ТОП-10 кейсов по управлению корпоративной мобильностью в 2020 году

В нынешнее время сисадмины отвечают не только за работоспособность оргтехники, настольных компьютеров, сетевой архитектуры компании, но еще и за настройки и работоспособность корпоративных смартфонов, планшетов и других мобильных устройств.

Не единственным, но главным условием выполнения этих обязанностей является наличие доступа к администрируемым устройствам. А если устройств в компании не один десяток, то доступ к ним должен быть удаленным и централизованным.

С офисной техникой это условие выполнить несложно, но в случае мобильных устройств условие выполняется только с помощью средств управления из семейства Enterprise Mobility Management (EMM).

О возможностях решений класса EMM мы писали в прошлом году. Под катом мы поделимся сведениями о наиболее распространённых сценариях использования EMM SafePhone у наших заказчиков в 2020 году.

На основе реальных событий

Итак, ТОП-10 практических сценариев использования EMM SafePhone выглядит следующим образом:

1. Установить и настроить мобильные приложения

Самостоятельная установка приложений из App Store, Google Play, etc. на личный смартфон у большинства пользователей не вызывает проблем. Но в случае с корпоративными пользователями, включая руководителей, эту задачу чаще всего выполняют сисадмины. Кроме того, постоянно увеличивается число корпоративных приложений, релизы которых могут выходить по несколько раз в день. И обновиться на нескольких тысячах устройствах необходимо обязательно до обеда!

Отдельная задача – это удалённая конфигурация приложений. Разработчики операционных систем уже давно придумали managed configuration. Но некоторые разработчики приложений с завидным упрямством продолжают изобретать свои собственные механизмы настройки приложений: кто-то собирает новую ХХ мегабайтную сборку только лишь для изменения URL, кто-то пишет файлы в памяти устройства, где их удалённо по SSH меняет сисадмин.

2. Найти и/или удалить данные на устройстве

Определить местоположение личного устройства, удалить фотографии, учетные записи и другие данные помогают сервисы типа Find my iPhone. Их корпоративным аналогом являются аналогичные функции систем EMM. С их помощью можно удалённо заблокировать устройство и попытаться найти его по данным GPS или стереть с него данные без возможности восстановления. Проблема состоит в том, что пользователь не может сразу сообщить о потере, ведь потерянный телефон мог быть единственным средством связи. Когда администратор отправит команду удаления данных, данные уже могли скачать. Поэтому важно автоматически блокировать доступ к устройству при первых признаках его несанкционированного использования. Если смартфон украли, первым делом из него вынимают симку, чтобы затруднить владельцу поиск устройства. EMM SafePhone позволяет в этом случае автоматически блокировать устройство.

3. Применить к смартфону общие политики ИБ

У большинства крупных компаний уже утверждена политика информационной безопасности: какие у пользователей должны быть пароли, какими приложениями можно пользоваться, можно или нельзя использовать флэшки и т.д. Поэтому проще адаптировать ее к смартфонам и планшетам, чем разрабатывать еще одну политику. Адаптация неизбежна, чтобы, например, вместо Safari в iOS не использовать принятый в компании Mozilla Firefox.

4. Отложить обновление iOS или Android

Мы подробно разбирали эту тему в одной из наших публикаций. Кратко напомним основной вывод: если корпоративный софт еще не успели адаптировать для работы с новой версией мобильной ОС, то ее обновление лучше запретить или хотя бы отложить.

5. Контейнеризация корпоративных данных

Контейнер на мобильном устройстве - это выделенная область памяти, где корпоративные данные безопасно хранятся и доступ к ним контролируется. Обычно контейнеры нужны, если компания допускает использование корпоративных мобильных устройства в личных целях или если допускается удалённый доступ к корпоративным данным с личных устройств.

Существует два способа контейнеризации:

1) Разработать приложения, которые будут самостоятельно защищать свои данные.

2) Использовать встроенные возможности мобильных ОС.

В своей практике мы реализуем оба подхода, вместе с тем  второй подход более универсален. Так, например, в случае Android мы рекомендуем использовать «рабочие профили», в которых можно разместить любые приложения – как корпоративные, собственной разработки, так и встроенные или приложения из публичных магазинов. В результате пользователь получает доступ к почте с помощью привычного встроенного почтового клиента, но не может несанкционированно передать файл из корпоративной почты в мессенджер.

6. Не дать полевому сотруднику филонить

Корпоративные мобильные устройства выдают полевым сотрудникам для повышения производительности труда. Но «человеческий фактор» никто не отменял. Поэтому иногда сотрудники предоставляют отчёты «задним числом» или передают информацию о фиктивном местоположении.

Мы рекомендуем запрещать изменение даты и времени на устройствах полевых работников и блокировать на них доступ к функциям и приложениям, с помощью которых пользователь может подменить данные GPS. Также на практике имеет смысл получать данные о местоположении не только с помощью специализированного мобильного софта полевого работника, но и с помощью системы EMM, работе которой на устройстве работник не сможет помешать.

7. Упростить жизнь полевому сотруднику

Для некоторых полевых сотрудников корпоративный смартфон или планшет может стать первым «умным» мобильным устройством в жизни. Если передать смартфон такому сотруднику «как есть», он загрустит и будет пушить техподдержку бесконечными вопросами вида «я куда-то нажал, всё закрылось, что делать?». Панацея в этом случае – режим цифрового «киоска», в котором пользователю доступны приложения, которые нужны ему только для работы.

8. Запретить всё лишнее

Самый простой способ превращения устройства в корпоративное – запретить на нём всё личное.

Но наш опыт свидетельствует о том, что чем круче меры безопасности и чем менее удобны корпоративные сервисы, тем чаще реальная работа ведётся с помощью личных устройств, на которых нет никакой защиты.

9. Настроить беспроводные сети

Любой общий пароль для всех пользователей Wi-Fi в компании – это верный путь к подбору и атакам вида «человек посередине». Поэтому большинство компаний, если и разрешают использование Wi-Fi, то разумно усложняют процедуру аутентификации. Часто доступ к Wi-Fi требуется подтверждать с помощью учётных записей и цифровых сертификатов.

Выпустить и загрузить сертификат на каждое мобильное устройство – задача не из лёгких. В новой версии EMM SafePhone 4.4 мобильные устройства сами формируют запросы на сертификаты и предоставляют своим пользователям доступ к Wi-Fi.

Ещё одна менее типовая задача – это настройка мобильного интернета. Большинство сотовых операторов делает это самостоятельно, но иногда для части регионов или тарифов эта опция недоступна. В этом случае также выручают EMM системы, потому что пользователи самостоятельно с этой задачей не справляются.

10. Инвентаризация мобильных устройств

Обычно с этой задачи начинают корпоративную мобилизацию. В EMM есть вся информация об устройствах, о фактическом использовании корпоративных устройств.

Но важно отметить новый тренд подключения и инвентаризации разного рода носимой электроники – mHealth, очки дополненной реальности и т.д.  При этом заказчики хотят управлять ими из общей консоли

Послесловие

Уважаемые читатели, если в вашей практике возникали задачи, которые не вошли в ТОП-10, поделитесь ими в комментариях. Возможно, коллективный разум подскажет решение.

НИИ СОКБ
Компания

Комментарии 7

    0
    Кто бы раньше мог подумать, что мобильные телефоны будут настолько значимы в наше время)
    0
    Есть одна распространенная задача, не вошедшая в TOP-10. Предположим, что сотрудники работают с большинством ИС только через Web интерфейс, используя мобильные устройства (в т.ч. и личные). Как в таком случае бороться с утечками конфиденциальной информации?
      0

      Предлагаю исходить из угроз.


      Пользователь скачал файл и передал его в мессенджер, личную почту и т.д.


      Варианты защиты:


      1. Не давать скачать файлы с помощью веб-интерфейса. В ряде случаев неудобно, но надёжно;


      2. На Android создавать рабочие профили с браузером. Файлы, скачанные в рабочий профиль, останутся в рабочем профиле. Есть нюанс с тем, что в браузере рабочего профиля можно открыть личную почту и оттуда передать скачанный файл. Это можно обойти:


        • локальной настройкой L7 firewall. Такая опция есть на устройствах Самсунг;
        • установкой VPN внутри рабочего профиля. В результате трафик из рабочего профиля пойдёт в корпоративную сеть с DLP и прочими плюшками;
        • созданием для доступа ИС "приложений" из единственного web-view и размещением их в рабочем профиле. По сути окно браузера с предустановленным URL без возможности перейти куда-то ещё.

      3. На iOS использовать управляемые домены. C их помощью можно сделать так, что файлы, скачанные с корпоративных URL, можно будет передать только в те приложения, которые разрешил админ. Тут есть тонкий момент, что управляемые домены распространяются только на Safari, поэтому остальные браузеры придётся запрещать.



      Пользователь сделал скриншот веб-интерфейса и отправил его в мессенджер и т.п.


      Варианты защиты:


      1. Запретить скриншоты на устройствах. Неудобно, но надёжно, хотя и не спасает от фотографии экрана телефона с другого телефона;
      2. Скриншоты в рабочих профилях на Android сохраняются в рабочем профиле, откуда пользователь их никуда не передаст;
      3. Маркировка конфиденицальных документов таким образом, чтобы по скришоту, фото и т.д. можно было распознать виновника утечки. Тут можно почитать подробнее.

      Если личных устройств де-юре нет, поступают проще — ставят device wide VPN, запрещают скриншоты и другие способы передачи данных с устройства куда-либо ещё (USB, SD и т.д.). В крайнем случае делают киоск для браузера. В этом случае устройство работает почти как тонкий клиент. Но всё это чревато тем, что реальная работа перейдёт в личные сервисы.

      0

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое