facebook LinkedIN LinkedIN - follow
IT security , IT Security

Co předchází implementaci Mobile Device Managementu



DeloitteBezpečnost mobilních zařízení ve společnosti, žhavé téma, které řeší současní IT manažeři napříč všemi odvětvími. Trh je plný technologických řešení v této oblasti a stačí si jen vybrat. Právě v momentě výběru se však společnosti stávají oběťmi informační převahy dodavatelů a často unáhleně implementují řešení, která pro ně ve skutečnosti nejsou vhodná.


Podívejme se na analogický příklad z běžné praxe - jaký postup firma zvolí, pokud začne uvažovat o změně ERP systému? V první řadě, tomuto rozhodnutí předcházejí často několik měsíců trvající diskuze a meetingy o tom, jaký postup zvolit, aby to bolelo co nejméně, a aby to ve finále přineslo očekávaný výsledek. Vytváří se analýza požadavků, analýza rizik a jiné, které se následně shrnou do dokumentu, s nímž se vyrazí na trh hledat řešení, které má splnit „ERP sny“. Proč takhle firmy nepostupují i při výběru řešení pro mobilní bezpečnost a místo toho sahají mnohokrát po řešení, které je první po ruce a má nálepku „mobilní bezpečnost“? Nad odpovědí samozřejmě netřeba bádat, protože každý určitě odpověděl správně - náklady na řešení. Analýza trhu, rizik, business požadavků a mnohé další související činnosti pro výběr řešení pro mobilní bezpečnost pohlcují nemalé časové a finanční prostředky, ať už v případě, že si firma najímá poradenské služby nebo ne. Záleží na kvalitě všech souvisejících činností a právě bez těchto kroků se společnost vystavuje velkému riziku implementace nevhodného řešení, a tím pádem přichází nejen k rozporům mezi očekáváním a výsledkem, ale i k velkým časovým a finančním ztrátám, které byly do daného projektu investovány.

Pro zjednodušení se dá na základě zkušeností konstatovat, že mít řešení pro mobilní bezpečnost by mělo být pro drtivou většinu firem v dnešní době samozřejmostí. Konkrétně softwarová řešení se nasazují ze dvou důvodů - firma si uvědomuje rizika a chce je pokrýt nebo přišel příkaz ,,svrchu“ a je nutné si to odškrtnout na „to-do“ seznamu. Ať už je to první nebo druhý důvod, právě v tomto okamžiku začíná projekt implementace MDM.

Pojmy

Pokud jste se této oblasti předtím nevěnovali, jako první, co Vás čeká, je rozšíření slovní zásoby o zkratky EMM, MDM, SMDM, MAM a MIM.

Nejširším významem oplývá pojem EMM - Enterprise Mobility Management. Tento pojem zahrnuje sadu nástrojů a politik pro řízení a správu podnikových mobilních systémů jak z technického, tak z finančního hlediska. Pojmy zmiňované dále jsou podmnožinou EMM.

Obr. 1: Co předchází implementaci Mobile Device Managementu
Obr. 1: Co předchází implementaci Mobile Device Managementu

Asi nejčastěji se setkáte s pojmem MDM - Mobile Device Management. Tento pojem zahrnuje označení softwarových řešení, která umožňují správu mobilních zařízení ve společnosti. Pojem SMDM - Secure Mobile Device Management je synonymem MDM a často se v praxi setkáte s tím, že samotní výrobci svá řešení označují jednou pojmem MDM a jindy SMDM.

Pojem MAM - Mobile Application Management můžeme považovat za podmnožinu MDM, která se specializuje výhradně na správu aplikací v zařízeních.

Dalším častým pojmem, na který můžete narazit, je MIM - Mobile Information Management (neboli MCM - Mobile Content Management). Pod tímto pojmem se skrývají nástroje, které mají za úkol bezpečně spravovat a sdílet firemní obsah, ve smyslu sdílení dokumentů a podnikových informací napříč mobilními zařízeními používanými ve firmě. V současnosti je MIM často již integrovaná součást samotných MDM řešení.

Co vlastně hledám?

Každý IT manažer, který stojí před výběrem MDM dodavatele, má své požadavky a očekávání, které chce naplnit. Víme však, že to na výběr nestačí. Neméně důležitou proměnnou v této rovnici zastávají očekávání a nároky managementu společnosti, finanční rozpočet, který je k dispozici a čas, ve kterém máme samotný projekt zrealizovat. V praxi se často setkáváme s širokou škálou požadavků, které se od MDM řešení vyžadují, avšak jejich drtivou většinu můžeme shrnout do následujících pěti oblastí:

1. Životní cyklus zařízení

Oblast pokrývá požadavky, které se týkají životního cyklu zařízení. Tato funkcionalita je nejčastěji vyhledávaná ve středně velkých a velkých podnicích, kde se množství zařízení a uživatelů pohybuje ve stovkách a v podnicích umožňující BYOD (Bring Your Own Device) politiku. Pro manažery je žádoucí mít pořádek a přehled ve zprávě zařízení od momentu přidání zařízení do podnikové sítě až po jeho vyřazení z evidence.

2. Zabezpečení zařízení

DeloittePod tímto názvem se sdružují požadavky týkající se kontroly zařízení – nastavení hesel, šifrování dat, vzdálená správa apod. Tato nastavení jsou vynucována pomocí nasazení bezpečnostních politik a tím snižují riziko, které nastává například při ztrátě nebo ukradení zařízení. V takových momentech je záchranným kolem fakt, že data v zařízení jsou šifrována, zařízení je pod vzdálenou správou, která umožňuje jeho vymazání nebo je funkcionalita zařízení omezena závislostí na čas, místo a mnohé jiné.

3. Správa firemního emailu

Zpráva firemního emailu se dá označit za součást zabezpečení zařízení, ale jedná se o jednu z hlavních komponent MDM řešení, a proto je vyčleněna zvlášť. Ve zkratce jde o začlenění MDM řešení do vaší existující firemní e-mailové infrastruktury. Samotné požadavky se nejčastěji týkají šifrování e-mailové komunikace, zakázat odesílání a přijímání příloh na mobilním zařízení nebo omezení seznamu, odkud může zařízení přijmout e-mail.

4. Správa aplikací

Jak již vyplývá z názvu, jde o správu aplikací, které uživatelé mají na svém zařízení. Firmy mají různé požadavky na bezpečnost a od toho se odvíjí správa aplikací v zařízení. Nejčastějšími vyhledávanými funkcionalitami jsou možnosti vytvářet black list/white list aplikací (seznamy povolených/zakázaných aplikací), firemní katalogy aplikací, vzdálená správa aplikací a jiné.

5. Správa obsahu

Pátá oblast na tomto seznamu zahrnuje požadavky na integraci MDM řešení s různými firemními a cloudovými úložišti a následnou správu dokumentů.

Začínáme!

Před samotnou implementací je množství kroků, které byste měli podniknout. Je pravdou, že vás to může stát nemalé časové a finanční prostředky, ale je třeba si uvědomit, jaké dopady může mít na vaši společnost nevhodně zvolené řešení, které nakonec nesplní požadavky a v dlouhodobém horizontu může být ohrožením informační bezpečnosti, jejíž selhání častokrát dosahuje nevyčíslitelné škody. Před tím, než se pustíte do implementace, byste měli podniknout následující kroky:

Analýza požadavků

Často se stává, že jiná očekávání má management, IT manažer a samotní uživatelé. Pokud není provedena tato analýza, v konečném důsledku je velmi pravděpodobné, že někoho „MDM sny“ nebudou naplněny a víme, že pokud „černý Petr“ padne do rukou managementu, může to vyvolat nechtěnou reakci, které byste se určitě rádi vyhnuli. Na vrcholu pomyslné pyramidy stojí management, který určuje bezpečnostní strategii, jejíž MDM bude součástí. IT manažer zase podrobně zná prostředí a jeho technologické možnosti, které může MDM využívat. Třetí částí pyramidy jsou požadavky uživatelů. Uvědomují si, že takový projekt ji přinese určitá omezení a nevýhody. Zároveň však právě oni mohou přinést myšlenky a požadavky, jejichž splněním se přiblížíte blíže k úspěšnému výběru MDM řešení. Pokud nedosáhnete konsenzus požadavků IT manažera, uživatele a managementu, projekt je téměř jistě odsouzen k nezdaru, protože s vysokou pravděpodobností bude sabotován neochotou a nezájmem z jedné nebo obou stran.

Analýza rizik

DeloitteKaždý projekt s sebou nese řadu rizik, která je nutné včas eliminovat. Pokud se na tato rizika připravíte, ušetří vám to čas, peníze a zvyšuje se pravděpodobnost úspěšnosti projektu. Mezi hlavní rizika na straně zákazníka patří fakt, že často není připraven na samotný projekt výběru a implementace MDM. Je nutná dostatečná angažovanost vrcholového vedení, jsou stanoveny standardizované podnikové procesy pro realizaci projektu, zákazník je připraven po technické i organizační stránce, jsou stanovena hodnotící kritéria projektu a mnohé další. Výsledkem samotné analýzy je zhodnocení přítomnosti rizik, která následně ovlivní výběr řešení. Je pravdou, že člověk se nejlépe učí na svých chybách, ale v tomto případě je určitě vhodné poučit se na chybách jiných a nemarnit své prostředky.

Analýza trhu

Jsou pokryty požadavky a rizika. Přichází ten správný čas podívat se do světa, zjistit, jaká je situace a z čeho si na základě těchto analýz můžete vybírat.

Forma a způsob integrace platformy MDM do stávající podnikové infrastruktury

Jedna z kritických částí, na které ve velké míře závisí úspěšnost projektu. Tato část se řeší kontinuálně napříč všemi předchozími oblastmi. V této fázi by vám mělo být jasné, jak ve finále do vaší infrastruktury zapadne vybrané MDM řešení. Výstupem této fáze je poptávkový dokument, který je papírovou realizací vašich požadavků, očekávání a cílů.

Analýza nabídek

Teprve když se dostanete sem, přichází správný čas vybrat si jedno z řešení, které vám leží na stole a následně se vrhnout na druhou část projektu - implementaci.

Shrnutí

Výběr MDM řešení není jednodenní záležitost. Od nápadu zavedení MDM do firmy až k zabezpečenému mobilnímu zařízení v rukou uživatele vede dlouhá cesta, která je doprovázena různými překážkami a problémy. Ať už se na ni vydáte sami nebo v doprovodu někoho, kdo vám pomůže problémy překonat, je třeba mít na paměti, že je nutné je řešit, protože pokud problémy obejdete, nikdy se nemusíte ocitnout v cíli své cesty.
Juraj Kiš

Autor článku je expert z oddělení ICT poradenství společnosti Deloitte.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.