Как защищать данные на мобильных сотрудников

    Мобильный офис

    Мобильный офис — крутая штука. Можно получать доступ к рабочим приложениями и документам с планшета или смартфона. Тем, кто работает в дороге или в командировках это экономит время, кто часто «в поле» — просто необходимо, а тем, кто в офисе — более чем удобно.

    Правда, с точки зрения безопасников, каждый смартфон или планшет — это дыра в ИБ размером с карьерный самосвал. Поэтому чтобы всё это заработало, нужно выстроить процесс управления мобильными устройствами сотрудников. Как личных, так и закрепленных на корпоративном уровне. И решения для этого есть, в том числе и «из коробки».

    После того как мы говорим, что можно, например, задать политику отключения камеры смартфона на территории охраняемой зоны, многие начинают просто лучиться счастьем.

    Как всё начинается?


    Чаще всего у заказчика есть некие базовые вещи типа разделения корпоративной почты и личной, свой сервер и сертификаты, например. Иногда встречаются свои приложения типа просмотра камер на объектах (для сотрудников) или защищенный браузер с доступом к внутренней сети предприятия вне зависимости от месторасположения устройства и так далее. Но все это разрозненно и не объединено в систему. На Западе MDM-решения (Mobile Device Management) уже давно прорабатываются и хорошо всем знакомы, а вот у нас полных внедрений хорошо если несколько десятков по всей стране. И мало кто понимает точно, что нужно: самый частый случай, это когда безопасники говорят «надо», а остальные пытаются подобрать решение, которое будет ещё и удобным.

    Что вообще можно делать?


    MDM — Mobile Device Management — это управление, непосредственно, самим устройством, то есть параметрами железа. Здесь можно задавать настройки Wi-Fi, запрещать использование камеры, получать данные о месторасположении устройства, настраивать VPN, доставлять сертификаты и так далее. Сотрудник поменял железку — ему накатили те же самые настройки, и он довольный продолжает работать, т.к. избавлен от частого посещения «логова сисадминов», для того чтобы заставить новую железку работать.

    Есть софт — МАМ — Mobile Application Management. Это уже следющий уровень, т.к. настройки задаются уже на уровне приложений (подразумевается — корпоративных). Здесь, например, можно открыть корпоративную почту, скопировать текст. А вставить его в некорпоративное приложение уже нельзя. И вложение можно открыть только в авторизованном для этого приложении. И скриншоты делать нельзя. Чистых MDM в практике уже почти нет, обязательно есть хотя бы частичный функционал MAM.

    Для того, чтобы реализовать управление корпоративными приложениями делаются контейнеры для отделения корпоративных данных от пользовательских. Например, чтобы при увольнении просто взять и сделать корпоративную часть замороженной отзывом сертификата. Главный вопрос — будет ли медиаплатформа, которая выступит своего рода шлюзом. Если нужно просто управление — решений десятки. Если нужна система, которая обеспечит обмен данными между гетерогенным железом и ОС — нужна единая платформа, которая будет готовить данные и каналы для каждого конкретного устройства.

    Всё вместе — это EMM-система (Enterprise Mobility Management). Таких на российском рынке всего несколько.

    Как это внедряется?


    Чаще всего — от безопасности. Давайте процитирую с последнего проекта для конструкторского бюро «Авиадвигатель» (они делают движки для самолетов, газотурбинные установки для энергетики и газоперекачки, поставляет газотурбинные электростанции). В общем, большой важный объект. В штате 2 500 человек. Стоимость информации таких организаций выше, чем расходы на её защиту. Задача стояла довольно простая — акцент на том, чтобы сотрудники не вынесли данные. Решение минималистичное, без медиаплатформы или сложных политик. Просто управление и контроль. И удалённый вайп. Плюс VPN, удалённые обновления, защита данных в открытых каналах связи. Вот:
    «Специалисты КРОК использовали комплексное решение для реализации политики безопасности в области BYOD в нашем ОАО «Авиадвигатель»: MDM-систему, которая позволяет централизованно управлять мобильными устройствами, и подсистему SSL VPN компании Check Point — предоставляет защищенный доступ к внутренним информационным ресурсам предприятия.

    «Благодаря интеграции двух решений в «Авиадвигателе» разграничены права доступа пользователей к различным информационным ресурсам предприятия и обеспечена конфиденциальность данных при их передаче по открытым каналам связи, — говорит Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies. — Важно, что в результате внедрения системы удалось обеспечить сохранность информации на мобильных устройствах и внедрить централизованное распространение программного обеспечения и обновлений».

    Если бы было нужно что-то более сложное, стоило бы смотреть в сторону XenMobile от Citrix. Это полное EMM-решение — удаленный контроль за устройствами, и геопозиционирование, настройка политик доступа при перемещении сотрудника из одного филиала в другой, возможность изолировать приложения друг от друга на логическом уровне, автоконфигураторы и так далее. Мы сейчас внедряем эту штуку на другом объекте, но пока на стадии тестов на отделе в 250 человек.

    И еще один вопрос, который может быть интересен – как корпоративные приложения оказываются на мобильных и планшетах сотрудников? Все просто – они берут их из сторов, как привыкли. Только не имея корпоративной учетной записи доступа к ним никак не получить.

    Вот так приложения выглядят в корпоративном сторе:

    Приложения

    А это панель запуска корпоративных приложений для их агрегации в одном месте:

    Корпоративные приложения

    При этом, например, нельзя принудительно поставить приложение пользователю, он в любом случае должен нажать кнопку «ОК». Но все идет к уменьшению зависимости от решения пользователя. К примеру, нововведения для управления устройствами и контроля над данными в корпоративном сегменте в IOS 7 — уже появились политики разграничения доступа к данным внутри корпоративных и личных приложений, защищенные туннели до сети предприятия на уровне приложения, а не на уровне всего устройства. Вендоры, выпускающие EMM системы, активно поддерживают такого рода инициативы и довольно быстро интегрируют новый функционал в свои решения, зачастую расширяя его.

    Самые частые задачи


    Если не касаться безопасности — то это документы, BPM и PPM. Приложение позволяет вместе работать над документами, отправлять их по цепочке, подписывать прямо с телефона.

    В документообороте особенно красиво смотрятся пуш-уведомления про документы, которые нужно подписать, или платежи, которые нужно согласовать. Скорость работы бухгалтерии увеличивается местами на порядок.

    Форма
    Вот, например, скриншот формы заказа безналичных платежей, которая приходит ответственным за утверждение у нас в КРОК. Видно, что подтвердить или отклонить заявку можно в один клик.

    Можно ставить задачи удалённо. Популярны прикладные версии PPM (Project Portfolio Management) — менеджеры ставят задачи вне офиса, а исполнители отчитываются удалённо. Ещё ситуация — страховые, которые получают доступ к базам знаний прямо с планшетов при разговоре с конкретным клиентом. Логисты тоже очень любят быть в курсе поставок онлайн, им тоже важно делать правильные корпоративные приложения, а, значит, возникает потребность в MDM.

    Иногда используются системы ТОИР (Техническое обслуживание и ремонт), и, например, при обходе оборудования вся важная информация будет сразу занесена в систему. Здесь, правда, есть нюанс — нужны специальные мобильные устройства, обычный iPad в цеху проживёт дня два-три, не больше.

    Особенности менталитета


    На Западе заказчики стремятся максимально использовать встроенные возможности системы. У нас люди просто не готовы мириться с тем, что им нужно, серьезным образом подстраивать бизнес под платформу, и переделывают именно её. Результат — готовый мобильный клиент к CRM, например, уже не подходит, его приходится допиливать. Вторая прекрасная особенность — иногда на объекте проще отбирать телефоны на входе, чем ставить политики безопасности. Но это уже вопрос не к нам.

    Всё. Готов отвечать на ваши вопросы. Если вдруг нужно что-то в личке типа оценки цен под конкретный проект — пишите на KShogenov@croc.ru.
    Метки:
    КРОК 222,34
    №1 по ИТ-услугам в России
    Поделиться публикацией
    Комментарии 25
    • +1
      Первый вопрос после прочтения заголовка был «Кто такие мобильные сотрудники, и зачем защищать данные на них?»
      • 0
        Может вы не там ошибку видите? Может надо читать «зачищать данные»?
        • +1
          Мобильных — существительное, а не прилагательное. Мобильных — смартфонах или планшетах.
          • +1
            Может быть лучше будет считать, что Мобильных — это фамилия?
          • 0
            Как защищать данные на мобильных _устройствах_ сотрудников

            М.б.
          • 0
            Интересно почитать про сравнение основных мобильных платформ в плане поддержки MDM и MAM. Вы писали про iOS. Как с этим в Android? Windows Phone?

            Ещё интересно — можно ли препятствовать JailBreak-у. Пользователь с JailBreak имеет доступ к файловой системе и т.д., ему тут сложно что-либо запретить, как мне кажется. Можно ли удаленно детектировать Jailbreak и блокировать такое устройство с оповещением администратора?
            • 0
              Функционал MAM, как и MDM для платформ iOS и Android реализован в полной мере. В плане Windows Phone (7 и 8) ситуация немного хуже — есть только MDM, но я уверен, что с ростом популярности этой платформы функционал будет расширяться. В любом случае, для всех платформ необходимо установить агент управления, который у каждого производителя свой и находится в общем доступе в публичном магазине приложений. Для упомянутых выше платформ есть поддержка определения root и jailbreak «из коробки». Причем большинство политик по умолчанию настроены таким образом, чтобы ограничивать либо вовсе отказывать в доступе к корпоративным данным и ресурсам в таких случаях.
              • –1
                Кроме платформ, которые Хамзет упомянул в своей статье, есть, на мой взгляд, более гибкое и функциональное решение MAM от компании F5 Networks — почитать. и пара видео — 1, 2 для ознакомления.
                • 0
                  МАМ — это, конечно, хорошо! Но это, все-таки, только одна грань проблемы. Некоторые вендоры стараются завести партнерские отношения(например, как Mocana и SAP Afaria) и предоставлять цельное ЕММ решение. Я думаю, не стоит рассказывать про преимущества систем, все компоненты которой находятся в одних руках. Здесь, как минимум, меньше проблем с внутренним взаимодействием компонент. Решений на данный момент становится все больше, но зарекомендовавших себя на этом поле производителей можно пересчитать на пальцах одной руки.
            • –3
              Для начала отправили бы некоторых сотрудников на курсы русского…
              • –1
                На первый взгляд все очень удобно и красиво реализовано именно у Apple.
                • 0
                  По сути, для iOS и Android функционал очень схож(почти идентичен), по крайней мере, производители всеми силами стараются добиться такого результата. Apple — хорошо, но Android далеко не стоит сбрасывать со счетов! Другое дело, что Apple сами начали предпринимать шаги в эту сторону — это уже о многом говорит.
                • 0
                  Откройте для себя SCCM
                  • +2
                    Я понимаю, что это такой тонкий троллинг… Но, тем не менее, отвечу: продукты линейки SC можно очень утрированно воспринимать, как MDM системы, но, простите, MAMом здесь и не пахнет. Да и основная цель данных продуктов — это серверы и рабочие станции, мы же говорим о смартфонах и планшетных компьютерах(где доля х86 на данный момент мизерная).
                  • 0
                    >Готов отвечать на ваши вопросы

                    У меня такой вопрос: как можно было в статье про MDM не упомянуть BlackBerry Enterprise Service — «законодателя мод» в этой области?
                    • 0
                      Очень просто! BES безумно продвинутая для своего времени(да и сейчас может многим фору дать) система, но, к сожалению, компания мобильный бизнес развивать уже не будет(почитайте новости по теме). Да и в России данный вопрос никогда не был особо актуальным. В любом случае, все ведущие производители EMM систем интегрируют работу с BES в свои продукты. На текущий момент инициатива EMM — это попытка сделать из личных устройств пользователя подобие корпоративных(или совсем корпоративных), т.е. здесь мы говорим о консьюмерских устройствах, в то время как BB это чистый энтерпрайз.
                      • 0
                        >но, к сожалению, компания мобильный бизнес развивать уже не будет

                        Тот «мобильный бизнес», который компания «не будет развивать» — это консьюмерские мобильные телефоны. А вот BES как раз никуда не денется.

                        >На текущий момент инициатива EMM — это попытка сделать из личных устройств пользователя подобие корпоративных

                        Именно это и решает BES 10. Вы бы хоть по диагонали пробежали текст по ссылке, что ли:
                        BlackBerry® Enterprise Service 10, the unified device management and security platform for corporate and personal-owned BlackBerry OS, BlackBerry® 10, iOS† and Android™ devices.

                        It’s time for real multi-platform Enterprise Mobility Management.


                        >здесь мы говорим о консьюмерских устройствах, в то время как BB это чистый энтерпрайз.

                        Эм… Только и остается сказать «почитайте новости по теме».
                        • 0
                          Да, сорри, не уследил за этой инфой. В любом случае, в России мало кто задается вопросом внедрения данной системы, как минимум, так сложилось исторически, что их к нам долго не пускали. Хотя, если даже судить по гартнеру, BB в плане управления устройствами находится далеко позади(левая нижняя четверть). Да, у них есть узнаваемый бренд, но продвинут он за счет связки BES + BB device, а отдельно эти продукты уже не так интересны(по крайней мере, пока). Поэтому в данной статье его и не рассматривали. Спасибо, что указали на ошибку — почитаю.
                          • 0
                            >Хотя, если даже судить по гартнеру, BB в плане управления устройствами находится далеко позади(левая нижняя четверть)

                            Уже в начале года, спустя каких-то пару месяцев после релиза, BES 10 начали использовать 60% из Top 500 Fortune Companies.

                            >Да, у них есть узнаваемый бренд, но продвинут он за счет связки BES + BB device, а отдельно эти продукты уже не так интересны(по крайней мере, пока).

                            Как уже было сказано, BES 10 отлично работает и с iOS/Android девайсами, так что ваше утверждение неверно.

                            Так что вы таки почитайте, почитайте.
                            • 0
                              Вы так уверенно утверждаете, что BES отлично работает с iOS и Android. Складывается впечатление, что вы с ним уже работали и сразу хочется следом задать вопрос: и как он вам в целом? А в сравнении с продуктами лидирующей тройки(уж простите, что второй раз ссылаюсь) по тому же гартнеру? Лично я пока еще не сталкивался с внедрением данного продукта в России(слышал, что где-то внедряли, но в сам процесс вовлечен не был). Давайте, все таки, отталкиваться от того, что обсуждаем мы продукцию имеющую нормальный доступ на наш рынок. Сколько из этих Top 500 компаний находится у нас в стране? А сколько из этих 60% именно купили BES 10, а не апгрейдили ранее купленную инфраструктуру? В данном случае, я склонен верить, что выбор этого продукта указанными вами компаниями скорее политическое решение, нежели техническое. И, опять же, у BB нет функционала MAM, так что это не полноценное ЕММ решение, это чистый MDM.
                  • 0
                    Готов отвечать на ваши вопросы

                    Здравствуйте, я не очень в теме, поэтому может спрошу какие-то очевидные вещи:

                    1) Вы говорите о решениях «большой тройки», а это кто? Есть ли вообще какой-то рейтинг или хотя бы список решений в этой сфере?
                    2) Интересны какие именно решения популярны в России, а какие на западе, подскажите?
                    3) Мне попадались несколько стартапов в этой сфере, как вы относитесь к шансам таких компаний? Или здесь выживают только зубры?
                    4) Отдельный вопрос: как вы относитесь к решениям компании www.soti.net?
                    5) Правильно ли я понял, что Apple предоставляет подобным корпоративным решениям отдельные возможности для приложений, возможно даже отдельные API? Есть ли где-то информация об этом?
                    6) Может быть есть какое-то централизованное место где обсуждаются именно технические моменты реализации подобных решений?
                    • 0
                      Приветствую!
                      1) Например mobilityjourney.com/2013/05/30/2013-mdm-gartner-magic-quadrant-mobile0device-management/
                      2) В основном, тенденции совпадают. Исключения составляют нишевые продукты типа того же BlackBerry. Хотя AirWatch у нас в стране так же не очень популярен. Основные игроки: Citrix, MobileIron, SAP и Good Technology.
                      3) Тот же MobileIron это проект выросший из стартапа. Но таких примеров очень мало. Более мелкие вендоры так же могут иметь свою целевую аудиторию, но с каждым годом это становится труднее. Наша компания готова работать с любым поставщиком предоставляющим действительно полное и законченное решение, которое может удовлетворить потребности потенциального заказчика.
                      4) Лично я с продукцией данной компании не сталкивался, поэтому, извините, ничего о ней сказать не могу.
                      5) Например www.avaya.com/blogs/archives/2013/09/the-nine-killer-enterprise-features-from-ios-7.html
                      6) У каждой компании, продукция которой получила более или менее широкое распространение, есть сообщества и специализированные форумы, где обсуждаются конкретные технические решения. Так же есть ряд ресурсов, которые предлагают аналитическую информацию и обзоры продуктов в сфере MDM. Дабы не прослыть пиарщиком, список вам приводить не буду, а буду уповать на ваши способности использования интернет поисковиков.

                      Если интересует более конкретная информация по тому или иному вендору, то пишите на почту, она указана в конце статьи.
                      ЗЫ Классный никнейм=)

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое