой развёрнутый ответ — не ожидал, честно говоря :)

                +1
                И еще пара комментариев с моей стороны :)

                Вот, например, по первому пункту — реальность показывает, что современные мобильные антивирусы предоставляют довольно слабую защиту — в особенности, если это была целенаправленная атака, а не просто попадание под раздачу.
                Ну давайте будем честны – если компания, в которой вы работаете, является целью специализированно заточенной атаки, то тут будет очень самонадеянно полагаться только на MDM/MAM решения. Да и в принципе любая оборона должна строиться эшелонировано.

                Ещё по нулевому пункту — конечно, можно отключить камеру, GPS, Wi-Fi — но тогда проще выдать пользователю старое звонило — набор функций будет примерно тем же и мы потеряем все возможности мобильного приложения...
                Это так, за исключением того факта, что отключать можно основываясь на координатах :) или по расписанию, или по приложениям. Например, запускаем внутреннее финансовое приложение и не можем сделать снимок экрана, переключаемся на игру и хотим похвастаться результатом – пожалуйста, сделали снимок экрана и отправили штатным почтовым клиентом или прикрепили к посту на фейсбуке. Вошли в производственную площадку компании и не можем пользоваться фотокамерой, покинули территорию и эта возможность вернулась назад. Geo-fencing активно используется «там» в медицине. Как только планшет с историей болезни покидает пределы клиники, вся информация на нём автоматически очищается.

                По третьему пункту — длина пина и сложность пароля не имеет значения, если хакер получил контроль над пользовательским вводом… Это правда, но, чем длиннее и сложнее пароль, тем больше времени потребуется злоумышленнику. За это время информация о потери устройства дойдёт до технической поддержки или пользователь решит очистить своё устройство через портал самообслуживания или в настройках приложения указана «time-bomb», которая требует через какое-то время подключаться к системе иначе контейнер будет очищен.

                По четвёртому пункту — касательно рутованности и джейлбрейка — у вас действительно есть возможность 100% определения того, что это произошло? Как, если не секрет? К тому же, хакеру ничто не сможет помешать скопировать все данные с вашего телефона, не включая его, и вы никак не сможете этому помешать. Да, я в очередной раз соглашусь, если информация так ценна, что профессиональный хакер (читай спецслужбы или очень богатые компании) готовы тратить время и средства на кражу, расшифровку данных, то тут надо серьёзно обдумать как и что защищать и возможно мобильность для такого заказчика противопоказана. Стоимость средств защиты не должна превышать стоимости информации которую эти средства защищают.

                По шестому — а где можно почитать подробнее про шифрованный контейнер? про технологию MDX можно почитать здесь
                  0
                  И снова спасибо. Да, наверное я немного слишком паранок — от нацеленной атаки действительно мало что защитит (например, с той же геолокацией — мы вполне можем сэмулировать GPS координаты больницы), а от всякой случайной заразы вполне поможет… А если мы говорим об организациях, на которых атаки сверх критичны, то там люди просто на входе телефоне сдают в большой шкаф: )
            0
            А настолько ли необходима мобильность сотрудников?
            Так ли необходимо например в обеденный перерыв, жуя бутерброд параллельно что-то вводить одной рукой в почте со смартфона?
            Так ли важно после работы в метро допиливать отчёт на планшете?
            Так ли нужно занимаясь в спорт-зале параллельно что-то ещё пилить в том же смартфоне?
            Я думаю, что при таком совмещении не очень совместимых процессов будет сильно падать эффективность их всех.
            Или идея в том, чтобы сотрудников выгнать из офиса бомжевать по улицам, как патрульных полицейских?
              0
              Я бы предложил не внедрять мобильность ради мобильности. В разных компаниях есть разные группы сотрудников кому это будет полезно, но далеко не для всех пользователей это необходимо. В первую очередь в компаниях такими технологиями интересуются руководители высшего звена. Затем внимание обращают на сотрудников, которые работают в полях и которые в настоящий момент вынуждены использовать стационарные решения, что приводит к задержкам в обновлении информации или невозможности предоставления данных вообще. Мобильность это инструмент, который должен применяться обдуманно, иначе можно прийти к ситуации, когда микроскопом забивают гвозди.
              0
              Хотелось бы поподробнее узнать по поводу MDM на Android устройствах. Был опыт по развертыванию мобильности внутри компании, использовали продукт другой компании, название писать не буду, что бы не было рекламы. Так вот, разворачивалось все на IOS устройствах и возможностей на то время хватало. Можно было спокойно закрыть доступ ко всему, что сотрудник не должен был трогать(AppStore,Safari, вкл\выкл GPS и тд), всегда проследить где находиться устройство и в случае кражи\утери удалённо сделать вайп. Но потом руководство решило что нужно еще внедрить и Android устройства. Тут то мы и встали в тупик, так как даже не смогли реализовать запрет на установки стороннего ПО. GooglePlay закрыли, но пользователь мог спокойно открыть браузер и скачать apk. На сколько глубоко можно управлять устройством с Вашим MDM?
                0
                С точки зрения MDM между разными поставщиками нет большой разницы, так как MDM решения могут делать только то, что разрешает ОС через свои API. Поэтому наиболее важно смотреть с какой версией Android нам надо работать. Для старых версий выбор технических возможностей будет очень ограниченным. Смотреть нужно на самые свежие версии Android, а в рамках XenMobile мы можем ограничить каким версиям позволено подключаться к инфраструктуре.

              Only users with full accounts can post comments. Log in, please.