23 апреля 2013
В одном из прошлых выпусков «Точки зрения» мы беседовали о различных способах аутентификации пользователей для защиты информации в корпоративных системах. На этот раз давайте поговорим о другом аспекте информационной безопасности – управлении мобильными устройствами и подходе BYOMD.
С развитием мобильных устройств и все большей их интеграцией в бизнес становятся более востребованы решения, ориентированные на планшеты и смартфоны. Например, системы управления мобильными устройствами (СУМУ, они же MDM – Mobile Device Management). Такие системы позволяют повышать оперативность поддержки пользователей, проводить инвентаризацию устройств, собирать информацию об установленном программном и аппаратном обеспечении и удаленно управлять информацией на каждом гаджете.
Когда, в какое время и в каких случаях может потребоваться доступ с мобильных устройств к корпоративным системам ?
Как показывают наблюдения коллег и наши собственные опросы, доступ к корпоративной информации и системам может потребоваться сотрудникам и в командировке, и в нерабочее время, и в выходной, и в отпуске. С развитием средств связи и мобильных устройств рабочий день многих людей из целостного восьмичасового превращается в «рваный», иногда чуть ли не круглосуточный график.
Какие именно приложения нужны корпоративным пользователям?
Представители самых разных профессий начинают использовать в своей работе смартфоны и планшеты. Выбор приложений зависит от круга обязанностей. Наиболее распространенный вариант – доступ к корпоративной почте с мобильного устройства. На гаджеты определенных категорий линейных сотрудников устанавливают различные специализированные корпоративные приложения: это удобно для тех, кто регулярно работает вне офиса и посещает множество встреч и мероприятий. Руководителям же актуально использование сразу нескольких приложений: для доступа в электронную почту, систему электронного документооборота (или CRM, ERP и др.), планирования своего календаря, подключения к системам аналитики и всевозможным формам отчетности, а также другим офисным приложениям. Доступ ко всем этим системам осуществляется через веб-интерфейс или с помощью программного обеспечения, устанавливаемого на смартфоны и планшеты. Причем, для большего удобства организации зачастую решаются на разработку заказного ПО, объединяющего в себе все необходимые функции.
Кроме работы с корпоративными приложениями существует и потребность в доступе к файловым ресурсам. Компаниям хочется иметь корпоративный аналог AppStore с протестированными и рекомендованными для использования приложениями.
И как уследить за всеми этими приложениями?
Сейчас все более популярным среди пользователей становится подход BYOMD (Bring Your Own Mobile Device, принеси свое мобильное устройство), который пока что пугает ИТ-руководителей компаний перспективами потерь данных либо невозможностью гарантировать работу из-за неконтролируемости личных устройств. То есть, с одной стороны необходима возможность подключаться к сети с этих устройств с помощью различных методов аутентификации, а с другой стороны, необходимо подтверждение того, что каждое устройство безопасно для использования в корпоративной системе. И в этом как раз серьезно помогают вышеупомянутые СУМУ (MDM). Мы сами уже имеем большой опыт по выстраиванию таких систем для заказчиков Digital Design на разных программных продуктах. Подобные решения уже есть у McAfee, Oracle, Microsoft, Citrix, Cortado и др.
В чем основные сложности BYOMD?
Главная проблема модели BYOMD заключается в том, что сами пользователи не всегда готовы устанавливать дополнительное ПО на свои устройства, чтобы сотрудники ИТ-службы могли иметь к ним доступ. И здесь тоже есть интересные варианты решения. Например, использование защищенного удаленного доступа. В таком случае пользователь видит на мониторе своего устройства только изображение рабочего стола, а вся обработка информации происходит на сервере и данные не хранятся в памяти устройства. Минус такого способа – пользователю всегда будет необходимо надежное и быстрое соединение. А при текущей ситуации с развитием беспроводной мобильной связи в России пока что серьезно рассчитывать на подключение вне офиса или другого помещения сложно. Кроме того, интерфейс Windows-приложений не всегда удобен для использования с мобильных платформ.
Другой способ уберечь информацию при работе по принципу BYOMD – это разделение корпоративных и приватных данных. По сути, это использование технологии виртуализации для создания некоего виртуального «контейнера» внутри устройства, в котором хранится вся корпоративная информация, полностью отделенная от основной системы. В таком случае работа с двумя типами данных (личными и корпоративными) абсолютно независима, и даже при попадании вредоносного ПО в устройство важная информация остается защищена. Подобное решение для ПК уже есть у компании VMWare (продукт VMware View). Сейчас различные разработчики ведут работу над такими решениями для планшетов и смартфонов. Digital Design также использует этот подход в некоторых своих решениях.