Удобно, безопасно, недорого. Управление мобильными устройствами на предприятии

АЛЕКСЕЙ ВАТУТИН, MCSE, MCITP, ICASA. Системный инженер компании «КРОК» и автор статей, посвященных управлению мобильными устройствами, на портале ITband

Удобно, безопасно, недорого
Управление мобильными устройствами на предприятии

Мобильные устройства все чаще становятся заменой обычных ПК вне офиса, но можно ли управлять ими наравне с ПК, сохраняя удобство использования?

Количество всевозможных мобильных устройств растет день ото дня. По мнению аналитиков SmartMarketing [1], в 2008 году в России было продано более 2,7 млн смартфонов, коммуникаторов, КПК и интернет-планшетов. При этом 35,79% составили так называемые WID-устройства, которые имеют крупный и/или сенсорный экран, а также алфавитную клавиатуру. Остальной процент составили смартфоны, т.е. устройства с несенсорным экраном и цифровой клавиатурой (преимущественно это устройства на базе платформы Symbian, но также и некоторые модели с Linux). Согласно исследованиям компании IDC (Worldwide Mobile Worker Population, IDC), в 2009 году более 23% всех работающих в мире можно было отнести к категории мобильных пользователей, которые периодически либо постоянно работают вне офиса, при этом доля сотрудников, работающих удаленно, из дома, не превышает 5% (см. рисунок).

Рост продаж мобильных устройств в России, исследования SmartMarketing 2003-2008

Сейчас уже ни у кого не вызывает удивления возможность получения корпоративной почты на мобильный телефон либо использование ресурсов корпоративной сети с коммуникатора, но зачастую подобные возможности обеспечиваются путем индивидуальной настройки каждого устройства. В качестве последствий такого подхода можно выделить проблемы, указанные в таблице.

Список проблем при использовании мобильных устройств

При этом доступ к ресурсам внутренней сети нередко сопровождается грубыми нарушениями правил информационной безопасности и ставит под удар всю деятельность компании. В условиях существующей жесткой конкуренции любая утечка информации негативно отражается на деловом имидже компании и способна повлечь за собой крупные финансовые потери.

Еще одной причиной пересмотра подхода к управлению мобильными устройствами может стать стремление к сокращению затрат в данной области.

Как нужно управлять мобильными устройствами?

Как же можно организовать работу сотрудников с использованием современных средств коммуникации, чтобы это было удобно, безопасно и недорого? Предлагаю рассмотреть концепцию управления мобильными устройствами (Mobile Device Management, MDM). Если коротко, то данный подход предполагает внедрение некоего ПО, при помощи которого в компании организуется процесс по инициализации, использованию и поддержке мобильных устройств. Однако наличие данного ПО не отменяет необходимости четкого понимания, для каких целей производится внедрение и что принимается в качестве конечного результата.

Управление мобильными устройствами – это действия, осуществляемые при помощи вспомогательного ПО, позволяющие доставлять приложения и данные на мобильные устройства (ноутбуки, мобильные телефоны, КПК и т.д.), а также выполнять их настройку. Основной целью этих действий является достижение оптимального состояния между безопасностью и удобством использования данных устройств при минимизации затрат на обслуживание и времени простоя.

Обычно в качестве цели при внедрении службы управления мобильными устройствами обозначается достижение следующих результатов:

Обеспечение безопасности при передаче информации и при ее хранении на устройстве – обязательное использование пароля либо PIN-кода на устройстве, шифрование содержимого устройства и карт памяти, шифрование потока с данными при работе с корпоративной сетью, использование цифровых сертификатов.

Упрощение и удешевление процесса ввода устройства в эксплуатацию – автоматизация рутинных действий, использование единообразной конфигурации.

Упрощение и удешевление процесса поддержки пользователей и устройств – проведение инвентаризации, удаленное внесение изменений в конфигурацию устройства, возможность удаленной очистки устройства в случае его утери, делегирование пользователю ряда действий – восстановление пароля, блокировка устройства.

Внедрение ограничивающих политик – запрет на изменение сетевых настроек, на установку ПО, на подключение к определенным узлам сети, на использование периферии – камер, Bluetooth- и Wi-Fi-адаптеров.

Как это отражается на работе сотрудников после внедрения? В качестве ответа можно рассмотреть некий абстрактный пример, когда сотруднику Иванову, работающему в компании «Компания», выдается корпоративный коммуникатор, при помощи которого г-н Иванов выполняет следующие задачи:

• получение и отправка корпоративной почты с использованием адресной книги предприятия, синхронизация календаря, контактов и запланированных задач;
• общение с коллегами при помощи службы мгновенного обмена сообщениями;
• использование корпоративного портала;
• использование корпоративного бизнес-приложения.

 При этом системный администратор компании должен быть уверен в том, что любая информация, находящаяся в устройстве, не станет достоянием конкурентов даже в случае его утери. Также администратор должен иметь возможность выполнения следующих действий вне зависимости от места нахождения устройства:

• производить обновление установленного ПО и установку нового;
• изменять конфигурацию устройства;
• заблокировать аппарат либо удалить данные на устройстве и вернуть его в исходные заводские настройки в случае необходимости.

До внедрения службы управления мобильными устройствами схема введения устройства в эксплуатацию и его последующая поддержка выглядят следующим образом:

Системный администратор, получив устройство со склада, тратит от 2 до 4 часов на подготовку устройства для пользователя – конфигурирование аппарата, установка и настройка необходимого ПО и т.д. После этого пользователь получает устройство и начинает его эксплуатацию. В этот период г-н Иванов может беспрепятственно устанавливать на устройство любые программы. В случае возникновения каких-либо проблем ему приходится возвращать аппарат системному администратору для проведения полной диагностики. Также пользователю приходится посещать сотрудника ИТ-службы для обновления ПО и при необходимости внесения изменений в конфигурацию аппарата. В случае утери устройства любая информация, находящаяся на нем (например, электронная почта и локальные копии корпоративных отчетов), может попасть в руки конкурентов.

Теперь предположим, что в компании «Компания» работают 200 сотрудников, которым, как и г-ну Иванову, необходим коммуникатор для выполнения служебных обязанностей. Становится ясно, что большая часть действий, выполняемых системным администратором, является повторяемой и может быть автоматизирована. Уровень безопасности информации, обеспечиваемый при таком подходе, также является очень низким, а удобство для конечного пользователя сомнительным.

Итак, г-н Иванов, устав от необходимости постоянного посещения системного администратора, покидает компанию. Однако по прошествии некоторого времени он возвращается назад и обнаруживает, что в компании изменился подход к работе с мобильными устройствами. Теперь «Компания» использует ПО для управления мобильными устройствами, и схема инициализации и поддержки устройства выглядит так:

Системный администратор, получив устройство со склада, затрачивает от 5 до 15 минут для установки на устройство клиентской части ПО либо для включения устройства в домен компании и передачу устройства пользователю. Сразу после установки клиентской части устройство, используя один из возможных сценариев подключения (GPRS, EDGE, 3G, Wi-Fi), связывается с сервером MDM и получает свои настройки в зависимости от использованного шаблона либо от подразделения, в которое оно входит. Также происходят автоматическая установка и настройка ПО. Во избежание потенциальных проблем администратор может использовать запрет на установку и удаление ПО пользователем, а также задействовать механизмы шифрования (в т.ч. памяти устройства и карт памяти) и аутентификации, способные обеспечить должный уровень безопасности хранимой на устройстве информации. При необходимости внесения изменений в конфигурацию устройства администратору достаточно внести изменения в шаблон, используемый данным устройством, либо изменить/добавить групповую политику, а обновление и установка ПО не являются поводом для того, чтобы тревожить пользователя. В случае утери устройства администратор может выполнить его удаленную очистку (Remote Wipe).

Таким образом, вернувшись, г-н Иванов почувствовал, что внедрение службы управления мобильными устройствами способно облегчить пользователям жизнь. А поскольку г-н Иванов вернулся в компанию с повышением, став руководителем одного из подразделений, он может наблюдать общее снижение количества времени, затрачиваемого его сотрудниками на инциденты с мобильными устройствами. При этом если бы г-н Иванов был руководителем ИТ-подразделения, он бы знал, что материальные затраты, связанные с разрешением подобных инцидентов, также резко сократились.

Такой вот пример…

Что использовать?

Так какое ПО можно использовать для управления мобильными устройствами? На рынке представлено достаточно большое количество всевозможных разработок, но наиболее известными из них являются следующие:

• BlackBerry от Research In Motion (http://www.rim.com) – одна из наиболее известных разработок в данной области. Широкую известность продукту принесло использование закрытого алгоритма шифрования, что гарантирует высокий уровень защиты информации. Но из этого плюса вытекают два минуса – не во всех странах данный продукт может быть внедрен (из-за разногласий с местным законодательством) и жесткая привязка к типу используемых устройств.
• Afaria от Sybase (http://www.sybase.com) – ПО от известного разработчика, позволяющее управлять устройствами, работающими на практически всех известных платформах. В качестве плюсов можно отметить модульную компоновку ПО и возможность использования OMA DM (в качестве отдельного модуля).
• Продукты из пакета Good for Enterprise от Good Technology (http://www.good.com).
• MobiControl от SOTI (http://www.soti.net).
• Exchange Server от Microsoft (http://www.microsoft.com) – предоставляет ряд возможностей по управлению устройствами на платформах Windows Mobile, Symbian с пакетом Mail for Exchange, iPhoneOS при помощи политик ActiveSync. В версии Exchange 2003 есть возможность использования политик паролей для устройств, шифрования данных, получаемых от Exchange Server, использования S/MIME и удаленной очистки устройства. В Exchange Server 2007 добавились следующие функции – восстановление паролей, управление периферией устройства, шифрование памяти и карты памяти устройства, управление приложениями и т.д.
• System Center Mobile Device Manager от Microsoft (http://www.microsoft.com) – легко интегрируется в существующую среду на базе продуктов от Microsoft, обеспечивает высокую степень защиты, в том числе благодаря использованию т.н. Mobile VPN. Из минусов можно отметить требование к клиентам – только Windows Mobile версии не ниже 6.1, чувствительность к «прокачанным» прошивкам, а также трудности использования с некоторыми мобильными операторами в России по техническим причинам.

В любом случае выбор того или иного ПО должен определяться поставленными целями.

***

В этой статье я попробовал коротко рассказать о том, для чего применяется служба управления мобильными устройствами на предприятии. Также хочу отметить, что, несмотря на традиционное техническое отставание нашей страны от мировых тенденций, интерес к данному направлению в России становится все больше, и, возможно, уже подходит время задуматься о том, как это может быть реализовано в вашей компании.

1. 1. http://www.smartmarketing.ru/node/4 – исследование «Российский рынок WID и смартфонов за 2008 г.», SmartMarketing.