Зачем нужен EMM?
Как только появились первые смартфоны, сотрудники компаний стали их использовать для решения части рабочих задач. Люди, которые находятся в командировке или просто в дороге, могли с телефона открыть рабочие файлы и посмотреть интересующую их информацию. Для компаний это создало сразу несколько проблем:
- Как обеспечить доступы к различным уровням данных своим сотрудникам?
- Как при необходимости защитить корпоративную информацию?
Так появились системы управления мобильностью предприятия, другими словами — Enterprise Mobility Management. Изначально EMM-решения создавались для удобного доступа к корпоративной информации с мобильных устройств, и только потом появилась потребность эту информацию защищать. EMM представляет собой комплексную платформу для управления мобильным устройством, его приложениями, контентом, коммуникациями и обеспечения безопасности системы компании.
Из чего состоит EMM?
EMM состоит из нескольких модулей, каждый из которых отвечает за строго определенную часть управления мобильным устройством: Mobile Device Management (MDM), Mobile Application Management (MAM) и Mobile Information Management (MIM).
Технология MDM — это одна из составляющих компонентов EMM, которая позволяет управлять настройками мобильных устройств с помощью создания многоуровневых политик: отключение камеры, настройка паролей, дистанционное удаление корпоративных данных в случае потери устройства и т.п.
MAM, в свою очередь, позволяет управлять приложениями на устройстве. Сотрудники отдела безопасности могут ограничивать обмен данными между приложениями, а также удалять приложения и их данные, при этом не затрагивая остальную информацию на устройстве. Стоит сразу оговориться, что возможность управления личными приложениями пользователя в MAM отсутствует.
MIM управляет данными на устройствах. С помощью него пользователь получает защищенный доступ к корпоративным данным со своего мобильного устройства. В случае потери телефона злоумышленник не сможет получить к ним доступ, поскольку он будет заблокирован администратором EMM в компании.
Если сотрудник хочет использовать свое личное мобильное устройство для просмотра корпоративных данных, то в EMM системах доступен сценарий Bring Your Own Device (BYOD). В этом случае на личном смартфоне сотрудника данные разделяются на личные и корпоративные, и все политики безопасности действуют исключительно на последние. Разделение происходит за счет создания виртуального пространства под корпоративные данные.
С точки зрения интеграции в системы заказчика существует несколько моделей. Например, МегаФон, который также предоставляет своим заказчикам EMM-решение МегаФон MDM, поставляет услугу в двух вариантах:
- Облачная модель (SaaS). Этот способ экономит финансы, время и пространство на серверах клиента.
- On-premise. Такая модель актуальна уже для более требовательных клиентов с жесткими внутренними регламентами с точки зрения информационной безопасности. В этом случае сервер управления EMM устанавливается в инфраструктуру заказчика.
Если говорить о конкретных функциях EMM-решений, то их можно разделить на две большие группы: отслеживание и управление. Например, вот что может EMM от МегаФона:
Отслеживать
- Факт совершения звонков и отправки сообщений
- Местоположение
- Версию ОС и аппаратные идентификаторы: IMEI, UDID, S/N
- Подключение к зарядному устройству и уровень заряда аккумулятора
- Наличие SIM-карты, ее идентификаторы и номер
- Состояние роуминга абонента
- Тип подключения к сети: Wi-Fi или мобильный интернет
- Любые действия, совершаемые пользователем: снимки, отправка документов и прочие
Управлять
- Блокировкой устройства
- Парольными политиками
- «Белым списком» точек доступа Wi-Fi
- Удалением информации на устройстве
- Доступом к камере, Bluetooth, интернет-браузерам
- Запретом вывода устройства из-под управления MDM
- Запретом обновления прошивки ОС устройства
- Запретом удаления приложений пользователем устройства
- Запретом доступа к устройству по USB
Такие широкие возможности позволяют применять EMM-решения в самых разных отраслях бизнеса практически любого размера.
Где применяется EMM?
Спектр распространения решений EMM достаточно широк: от государственных структур и огромных организаций до компаний средних и небольших размеров. В сфере B2G такие решения могут использовать силовые структуры, муниципалитеты, промышленность, органы здравоохранения и образования. Государственным структурам EMM нужен для того, чтобы в руках посторонних не оказались данные, которые содержат гостайну или другую компрометирующую информацию.
Около года назад Владимир Путин подписал закон, запрещающий военнослужащим пользоваться смартфонами и соцсетями в ситуациях, связанных с «исполнением отдельных обязанностей военной службы». Речь идет непосредственно о ведении боевых действий, несении дежурств, полевых выходах, учениях, нахождении на территории воинской части. Разумеется, контролировать выполнение таких приказов практически невозможно, а военнослужащие так или иначе будут находить способы пронести смартфон на время боевого дежурства, что подвергает риску безопасность военного объекта.
Наоборот, нужно разрешить военнослужащим приносить на службу мобильные телефоны с ограничением некоторых функций. МегаФон MDM позволяет централизованно настраивать устройства и приложения на них, а также ограничивать функции устройства: например, фото- и видеосъемку, подключение к запрещенным сетям. К тому же решение от МегаФона — это российская разработка, что не только делает его дешевле, но и в принципе позволяет использовать его в государственных структурах.
Промышленным компаниям EMM нужен для сохранения целостности и непрерывности технологического процесса, чтобы избежать лишних затрат. EMM дает технологам возможность централизованно контролировать процессы производства с одного мобильного устройства. Для обычного бизнеса безопасность инфраструктуры, сохранность данных, и коммерческая тайна не менее важна, но при этом нужно обеспечить сотрудников вне офиса доступом к внутренним ресурсам. Ритейл-компаниям важно обеспечить менеджеров по продажам доступом к корпоративным сервисам для контроля складов, подписания договоров и сверки прайс-листов.
Например, «МегаФон MDM» позволяет централизованно настраивать устройства и приложения на них. Он обеспечивает сотрудников предприятия доступом ко всем необходимым сервисам для администрирования работы предприятия. А разъездные сотрудники получают защищенный доступ ко всем необходимым сервисам для работы «в полях».
Конфиденциальность данных
В наше время достаточно остро стоит вопрос о конфиденциальности личных данных. Некоторые люди отождествляют EMM со слежкой за сотрудниками, но в действительности это не совсем так. В решениях некоторых вендоров и правда есть возможность просмотра данных корпоративного (не личного) устройства сотрудника, но это не означает, что сотрудники находятся под пристальным контролем администраторов. Они подключаются только тогда, когда получают уведомление о подозрительных действиях, происходящих на устройстве. И в этом случае администратору будет доступна любая информация из него.
Сценарий Bring Your Own Device, когда на личное устройство сотрудника накатывается виртуальное пространство под EMM, также достаточно распространен. В этом случае администраторы не имеют доступа к личной информации сотрудника, их контроль касается только корпоративных данных. Это означает, что содержимое SMS-сообщений и звонков для IT-специалиста недоступно, он может увидеть только сам факт отправки сообщения или совершения звонка в рабочее время. Также администратор не может читать сообщения мессенджеров и просматривать медиа-файлы из них. Напомним, что все это работает только в том случае, если работник использует свое личное устройство. К корпоративным устройствам с установленным EMM администраторы имеют полный доступ.
Кратко
Первые EMM решения были разработаны с целью упростить «полевым» сотрудникам компаний доступ к нужной им корпоративной информации с мобильных устройств вне офиса, но впоследствии появилась еще одна цель – защитить корпоративную информацию, чтобы избежать ее утечки в общественное пространство, которая может послужить причиной финансовых и репутационных рисков.
Структуру EMM решений составляют 3 основных компонента MDM, MAM и MIM, которые отвечают за управления настройками мобильных устройств, приложений и данных соответственно.
EMM — это универсальные решения, которые подойдут государственным и коммерческим заказчикам независимо от размеров организации. Особенно такие решения пригодятся клиентам, которые хотят ограничивать некоторые функции устройств, настраивать приложения на устройствах для удобной работы «в полях», и централизованно контролировать процессы производства с мобильных устройств.
Наконец, в некоторых EMM системах присутствует возможность полного администрирования корпоративного мобильного устройства, которой пользуются в случае обнаружения подозрительной активности на устройстве для предотвращения «слива» чувствительной информации.