Необходимость управления корпоративными мобильными устройствами. Аргументы и факты для ИТ-директора
7 854 480 400 наших современников не располагают сегодня более надёжным критерием истины, чем практика. Поэтому для аргументированного принятия решения о необходимости управления корпоративными устройствами разберем ТОП-10 кейсов использования EMM SafePhone в 2020 году нашими заказчиками.
1. Установка корпоративных приложений
Большинство пользователей могут без проблем самостоятельно скачать и установить на личный смартфон приложения из App Store, Google Play и других источников. Но если мы говорим о корпоративных пользователях, то эту задачу, как правило, решают системные администраторы. С ростом количества корпоративных приложений, которые могут обновляться по несколько раз в день, задача резко усложняется.
Ещё одна типовая «боль» заказчиков – это удалённая конфигурация приложений. Для этого уже давно разработан специализированный инструмент managed configuration. Несмотря на это, разработчики продолжают экспериментировать и придумывать свои собственные механизмы настройки приложений. Так, один создает новую ХХ мегабайтную сборку только для изменения URL, а другой хранит конфигурацию приложения в виде файлов в памяти устройства, куда администратор подключается по SSH и меняет содержимое вручную.
2. Найти/удалить данные на устройстве
Различные сервисы, такие как Find my iPhone, позволяют определить местоположение личного устройства, удалить фотографии, учетные записи и т.д. В корпоративном мире эти функции выполняют системы EMM. Благодаря им возможно удалённо заблокировать устройство, обнаружить его с помощью GPS или уничтожить на нём все данные без возможности восстановления.
Здесь вся сложность заключается лишь в том, что пользователь не может оперативно сообщить о пропаже телефонного аппарата, потому что пропало единственное средство связи. Поэтому существует риск того, что команда на удаление информации будет отдана после того, как данные будут скачаны. Очень важно при первых признаках взлома или кражи блокировать доступ к устройству в автоматическом режиме. Обычно при краже смартфона злоумышленники сразу избавляются от сим-карты, чтобы было труднее обнаружить устройство. Это событие должно быть триггером для блокировки.
3. Применить корпоративную политику ИБ
В большинстве крупных компаний действует общая политика информационной безопасности, регламентирующая пароли, доступные приложения, возможность использования флэшек и т.д. Как правило, для смартфонов и планшетов не разрабатывают новую политику, а адаптируют имеющуюся. Без изменений в политике ИБ не обойтись, потому что Safari в списке разрешённых веб-браузеров скорее всего отсутствует.
4. Запретить обновление iOS или Android
Мы подробно разбирали эту тему в одной из наших публикаций. Основной вывод: если корпоративный софт еще не успели адаптировать для работы с новой версией мобильной ОС, то ее обновление лучше запретить или хотя бы отложить.
5. Создать корпоративный контейнер
Контейнер на мобильном устройстве представляет собой выделенную область памяти, откуда пользователь не может «вынести» корпоративные данные без разрешения администратора. Как правило, контейнеры нужны при использовании корпоративных мобильных устройств в личных целях или при удалённом доступе к корпоративным данным с личных устройств.
Нам известны два способа контейнеризации:
- Разработка приложений, которые будут самостоятельно защищать свои данные;
- Использование встроенных возможностей мобильных ОС.
В зависимости от задач наши клиенты могут использовать один из них, но нужно отметить, что второй подход более универсален. К примеру, при использовании ОС Android мы рекомендуем использовать в качестве контейнеров «рабочие профили». В них можно добавить как корпоративный софт собственной разработки, так и встроенные приложения, а также приложения из публичных магазинов. Благодаря этому становится возможен доступ к почте с помощью привычного встроенного почтового клиента, а не менее юзабельного защищённого аналога. При этом пользователь не сможет несанкционированно передать файл из корпоративной почты в личный мессенджер.
6. Контроль действий пользователя
Компании покупают полевым работникам мобильные устройства, чтобы они лучше работали и своевременно отчитывались о выполнении задач. Но нужно учитывать «человеческий фактор». Иногда полевые сотрудники отчитываются «задним числом» о том, чего не делали, или используют софт для подмены местоположения, чтобы «посещать» контролируемые объекты, не выходя из дома.
В этом случае рекомендуется запретить изменение даты и времени на устройствах, а также блокировать доступ к функциям и приложениям, разрешающим подменить данные GPS. Системы EMM позволяют усилить контроль за местоположением полевых работников так, что сотрудник не сможет помешать геолокации мобильного устройства.
7. Установить режим «киоска»
Корпоративный смартфон или планшет может стать первым некнопочным мобильным устройством в жизни некоторых полевых сотрудников. Если такому сотруднику дать смартфон с полным функционалом, то он может запутаться и начать «дергать» техподдержку вместо того, чтобы работать. Спасением в данном случае будет режим цифрового «киоска», который ограничит сотруднику доступ только к тем приложениям, которые нужны для работы.
8. Запретить всё лишнее
Простейший способ превращения устройства в корпоративное – запретить его использование для личных целей.
Но лучше так не делать, поскольку чем жестче меры безопасности и чем менее удобны корпоративные сервисы, тем чаще сотрудники для работы используют личные устройства, которые никак не защищены.
9. Настроить беспроводные сети
Единый пароль к Wi-Fi сети для всех корпоративных пользователей наиболее уязвим к подбору и атакам вида «человек посередине». Поэтому большинство компаний намерено усложняют процедуру аутентификации, требуя подтверждения подлинности учётных записей с помощью персональных паролей и цифровых сертификатов.
Выпускать и загружать сертификаты на каждое мобильное устройство долго и неудобно. В новой версии EMM SafePhone 4.4 реализован механизм, когда мобильные устройства сами запрашивают сертификаты и с их помощью настраивают доступ к Wi-Fi.
Другой нестандартной задачей является настройка мобильного интернета. Почти все сотовые операторы сами распространяют нужные настройки, но такая опция может быть недоступна для части регионов или тарифов. EMM системы помогут и в этом случае, так как пользователи сами с этой задачей обычно не справляются.
10. Инвентаризация мобильных устройств
Как правило, инвентаризация — это первый этап корпоративной мобилизации. В системах EMM содержится вся информация об устройствах и их фактическом использовании.
Также нужно иметь в виду, что все более популярным становится тренд по подключению к EMM и инвентаризации разного рода носимой электроники, типа: mHealth, AR/VR и т.д. Мы уже сегодня наблюдаем растущий интерес заказчиков к возможностям управления парком таких устройств из общей консоли EMM.