Как стать автором
Обновить
46.74
Рейтинг
НИИ СОКБ
Российский разработчик ПО в сфере безопасности

ТОП-10 кейсов по управлению корпоративной мобильностью в 2020 году

Блог компании НИИ СОКБ Информационная безопасность *IT-инфраструктура *IT-стандарты *Управление персоналом *
Recovery mode

В нынешнее время сисадмины отвечают не только за работоспособность оргтехники, настольных компьютеров, сетевой архитектуры компании, но еще и за настройки и работоспособность корпоративных смартфонов, планшетов и других мобильных устройств.

Не единственным, но главным условием выполнения этих обязанностей является наличие доступа к администрируемым устройствам. А если устройств в компании не один десяток, то доступ к ним должен быть удаленным и централизованным.

С офисной техникой это условие выполнить несложно, но в случае мобильных устройств условие выполняется только с помощью средств управления из семейства Enterprise Mobility Management (EMM).

О возможностях решений класса EMM мы писали в прошлом году. Под катом мы поделимся сведениями о наиболее распространённых сценариях использования EMM SafePhone у наших заказчиков в 2020 году.

На основе реальных событий

Итак, ТОП-10 практических сценариев использования EMM SafePhone выглядит следующим образом:

1. Установить и настроить мобильные приложения

Самостоятельная установка приложений из App Store, Google Play, etc. на личный смартфон у большинства пользователей не вызывает проблем. Но в случае с корпоративными пользователями, включая руководителей, эту задачу чаще всего выполняют сисадмины. Кроме того, постоянно увеличивается число корпоративных приложений, релизы которых могут выходить по несколько раз в день. И обновиться на нескольких тысячах устройствах необходимо обязательно до обеда!

Отдельная задача – это удалённая конфигурация приложений. Разработчики операционных систем уже давно придумали managed configuration. Но некоторые разработчики приложений с завидным упрямством продолжают изобретать свои собственные механизмы настройки приложений: кто-то собирает новую ХХ мегабайтную сборку только лишь для изменения URL, кто-то пишет файлы в памяти устройства, где их удалённо по SSH меняет сисадмин.

2. Найти и/или удалить данные на устройстве

Определить местоположение личного устройства, удалить фотографии, учетные записи и другие данные помогают сервисы типа Find my iPhone. Их корпоративным аналогом являются аналогичные функции систем EMM. С их помощью можно удалённо заблокировать устройство и попытаться найти его по данным GPS или стереть с него данные без возможности восстановления. Проблема состоит в том, что пользователь не может сразу сообщить о потере, ведь потерянный телефон мог быть единственным средством связи. Когда администратор отправит команду удаления данных, данные уже могли скачать. Поэтому важно автоматически блокировать доступ к устройству при первых признаках его несанкционированного использования. Если смартфон украли, первым делом из него вынимают симку, чтобы затруднить владельцу поиск устройства. EMM SafePhone позволяет в этом случае автоматически блокировать устройство.

3. Применить к смартфону общие политики ИБ

У большинства крупных компаний уже утверждена политика информационной безопасности: какие у пользователей должны быть пароли, какими приложениями можно пользоваться, можно или нельзя использовать флэшки и т.д. Поэтому проще адаптировать ее к смартфонам и планшетам, чем разрабатывать еще одну политику. Адаптация неизбежна, чтобы, например, вместо Safari в iOS не использовать принятый в компании Mozilla Firefox.

4. Отложить обновление iOS или Android

Мы подробно разбирали эту тему в одной из наших публикаций. Кратко напомним основной вывод: если корпоративный софт еще не успели адаптировать для работы с новой версией мобильной ОС, то ее обновление лучше запретить или хотя бы отложить.

5. Контейнеризация корпоративных данных

Контейнер на мобильном устройстве - это выделенная область памяти, где корпоративные данные безопасно хранятся и доступ к ним контролируется. Обычно контейнеры нужны, если компания допускает использование корпоративных мобильных устройства в личных целях или если допускается удалённый доступ к корпоративным данным с личных устройств.

Существует два способа контейнеризации:

1) Разработать приложения, которые будут самостоятельно защищать свои данные.

2) Использовать встроенные возможности мобильных ОС.

В своей практике мы реализуем оба подхода, вместе с тем  второй подход более универсален. Так, например, в случае Android мы рекомендуем использовать «рабочие профили», в которых можно разместить любые приложения – как корпоративные, собственной разработки, так и встроенные или приложения из публичных магазинов. В результате пользователь получает доступ к почте с помощью привычного встроенного почтового клиента, но не может несанкционированно передать файл из корпоративной почты в мессенджер.

6. Не дать полевому сотруднику филонить

Корпоративные мобильные устройства выдают полевым сотрудникам для повышения производительности труда. Но «человеческий фактор» никто не отменял. Поэтому иногда сотрудники предоставляют отчёты «задним числом» или передают информацию о фиктивном местоположении.

Мы рекомендуем запрещать изменение даты и времени на устройствах полевых работников и блокировать на них доступ к функциям и приложениям, с помощью которых пользователь может подменить данные GPS. Также на практике имеет смысл получать данные о местоположении не только с помощью специализированного мобильного софта полевого работника, но и с помощью системы EMM, работе которой на устройстве работник не сможет помешать.

7. Упростить жизнь полевому сотруднику

Для некоторых полевых сотрудников корпоративный смартфон или планшет может стать первым «умным» мобильным устройством в жизни. Если передать смартфон такому сотруднику «как есть», он загрустит и будет пушить техподдержку бесконечными вопросами вида «я куда-то нажал, всё закрылось, что делать?». Панацея в этом случае – режим цифрового «киоска», в котором пользователю доступны приложения, которые нужны ему только для работы.

8. Запретить всё лишнее

Самый простой способ превращения устройства в корпоративное – запретить на нём всё личное.

Но наш опыт свидетельствует о том, что чем круче меры безопасности и чем менее удобны корпоративные сервисы, тем чаще реальная работа ведётся с помощью личных устройств, на которых нет никакой защиты.

9. Настроить беспроводные сети

Любой общий пароль для всех пользователей Wi-Fi в компании – это верный путь к подбору и атакам вида «человек посередине». Поэтому большинство компаний, если и разрешают использование Wi-Fi, то разумно усложняют процедуру аутентификации. Часто доступ к Wi-Fi требуется подтверждать с помощью учётных записей и цифровых сертификатов.

Выпустить и загрузить сертификат на каждое мобильное устройство – задача не из лёгких. В новой версии EMM SafePhone 4.4 мобильные устройства сами формируют запросы на сертификаты и предоставляют своим пользователям доступ к Wi-Fi.

Ещё одна менее типовая задача – это настройка мобильного интернета. Большинство сотовых операторов делает это самостоятельно, но иногда для части регионов или тарифов эта опция недоступна. В этом случае также выручают EMM системы, потому что пользователи самостоятельно с этой задачей не справляются.

10. Инвентаризация мобильных устройств

Обычно с этой задачи начинают корпоративную мобилизацию. В EMM есть вся информация об устройствах, о фактическом использовании корпоративных устройств.

Но важно отметить новый тренд подключения и инвентаризации разного рода носимой электроники – mHealth, очки дополненной реальности и т.д.  При этом заказчики хотят управлять ими из общей консоли

Послесловие

Уважаемые читатели, если в вашей практике возникали задачи, которые не вошли в ТОП-10, поделитесь ими в комментариях. Возможно, коллективный разум подскажет решение.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.8K
Комментарии Комментарии 7

Информация

Дата основания
2005
Местоположение
Россия
Сайт
www.niisokb.ru
Численность
51–100 человек
Дата регистрации
Представитель
Олег Ассур