Trendem posledních pár let jsou zcela jistě mobilní technologie. Produktivita práce s pomocí těchto všudypřítomných zařízení stoupá, a tak i ti zaměstnavatelé, kteří se tomu doposud všemožně bránili, jsou čím dál více vystavováni tlaku začlenit mobilní technologie do procesu fungování společnosti. Ačkoliv mobilní zařízení přinášejí beze sporu mnoho výhod, jejich integrace do firemního prostředí může přinést mnohé komplikace.

Jaké jsou tedy aktuální trendy v oblasti centrální správy mobilní bezpečnosti? Většině lidí se při vyslovení termínu správa mobilních technologií vybaví zkratka MDM (mobile device management). Tato technologie díky neustálému vývoji mobilních zařízení prochází od svého vzniku téměř nepřetržitými změnami. Její hlavní funkce však zůstává víceméně stejná – zajistit bezpečnost životního cyklu mobilního zařízení ve firemním prostředí. Mezi nejdůležitější funkcionality MDM patří:

• registrace zařízení a jejich inventarizace,
• aplikace bezpečnostních politik,
• patch management,
• kontrola přístupu,
• zálohování,
• vzdálené vymazání obsahu zařízení (remote wipe),
• reporting.

Ačkoliv je nasazení MDM dozajista přínosem ve správě mobilních technologií, není samospasitelné. Jak již vyplívá ze samotného názvu, zajišťuje správu mobilních zařízení jako takových. Aktuálním trendem v oblasti bezpečnosti je však chránit především data, se kterými uživatel pracuje. MDM se tak především díky vzrůstajícím požadavkům na zavedení BYOD přeměnilo ze samotného produktu spíše na vlastnost, kterou obsahuje nově vznikající komplexní řešení podnikové správy mobilních technologií tzv. EMM (enterprise mobility management). V tomto případě se nejedná o produkt jako takový, jedná se spíše o spojení lidí, procesů a technologií uvedených na obrázku 1.

Obr. 1: Základní komponenty komplexního řešení podnikové správy mobilních technologií tzv. EMM (enterprise mobility management)

Funkce MDM byly uvedeny již dříve. Pro lepší pochopení následuje popis zbylých částí:

• MAM – umožňuje kontrolu nad aplikacemi instalovanými do mobilního zařízení. Uživatel má povoleno instalovat pouze schválené aplikace, které jsou vystavené na tzv. firemním obchodu s aplikacemi (často označován jako firemní app store). Ten může obsahovat jak interně vyvinuté, tak veřejně dostupné aplikace.
• MCM – často označován také jako EFSS (enterprise file synchronization and sharing) se zabývá řízením samotného obsahu, se kterým mohou jednotlivé aplikace pracovat. Definuje postupy, jakým způsobem bezpečně sdílet či synchronizovat firemní data mezi různými zařízeními.
• IAM – technologie používaná pro správu a ověření uživatelských identit a s nimi souvisejících přístupových práv. Přístupová práva se udělují podle jednotné bezpečnostní politiky a všechny osoby (případně služby) jsou řádně autentizovány, autorizovány a auditovány.
• Korporátní kontejner – oddělení privátních a firemních dat na jednom zařízení byl zásadní problém při příchodu strategie BYOD, v mnoha případech to byl hlavní důvod jejího nepřijetí. Aktuálně existuje několik přístupů, jak tato data oddělit – viz tabulka.
• Komunikace/PIM (personal information manager) – zabezpečení firemní komunikace, především e-mailů (šifrování, správa příloh, …), kontaktů, kalendáře apod.

Různé možnosti řešení korporátního kontejneru pro oddělení privátních a firemních dat na jednom zařízení

V současné době neexistuje žádný produkt, který by obsahoval všechny výše uvedené technologické komponenty. Jakým způsobem tedy vybrat tu správnou sadu produktů?

Definujte vaše potřeby

Při výběru technologií pro EMM není až tak důležitý jejich rozsah funkcionality. Důležitým faktorem je, aby řešení obsahovala ty funkcionality, které jsou požadovány vaší společností. Každá organizace má svůj specifický případ užití mobilních zařízení, proto je důležité vydefinovat, které funkcionality jsou pro vás důležité, a kterých se naopak bez dopadu na bezpečnost můžete vzdát. Základním prvkem při rozhodování je strategie výběru mobilního zařízení. Jsou zařízení zaměstnanců vlastněny vaší organizací? Máte zavedenou strategii COPE (corporate owned, personally enabled), kdy uživatelům povolujete využívání zařízení k osobním účelům? Či jste benevolentní a používáte strategii BYOD, případně striktnější CYOD (choose your own device), kdy dáváte zaměstnanci možnost výběru pouze z omezeného množiny zařízení? Odpovědí na tuto otázku získáte zásadní informace pro výběr řešení. Jaké mobilní operační systémy musí řešení podporovat? Potřebujete řešení pro oddělení firemních a personálních dat? Budete potřebovat správu aplikací a obsahu?

Dívejte se do budoucnosti

Trh s mobilními technologiemi se velmi rychle vyvíjí, a proto je důležité mít na paměti, že za pár let může (a s velkou pravděpodobností i bude) vypadat diametrálně odlišně. Zatímco technologie MDM jsou již poměrně vyspělé, ostatní komponenty jako kontejnerizace, správa aplikací či správa obsahu jsou poměrně nové. V současné době jsou mobilní technologie ve firemní infrastruktuře spravovány separátně. Budoucím trendem bude sloučení mobilního a desktopového světa pod jednu správu, jak to již některé produkty nabízejí. Při volbě řešení je tedy dobré volit výrobce, který má dostatek kapacit a dokáže se velmi rychle přizpůsobit aktuálním změnám na trhu.

Myslete na zaměstnance

Přestože prioritou číslo jedna při výběru jednotlivých komponent správy mobilních technologií bude u většiny společností zabezpečení citlivých firemních dat, je důležité myslet i na ostatní faktory, jakým je například použitelnost ze strany uživatelů, a tedy spokojenost vašich zaměstnanců. Pokud vyberete řešení, které bude bezpečné, avšak jeho nasazení bude zaměstnancům přinášet komplikace při vykonávání jejich práce, což se mimo jiné odrazí i na vytíženosti vašeho helpdesku, přinese to více starostí než užitku. Než se rozhodnete pro některé řešení, nebojte se ho nejdříve vyzkoušet v pilotním PoC (proof of concept) provozu, do kterého zahrnete vybranou skupinku zaměstnanců. Důležité je vybrat uživatele na všech firemních pozicích. Top management pracuje s mobilními technologiemi rozdílně než například zaměstnanec v terénu.

Vyberte tu správnou sadu

EMM není v současné době definován, jedná se spíše o sadu produktů než o jeden ucelený produkt. Proto je při výběru důležité hledat především ucelenou sadu a nesoustředit se jen na nejlepší nástroje svého druhu. Vyberte řešení, která budou vynikat ve vámi definovaných klíčových oblastech a zároveň budou dostatečná i v těch okrajových. Myslete také na IT oddělení, které se o vybraná řešení bude starat. Ideální je kompatibilita všech produktů a jejich napojení do jedné centralizované konzole pro správu.

Lukáš Bláha Autor působí jako senior IT security consultant ve společnosti AEC. Jeho pracovní náplní jsou penetrační testy všeho druhu, především mobilních a webových aplikací. Dále se věnuje auditům a implementaci různorodých bezpečnostních technologií.