Контакты
Подписка
МЕНЮ
Контакты
Подписка

В рубрику "Решения корпоративного класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Корпоративная мобильность: управление мобильными сервисами для корпоративных клиентовEnterprise mobility: managing mobile services for corporate clients

Внедрение сервисов корпоративной мобильности требует структурного и стратегического подхода. В статье вы узнаете о том, как успешно внедрить такой сервис, какие подводные камни существуют, рекомендации по выбору решения, почему управляемый сервис востребован в этом направлении.

Implementation of enterprise mobility requires a structural and strategic approach. How to successfully implement the system, how to avoid common pitfalls, recommendations on choosing EMM system and why managed service is the preferred option for the enterprise mobility implementation. The article coveres all of these questions.

Андрей Прошин
Менеджер по развитию бизнеса (Mobility & Security),
Orange Business Services, Russia & CIS
Andrey Proshin
Business development manager (Mobility & Security),
Orange Business Services, Russia & CIS
Ключевые слова:
EMM, безопасность, мобильное рабочее место, управляемый сервис информационной безопасности
Keywords:
security, mobile workplace, Mobility, Enterprise Mobility, MTP

Почему корпоративная мобильность

С момента появления первого мобильного телефона прошло уже более 30 лет. За это время он эволюционировал из громоздкого аппарата для выполнения голосовых вызовов в полноценный карманный компьютер, который содержит в себе фактически всю нашу жизнь, как личную, так и рабочую. Это фотографии и видео, заметки и чаты, библиотека и музыкальная коллекция. Производительности смартфонов достаточно для запуска самых требовательных приложений – видеоигр. А в целом ряде компонентов смартфон даже превосходит персональный компьютер, дает значительно больше возможностей для разработчиков приложений – сенсорный экран, датчик геолокации, акселерометр, хороший объектив, позволяющий снимать качественные фото- и видеоматериалы.

Все перечисленные факторы приводят к тому, что назрела необходимость в использовании смартфона в качестве инструмента для запуска бизнес-приложений. К этому вопросу мы вернемся чуть позже, а пока я хотел бы рассмотреть вопрос такого использования "нового компьютера" для бизнеса.

Общий подход к корпоративной мобильности можно рассмотреть с трех точек зрения: пользователя, отделов IT/ИБ и бизнеса.

Пользователь

Пользователю для продуктивной работы необходимы удобство и комфорт. Это возможность работы отовсюду (из дома, аэропорта, в метро и т.д.), сочетать личные приложения и корпоративные, простота в настройке и привычный интерфейс работы с приложениями и корпоративными IT-сервисами.

IT-отдел

Для IT/ИБ персональный смартфон является огромным источником проблем и несет в себе большие риски, связанные с информационной безопасностью. Фактически это неконтролируемое устройство внутри защищенного периметра. Такой вариант неприемлем – все устройства необходимо контролировать в той или иной степени. Иначе велик риск утечки конфиденциальной информации, остановки бизнес-процессов в результате вирусного заражения или целенаправленной атаки. Также на рынке представлено большое многообразие моделей смартфонов и версий ОС, для стабильной работы бизнес-приложений требуется обеспечить поддержку всего этого парка, что также является нетривиальной и ресурсоемкой задачей для IT-подразделения.

Бизнес

С точки зрения бизнеса, применение персональных устройств приводит к сокращению затрат на организацию рабочего места и увеличению дохода, связанного с повышением производительности работы сотрудников (мотивация и фактическое увеличение продолжительности рабочего дня).

Очевидно, что для успешного внедрения сервисов корпоративной мобильности требуется найти баланс между всеми представленными выше интересами. И достичь этого баланса позволяет сравнительно новый вид IT-систем – Enterprise Mobility Management-системы (EMM) и экосистема смежных продуктов и технологий.

Основной принцип работы EMM-системы

EMM-система позволяет IT-администратору контролировать работу с корпоративными данными на персональных мобильных устройствах. Фактически на смартфоне создается безопасная область (или контейнер), вся работа которой контролируется IT-администратором. Данные внутри контейнера защищены от утечки как при хранении на самом устройстве (Data at Rest), так и при передаче их по каналам связи (Data in Motion). В первом случае используется шифрование данных, двухфакторная аутентификация, DLP-механизмы. Во втором – шифрование при передаче данных через Интернет и механизмы межсетевого экранирования при доступе из Интернета к внутренним IT-сервисам компании. Система также позволяет определить статус ОС на устройстве, то есть была ли она взломана (Jailbreak или получение прав Root).


В случае компрометации устройства или перехода сотрудника в другую компанию IT-администратор имеет возможность удаления всех корпоративных данных на смартфоне.

В целом наличие описанных выше механизмов позволяет говорить об общей безопасности решения и значительном снижении рисков утечки конфиденциальной информации при внедрении сервисов корпоративной мобильности. Однако существует еще несколько моментов, которые необходимо учитывать при внедрении.

Другие каналы утечки информации

Очевидный тренд последних нескольких лет – рост числа вредоносного ПО для мобильных платформ. По отчетам производителей антивирусных средств, за последние несколько лет сотни приложений удаляются из публичных магазинов (Google Play и Apple AppStore) из-за проблем с безопасностью. Для iOS-устройств основные проблемы связаны со слишком агрессивной рекламой, для Google Play – это вредоносное ПО. Оба производителя очень быстро реагируют на подобные инциденты и удаляют такие приложения из публичного каталога.

Одним из примеров трояна для смартфона является Hummer, или HummingBad. По информации производителей решений защиты мобильных устройств, количество инсталляций на конец первой половины 2016 г. достигло 10 млн пользователей. Приложение позволяет злоумышленникам получить доступ к файловой системе и системным вызовам, транслировать рекламу, объединять инфицированные смартфоны в бот-сети и инсталлировать другие приложения на смартфон.

Другим интересным примером является игра Pokemon Go. Игра официально недоступна в России, но огромное количество Web-ресурсов в Интернете предлагает установить это приложение вручную. По факту пользователи устанавливают троян, который получает удаленный доступ к микрофону, видеокамере и данным, которые хранятся и обрабатываются на смартфоне для дальнейшей передачи всей этой информации злоумышленникам.


EMM-системы в одиночку не способны предотвратить подобную утечку информации, так как контролируют только данные внутри контейнера. Поэтому важной составляющей концепции корпоративной мобильности являются Mobile Threat Prevention-системы (MTP). MTP анализируют устанавливаемые приложения на предмет вредоносной активности. В частности, если калькулятор запрашивает доступ к адресной книге или фотокамере, то это, скорее всего, троян. Информация об этом передается в EMM-систему с возможностью дальнейшей блокировки инсталляции приложения или ограничения доступа смартфона к корпоративным ресурсам.

Еще одним каналом утечки информации могут быть незащищенные звонки и чаты. Зачастую для коммуникации между сотрудниками используются SMS, публичные мессенджеры и другие неконтролируемые средства коммуникации. Минимизировать эти риски помогут собственные корпоративные мессенджеры с функциями шифрования звонков/чатов. EMM-система, в свою очередь, позволит централизованно установить и настроить это приложение для комфортной работы пользователей.

То есть EMM-система является необходимым, но недостаточным условием для успешного внедрения корпоративной мобильности в рамках вашей компании – необходимо создать целую экосистему для действительно комплексного решения.

Критерии выбора EMM-системы

На рынке представлено огромное количество производителей EMM-систем. Компаниям необходимо выбрать то решение, которое обеспечит стабильное развитие на ближайшие 5– 10 лет. По нашему опыту, компании часто сталкиваются с необходимостью миграции на новую EMM-систему в связи с техническими ограничениями уже внедренного решения, поэтому к выбору необходимо подходить тщательно и учитывать развитие ваших IT-сервисов.

На мой взгляд, основными критериями для выбора являются:
  • независимость EMM-системы от производителя мобильной ОС или устройства, так как важна поддержка всего многообразия мобильных платформ;
  • тесная работа и интеграция со всеми производителями ОС и устройств, участие в рабочих группах и альянсах; интересным альянсом является также инициатива AppConfig (http://www.appconfig.org/) для унификации централизованной конфигурации мобильных приложений через XM-файлы;
  • возможность интеграции с решениями других компаний как в плане мобильных приложений, так и со стороны серверной инфраструктуры (межсетевые экраны, системы аутентификации, SIEM-системы и т.д.);
  • широкие возможности по обеспечению безопасности как на самом устройстве, так и для контроля трафика при доступе в корпоративную сеть.

Преимущества управляемого сервиса

Вторым важным вопросом при внедрении корпоративной мобильности является выбор между собственной инсталляцией и использованием управляемого/облачного сервиса провайдера.

EMM – это новая IT-система, поэтому, как и в любом проекте, возникает вопрос ее успешного внедрения, для которого требуются аппаратные ресурсы, квалифицированные специалисты для обслуживания, интеграции и поддержки. С точки зрения безопасности платформу необходимо периодически обновлять, не теряя при этом совместимость со всем многообразием смартфонов и приложений.

У каждой компании свой подход и свои особенности, которые зависят от IT-штата и бюджета. Выбор всегда остается за компанией, однако управляемый сервис в большинстве случаев выглядит привлекательнее с точки зрения экономической эффективности.

EMM-система позволяет IT-администратору контролировать работу с корпоративными данными на персональных мобильных устройствах. Фактически на смартфоне создается безопасная область (или контейнер), вся работа которой контролируется IT-администратором. Данные внутри контейнера защищены от утечки как при хранении на самом устройстве, так и при передаче их по каналам связи.

В рамках управляемого сервиса компания получает набор готовых инструментов для оперативного управления своими мобильными устройствами, пользователями, приложениями и политиками безопасности. А все задачи, связанные с отказоустойчивостью, обновлением платформы и тестированием новых версий программного обеспечения, поддержкой и взаимодействием с вендорами, решаются провайдером.

Нельзя забывать, что технологический процесс внедрения новой IT-системы занимает определенный срок, связанный с проектированием, пусконаладкой и вводом информационной системы в эксплуатацию. Управляемый сервис позволяет значительно сократить время внедрения без потери качества.

Заключение

При внедрении сервисов корпоративной мобильности необходимо учитывать риски, связанные с информационной безопасностью.

Существующие программные продукты и технологии позволяют значительно снизить эти риски. Основным решение является EMM-система. Однако одной EMM-системы недостаточно, поэтому необходимо дополнить ее другими продуктами и тесно интегрировать с существующей IT-инфраструктурой. В этом заключается комплексный подход к обеспечению корпоративной мобильностью.

Важно выбрать EMM-решение, которое обеспечит рост и развитие корпоративных IT-сервисов в направлении мобильности на ближайшие 5–10 лет.

Облачная модель развертывания решения позволит значительно сократить сроки внедрения, перевести капитальные затраты в операционные и предоставить качественный сервис для пользователей.

Литература

  1. Прошин А. Управляемые мобильные сервисы: наше новое «завтра». Orange Business Services. [online] Доступ через: http://www.orange-business.com/ru/press/upravlyaemye-mobilnye-servisy-nashe-novoe-zavtra.
  2. James Plouffe. Mobile Threats: Every Tool Is a Weapon If You Hold It Right.
  3. December 03, 2015. MobileIron. [online] Доступ через: https://www.mobileiron.com/en/smartwork-blog/mobile-threats-every-tool-weapon-if-you-hold-it-right.
  4. Mobile Threat Report What’s on the Horizon for 2016. [online] Доступ через: http://www.mcafee.com/us/reso-urces/reports/rp-mobile-threat-report-2016.pdf.
  5. From HummingBad to Worse. Check Point Software Technologies Ltd. 2016. [online] Доступ через: https://blog.checkpoint.com/wp-content/uploads/2016/07/HummingBad-Research-report_FINAL-62916.pdf.

Опубликовано: Журнал "Технологии и средства связи" #4, 2016
Посещений: 3909

Статьи по теме

  Автор

Андрей Прошин

Андрей Прошин

Менеджер по развитию бизнеса (Mobility & Security), Orange Business Services, Russia & CIS

Всего статей:  1

В рубрику "Решения корпоративного класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций