Как только появились первые смартфоны, сотрудники компаний стали их использовать для решения части рабочих задач. Люди, которые находятся в командировке или просто в дороге, могут с телефона открыть рабочие файлы и посмотреть интересующую их информацию. Это ставит перед компаниями сразу две задачи:
- Как обеспечить доступы к различным уровням данных своим сотрудникам?
- Как при необходимости защитить корпоративную информацию?
Так появились системы управления мобильностью предприятия, другими словами — Enterprise Mobility Management. Изначально EMM-решения создавались для удобного доступа к корпоративной информации с мобильных устройств, и только потом появилась потребность эту информацию защищать. EMM представляет собой комплексную платформу для управления мобильным устройством, его приложениями, контентом, коммуникациями и обеспечения безопасности системы компании.
Из чего состоит EMM
EMM состоит из нескольких модулей, каждый из которых отвечает за строго определенную часть управления мобильным устройством:
- Mobile Device Management (MDM),
- Mobile Application Management (MAM),
- Mobile Information Management (MIM).
Технология MDM — это одна из составляющих компонентов EMM, которая позволяет управлять настройками мобильных устройств с помощью создания многоуровневых политик: отключение камеры, настройка паролей, дистанционное удаление корпоративных данных в случае потери устройства и т.п.
MAM, в свою очередь, позволяет управлять приложениями на устройстве. Сотрудники отдела безопасности могут ограничивать обмен данными между приложениями, а также удалять приложения и их данные, при этом не затрагивая остальную информацию на устройстве. Стоит сразу оговориться, что возможность управления личными приложениями пользователя в MAM отсутствует.
MIM управляет данными на устройствах. С помощью него пользователь получает защищенный доступ к корпоративным данным со своего мобильного устройства. В случае потери телефона злоумышленник не сможет получить к ним доступ, поскольку он будет заблокирован администратором EMM в компании.
Если сотрудник хочет использовать свое личное мобильное устройство для просмотра корпоративных данных, то в EMM системах доступен сценарий Bring Your Own Device (BYOD). В этом случае на личном смартфоне сотрудника данные разделяются на личные и корпоративные, и все политики безопасности действуют исключительно на последние. Разделение происходит за счет создания виртуального пространства под корпоративные данные.
С точки зрения интеграции в системы заказчика существует несколько моделей. Например, МегаФон, который также предоставляет своим заказчикам EMM-решение МегаФон MDM, поставляет услугу в двух вариантах:
- Облачная модель (SaaS). Этот способ экономит финансы, время и пространство на серверах клиента.
- On-premise. Такая модель актуальна уже для более требовательных клиентов с жесткими внутренними регламентами с точки зрения информационной безопасности. В этом случае сервер управления EMM устанавливается в инфраструктуру заказчика.
Если говорить о конкретных функциях EMM-решений, то их можно разделить на две большие группы: отслеживание и управление. Например, вот что может EMM от МегаФона:
Отслеживать:
- факт совершения звонков и отправки сообщений,
- местоположение,
- версию ОС и аппаратные идентификаторы: IMEI, UDID, S/N,
- подключение к зарядному устройству и уровень заряда аккумулятора,
- наличие SIM-карты, ее идентификаторы и номер,
- состояние роуминга абонента,
- тип подключения к сети: Wi-Fi или мобильный интернет,
- любые действия, совершаемые пользователем: снимки, отправка документов и прочие.
Управлять:
- блокировкой устройства,
- парольными политиками,
- «белым списком» точек доступа Wi-Fi,
- удалением информации на устройстве,
- доступом к камере, Bluetooth, интернет-браузерам,
- запретом вывода устройства из-под управления MDM,
- запретом обновления прошивки ОС устройства,
- запретом удаления приложений пользователем устройства,
- запретом доступа к устройству по USB.
Такие широкие возможности позволяют применять EMM-решения в самых разных отраслях бизнеса практически любого размера.
Где применяется EMM
Спектр распространения решений EMM достаточно широк: от государственных структур и огромных организаций до компаний средних и небольших размеров. В сфере B2G такие решения могут использовать силовые структуры, муниципалитеты, промышленность, органы здравоохранения и образования. Государственным структурам EMM нужен для того, чтобы в руках посторонних не оказались данные, которые содержат гостайну или другую компрометирующую информацию.
Промышленным компаниям EMM нужен для сохранения целостности и непрерывности технологического процесса, и чтобы избежать лишних затрат. EMM дает технологам возможность централизованно контролировать процессы производства с одного мобильного устройства. Для обычного бизнеса безопасность инфраструктуры, сохранность данных, и коммерческая тайна не менее важна, но при этом нужно обеспечить сотрудников вне офиса доступом к внутренним ресурсам. Ритейл-компаниям важно обеспечить менеджеров по продажам доступом к корпоративным сервисам для контроля складов, подписания договоров и сверки прайс-листов.
Например, МегаФон MDM позволяет централизованно настраивать устройства и приложения на них. Он обеспечивает сотрудников предприятия доступом ко всем необходимым сервисам для администрирования работы предприятия. А разъездные сотрудники получают защищенный доступ ко всем необходимым сервисам для работы «в полях».
Как EMM защищает данные
В наше время достаточно остро стоит вопрос о конфиденциальности личных данных. Некоторые люди отождествляют EMM со слежкой за сотрудниками, но в действительности это не так. В решениях некоторых вендоров и правда есть возможность просмотра данных корпоративного (не личного) устройства сотрудника, но это не означает, что сотрудники находятся под пристальным контролем администраторов. Они подключаются только тогда, когда получают уведомление о подозрительных действиях, происходящих на устройстве. И в этом случае администратору будет доступна любая информация из него.
Сценарий Bring Your Own Device, когда на личное устройство сотрудника накатывается виртуальное пространство под EMM, также достаточно распространен. В этом случае администраторы не имеют доступа к личной информации сотрудника, их контроль касается только корпоративных данных. Это означает, что содержимое SMS-сообщений и звонков для IT-специалиста недоступно, он может увидеть только сам факт отправки сообщения или совершения звонка в рабочее время. Также администратор не может читать сообщения мессенджеров и просматривать медиа-файлы из них. Напомним, что все это работает только в том случае, если работник использует свое личное устройство. К корпоративным устройствам с установленным EMM администраторы имеют полный доступ.
Кратко
Первые EMM решения были разработаны с целью упростить «полевым» сотрудникам компаний доступ к нужной им корпоративной информации с мобильных устройств вне офиса, но впоследствии появилась еще одна цель — защитить корпоративную информацию, чтобы избежать ее утечки в общественное пространство, которая может послужить причиной финансовых и репутационных рисков.
Структуру EMM решений составляют 3 основных компонента MDM, MAM и MIM, которые отвечают за управления настройками мобильных устройств, приложений и данных соответственно.
EMM — это универсальные решения, которые подойдут государственным и коммерческим заказчикам независимо от размеров организации. Особенно такие решения пригодятся клиентам, которые хотят ограничивать некоторые функции устройств, настраивать приложения на устройствах для удобной работы «в полях», и централизованно контролировать процессы производства с мобильных устройств.
Наконец, в некоторых EMM системах присутствует возможность полного администрирования корпоративного мобильного устройства, которой пользуются в случае обнаружения подозрительной активности на устройстве для предотвращения «слива» чувствительной информации.
