facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2012 , ITSM (ITIL) - Řízení IT

Mobile device management

aneb Jak zvládnout rostoucí počet mobilních zařízení v podniku



nessPočty a varianty mobilních zařízení v podnicích a organizacích rychle rostou. Jeden z největších loňských technologických trendů trvale pokračuje i v novém roce a na pracoviště podniků se valí mobilní telefony a tablety různých značek a s různými operačními systémy. Od iPhonů a iPadů k telefonům a tabletům s OS Android rozličných verzí. Rok 2011 mezitím skončil s nálepkou silného nástupu konzumerizace IT a již dlouho neleží na stole otázka, zda podniková IT budou také podporovat privátní mobilní zařízení zaměstnanců. Otázkou nyní je, kdy a jakým způsobem.


Firemní IT by dnes mělo především přemýšlet nad tím, jakým způsobem mobilní zařízení zaměstnanců v podnikové síti identifikovat, podle čeho vybírat mobilní platformy pro podnikové využití a jak telefony a tablety nastavovat. Dále jak zabezpečit přístupy k podnikovým datům a jak podniková a soukromá mobilní zařízení centrálně bez ohledu na platformu spravovat. Velmi důležitá je možnost uzamknutí ztracených nebo odcizených mobilních zařízení, jejich případná lokalizace nebo i vymazání uložených firemních dat. Rostoucí význam kvůli nebezpečí malwaru má správa mobilních aplikací například pomocí podnikového aplikačního shopu.
Takové potřeby podniků pomáhají řešit nové nástroje pro správu mobilních zařízení (MDM – mobile device management), jako je například MobileIron, Sybase Afaria, AirWatch, Mobile Fusion od společnosti RIM a další řešení. Systémy podporují hlavní mobilní platformy (iOS, Android, Blackberry, Windows Phone, Windows Mobile a Symbian) a možnost integrace s podnikovým IT prostředím. Díky množství vlastností tak mohou pomoci IT manažerům dýchat poněkud snadněji.

Mobile device management je jen začátek

Uvědomění si toho, že je již třeba řešit podnikovou mobilní bezpečnost, je pro každé IT dobrý začátek. Je to ale jen první krok na dlouhé cestě. Dalšími kroky by mělo být pochopení, jaký typ správy je vlastně potřeba a v jakém rozsahu. Specifika a potřeby se mohou mezi jednotlivými uživateli i v jednom podniku značně lišit. Přesné určení těchto rozdílných potřeb pak pomůže při přípravě podnikové mobilní strategie a při výběru a implementací systému pro mobile device management.

Základní minimum

Pomyslnými základními kameny podnikové mobilní strategie jsou tři požadavky na funkčnost systémů pro správu mobilních zařízení.

Nastavení mobilních zařízení

Podnikové IT potřebuje zajistit úvodní provozní nastavení mobilních zařízení, nainstalovat bezpečnostní certifikáty, připojit uživatelské účty k podnikové poště a k dalším interním zdrojům v podnikové síti.

Bezpečnostní pravidla a politiky

Základní bezpečnostní pravidla by se měla týkat uzamykání zařízení a vyžadování hesla pro jeho odemknutí. Měla by zahrnovat komplexnost hesla a pamatovat na změnu po uplynutí jeho životnosti. Důležité je samouzamykaní zařízení při nečinnosti a případné vymazání dat po několika nezdařených přístupech. Bezpečnostní politiky by měly dále vyžadovat kryptování vnitřní i externí paměti, ochranu specifických dat, konfiguraci služeb VPN, omezený přístup k systémovým funkcím, jako je například instalace aplikací nebo konfigurace funkcí samotného mobilního operačního systému.

Možnosti správy mobilních zařízení pro specifické situace

Každá organice bude mít jistě své specifické nároky na správu mobilních zařízení podle toho, jakou úroveň správy bude poskytovat jednotlivým uživatelům či jejich skupinám. Následující případy nebo jejich kombinace mohou posloužit jako startovací pozice pro rozvoj podnikové mobilní strategie:

Předkonfigurace a nastavení
V mobilních zařízeních jsou automaticky nastaveny služby a účty, jako jsou WiFi sítě, VPN, poštovní účty a další. Uživatel má tak své zařízení připraveno k provozu bez toho, aby se pracně staral o nastavení telefonu nebo tabletu. To je využitelné zejména v případě, že se podniková mobilní zařízení střídají mezi zaměstnanci nebo profesemi.

Předinstalované aplikace
Podobně jako předkonfigurovaná nastavení jsou v mobilním zařízení automaticky instalovány aplikace, které zaměstnanec potřebuje z podnikového nebo veřejného aplikačního shopu. To je užitečné zejména v případě hromadného nákupu aplikací. Další možností je využití MDM řešení, které dovoluje vytvoření interního podnikového aplikačního shopu.

Bezpečný přístup
Konfigurace dostupných bezpečnostních služeb umožňuje bezpečný přesun dat mezi mobilními zařízeními a podnikovými systémy. To může znamenat například nastavení VPN nebo distribuci SSL certifikátů pro přístup k firemnímu e-mailu nebo webovým službám.

Kryptovaný paměťový prostor
Vytváří v mobilním zařízení kryptovanou oblast pro bezpečnou komunikaci s firemními systémy. Vyžaduje řešení, které zahrnuje klientskou aplikaci, která spravuje kryptovaný obsah. To nabízí například MDM řešení od společnosti Good Technology, které dovoluje i na „nakažených“ zařízeních ochránit podniková data. Řešení je vhodné pro podnikovou strategii BYOD.

Omezení lokalizace
Poskytování údajů o poloze přístroje a tím i uživatele je buď zcela omezena, nebo je omezen přístup aplikací k těmto datům. Velké množství aplikací pro různé platformy dnes vyžaduje lokalizační data, proto by měly být vybrány povolené aplikace do podnikového „white listu“.

Omezení synchronizace
Synchonizace a zálohování mobilních zařízení může být omezeno kvůli nadměrnému ukládání a přesunu mobilních dat. To lze obecně aplikovat na zařízení s iOS, která využívají iTunes a iCloud, ale lze je nasadit i u dalších platforem, které zaměstnanci používají. Využitelné to je při zálohování zařízení, která jsou vlastněna zaměstnanci.

Omezení provozu
Zejména u firemních telefonních účtů je dobré hlídat překročení nastavených limitů na volání, SMS zprávy nebo datová připojení včetně provozu v roamingu. Například v systému od společnosti MobileIron je možné nastavit tarifní plány dle potřeb jednotlivých pracovníků. Uživatelé a administrátoři mohou být upozorňováni na přiblížení a překročení přidělených limitů. Provoz v roamingu může být také zcela omezen. Užitečné to může být zejména pro velké organizace s velkým počtem firemních telefonů.

Omezení obsahu
Nastavení omezuje obsah, který může být přístupný ze zařízení. Jedná se například o audio či video, webové stránky nebo sociální sítě. Užitečné pro zařízení ve vlastnictví firem využívaná klienty, která slouží například pro prodej a sdílení informací nebo třeba ve školních třídách.

Omezení nákupu aplikací
Primárním úkolem je zabránit přidání nových aplikací, obzvláště těch, které mohou vést k bezpečnostním problémům. V závislosti na platformě a vlastnictví mobilního zařízení mohou být omezení uplatněna na nákup a instalaci aplikací z aplikačních shopů, jako je například Apple iTunes apod. Využitelné pro podnikem vlastněná mobilní zařízení.

Kompletní omezení mobilního zařízení
Uživatel nemá možnost měnit konfiguraci zařízení, nastavení poštovního účtu, přidat nebo měnit aplikace. Přístup do jiných než korporátních sítí je zakázán. Užitečné to může být pro mobilní zařízení v kioscích a terminálech, řešeních POS nebo ve školních třídách.

Povolení podnikových cloudových služeb
Zařízení jsou nastavena pro přístup k podnikovým nebo k povoleným veřejným cloudovým službám.

Vzdálená plocha
Přístup k podnikovým datům může být poskytnut prostřednictvím virtuálního desktopového řešení, jako má například Citrix. To může znamenat přístup ke kompletnímu PC podnikovému prostředí nebo jen k podnikovým aplikacím, kde má uživatel na zobrazené konzoli k dispozici vymezená data a funkce. Vhodné pro prostředí, kde je vyžadován vysoce bezpečný přístup, jako například v bankovnictví nebo zdravotnictví.
 

Vzdálené vymazání

Opravdu klíčová je možnost vzdáleně vymazat podniková data. Pro správu mobilních zařízení vlastněných zaměstnanci to zahrnuje i možnost částečného vymazání (tzv. selective wipe), kdy jsou na zařízení ponechána uživatelova soukromá data. To se využívá zejména při ukončení pracovního poměru zaměstnance. U podnikových mobilních zařízení to ale takovou roli nehraje, v případě potřeby se vymažou v mobilním zařízení veškerá data.

Vybalancovaný přístup

Ve velmi málo případech je ale základní minimum dostačující. Nicméně i další extrém, kdy by se IT snažilo řídit vše, co jen řídit lze, také nefunguje. Uživatelé budou při používání mobilních zařízení ochromeni, podniková IT správa bude komplikovanější a bude vyčerpávat lidské a finanční zdroje. Příliš velký dohled také budí velké znepokojení mezi uživateli, zejména pokud se jedná o jejich vlastní mobilní zařízení.
Stanovení pomyslné hranice mezi IT a uživateli při správě mobilních zařízení je poměrně citlivou záležitostí. Pokud bude zaměstnancům správa jejich telefonů a tabletů připadat dotěrná až „prudičská“, mohlo by dojít až k narušení firemní kultury mezi zaměstnanci a IT. Je tedy třeba najít kompromis, aby uživatelé byli ochotni dobrovolně svěřit jejich telefon či tablet do podnikové správy a IT podpory. Nicméně i tato „hraniční čára“ mezi IT a uživateli se může značně lišit, například co se týká různých pozic nebo různých podniků či organizací.

Rozlišení uživatelů

Výhodou je, že většina systémů pro mobile device management předpokládá, že IT bude potřebovat různá zařízení spravovat různým způsobem. Koncept je tak podobný správě skupinových politik v Active Directory. Obecně lze ale vytvořit množství profilů a konfigurací, které je možné vrstvit podle různých potřeb a kritérii. To ostatně doporučuje i Apple pro podnikovou správu iPhonů a iPadů.
Může být vytvořena například sada profilů, které jsou rozděleny podle mobilních operačních systémů a jejich verzí. Pokud v podniku vedle sebe již jednotlivé verze iOS a Androidu existují, lze vytvořit přístup ke zdrojům podle využívaných mobilních platforem a rozsahu podpory. Tím například může být požadavek na ukládání dat v plně kryptovaném paměťovém prostoru. Může být také připraven profil na distribuci mobilních aplikací pro různé platformy nebo druhu zaměstnání. Nebo lze vytvořit profil pro zaměstnance s firemními zařízeními, kteří cestují, a potřebují proto mít v zahraničí přístup k datům v roamingu.
Většina výrobců MDM také umožňuje svá řešení propojit se stávajícími podnikovými adresářovými službami, jako je například Active Directory. To pak umožňuje profily doslova ušít na míru podle existujících uživatelů a jejich skupin nebo dle dalších podmínek.
Obzvláště pěknou vlastností většiny MDM systémů je monitorování a sbírání informací o prostředí v mobilních zařízeních. Pokud je telefon nebo tablet nastaven a aktivován pro práci s podnikovým prostředím, MDM systém disponuje širokým množstvím informacím, jako je druh platformy a verze operačního systému, telefonní číslo a IMEI telefonu, nainstalované aplikace, stav paměti a baterie, zda je systém v telefonu otevřen jailbreakem či rootem a další.
To pak dovoluje automaticky aplikovat profily, které jsou jednoduše rozděleny dle typu mobilního zařízení a jeho konfigurace. Telefony a tablety, jejichž operační systém je úmyslně upraven (jailbreake, příp. root), a jsou tudíž zranitelné a méně odolné proti útoku, mohou mít k dispozici profily, které jejich přístup k podnikovým datům citelně omezí.

Výchova uživatelů

Tak jak podniková mobilita a správa mobilních zařízení nabývá ve firmách na významu, je třeba si uvědomit, že samotné IT nebude moci dlouho samo rozhodovat o řešení a opravovat problémy. Bude potřeba větší spolupráce mezi uživateli a IT, která povede na straně IT k větší flexibilitě a na straně uživatelů k větší zodpovědnosti. Opatření na straně IT budou muset více reflektovat potřeby uživatelů, tak jak je bude vytvářet život ve firmě.
To neznamená, že by se IT mělo vzdát dohledu nad podnikovou mobilní bezpečností, správy mobilních zařízení nebo vytváření a uplatňování pravidel pro přístup k podnikovým datovým zdrojům. Po IT bude vyžadováno, aby se aktivně zapojilo do osvojování mobilních technologií a pochopení potřeb zaměstnanců. To také znamená větší osvětu uživatelů v oblasti mobilní bezpečnosti nebo nákladů za telekomunikační provoz. Na druhou stranu si i zaměstnanci musí uvědomit, že IT není všemocné a má své hranice.

Mobilní svět v pohybu

Mobile device management a podpora mobilních zařízení, zejména těch, která jsou vlastněna zaměstnanci, je nový koncept v práci podnikového IT. Nejsou zde vytvořena žádná pevná pravidla a postupy, většina záleží na tom, jak mají v jednotlivých podnicích nastavena bezpečnostní opatření a poskytují uživatelskou podporu. IT se díky prudkému rozvoji mobilních technologií dostává více pod tlak, uživatelé, ale i jejich zaměstnavatelé mají více možností. Je tedy na všech zainteresovaných stranách, aby si vyšly vstříc a nalezly vzájemný rovnovážný vztah. Ten by měl být založen především na tom, aby využívání mobilních technologií v podnicích nebylo zásadně omezováno, ale zároveň aby nebyla narušována podniková bezpečnost nebo zneužívány podnikové zdroje. Pak může mobilní rozvoj firmě pomoci k větší efektivitě všech činností.

Radek Vajner
Autor působí jako senior system engineer v Ness Technologies v České republice.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.