Które rozwiązanie do zarządzania urządzeniami mobilnymi, jest najlepsze dla Twojej firmy? – podpowiedź eksperta baramundi software AG.

Problem z wyborem: które rozwiązanie do zarządzania urządzeniami mobilnymi jest najlepsze dla mojego przedsiębiorstwa? Coraz częstsze wykorzystywanie urządzeń mobilnych w firmie oraz ich ciągły rozwój wymaga od przedsiębiorstw, a w szczególności od działów IT, zmiany sposobu myślenia lub nowego podejścia do kwestii związanych z zarządzaniem i zabezpieczeniem tych urządzeń. W zasadzie nie zadaje się już pytania, czy należy stosować rozwiązanie do zarządzania urządzeniami mobilnymi (MDM), lecz które rozwiązanie jest najlepsze dla danego przedsiębiorstwa. Oferta na rynku jest ogromna i wiele osób odpowiedzialnych za bezpieczeństwo IT szuka pomocy w podjęciu decyzji, i odpowiedzi na pytania, jak prawidłowo ocenić otrzymaną ofertę i jakie aspekty uwzględnić przy wyborze narzędzia typu MDM.

 

Analiza sytuacji wyjściowej

Wiele przedsiębiorstw stosuje już rozwiązania do zarządzania urządzeniami końcowymi i za ich pośrednictwem zarządza  stacjami klienckimi oraz serwerami i notebookami. Z uwagi na zwiększenie wykorzystania urządzeń przenośnych, takich jak tablety i smartfony, u osób odpowiedzialnych za bezpieczeństwo IT wzrasta również świadomość stosowania narzędzi do zarządzania urządzeniami mobilnymi. Zasadniczo zakres funkcji rozwiązania typu MDM zależy od możliwości zarządzania przez producentów platformy. Jeżeli przedsiębiorstwa po raz pierwszy zajmują się opracowywaniem strategii dotyczącej urządzeń mobilnych i w związku z tym wprowadzają oprogramowanie MDM jako uzupełnienie do zarządzania stacjami klienckimi lub jako niezależny pakiet MDM, wówczas należy odpowiedzieć na kilka ważnych pytań, aby wybrać odpowiednie rozwiązanie. Pozwala to na stworzenie indywidualnego, krótkiego wykazu wymagań, stanowiącego podstawę do dokładniejszego zweryfikowania propozycji od różnych oferentów i dokonania wstępnego wyboru. Na podstawie tej listy administratorzy powinni testować i oceniać pakiety MDM.

 

Rozwiązanie „on-premise” czy „w chmurze”? 

Przedsiębiorstwa muszą zdecydować, czy stawiają na rozwiązanie typu on-premise, czy też na oprogramowanie umieszczone w chmurze. Pod względem prawnym przedsiębiorstwa są bezpieczne wtedy, gdy stosują rozwiązanie MDM we własnej lokalizacji. W takim przypadku dział IT w każdej chwili ma pełną kontrolę nad wszelkimi danymi i systemami. Jednocześnie oznacza to konieczność zapewnienia zasobów  niezbędnych do użytkowania danego oprogramowania. Chodzi tu na przykład o regularną aktualizację oprogramowania, jak również zagwarantowanie stałej gotowości.

W przypadku ofert dotyczących świadczenia usług w chmurze zadania te przejmuje odpowiedni oferent, co może być szczególnie interesujące dla przedsiębiorstw z małymi działami IT, w których zasoby ludzkie są najczęściej niewystarczające do samodzielnej realizacji tych czynności. W rozwiązaniach typu cloud to z reguły oferent jest odpowiedzialny za konserwację oraz utrzymanie sprzętu komputerowego i oprogramowania. Jednocześnie osoby odpowiedzialne za bezpieczeństwo IT powinny mieć świadomość, że nie mają pełnej kontroli nad danymi, które przekazywane są na zewnątrz. Jeżeli oprogramowanie MDM znajduje się na serwerach oferenta, wówczas należy bezwzględnie zwrócić uwagę na to, aby postanowienia dotyczące ochrony i bezpieczeństwa danych określone przez oferenta opowiadały wymaganiom właściwego przedsiębiorstwa.

To samo dotyczy rozwiązania MDM, które potencjalnie zawiera wiele wrażliwych danych osobowych użytkowników. W tym przypadku należy najpierw określić zasady dotyczące ochrony danych w przedsiębiorstwie. Czy na przykład administrator może bez problemu nadzorować ruch użytkownika poprzez jego lokalizację? Czy istnieją regulacje decydujące o tym, że osoby odpowiedzialne za bezpieczeństwo IT są uprawnione do uzyskiwania każdorazowo dostępu do wszystkich instalowanych aplikacji w ramach przeprowadzanej inwentaryzacji? Takie kwestie powinny zostać wyjaśnione w przedsiębiorstwie na płaszczyźnie organizacyjnej i ustalone w postaci porozumień wewnątrzzakładowych lub wytycznych IT. Do tych działań powinni zostać zaangażowani odpowiedni specjaliści, tacy jak pełnomocnicy ds. ochrony danych, członkowie rady zakładowej i radcy prawni.

Jeżeli określono zasady dotyczące ochrony danych, wówczas pod tym kątem należy sprawdzić istotne rozwiązania dotyczące zarządzania – na ile zgodne są one z tymi zasadami i jak mogą zagwarantować ich przestrzeganie. Przede wszystkim powinno się zwrócić uwagę na przestrzeganie zaleceń prawnych, ponieważ nie wszystkie oferowane rozwiązania odpowiadają niemieckim i europejskim zaleceniom.

 

Zintegrowane czy niezależne: jakie rozwiązanie jest odpowiednie?

Kolejna istotna decyzja dotyczy sposobu, w jaki określone rozwiązanie zostanie włączone do istniejącej sieci informatycznej przedsiębiorstwa. Do wyboru są narzędzia typu MDM zintegrowane z systemem do zarządzania stacjami klienckimi lub też całkiem niezależne. Przedsiębiorstwa, które już wykorzystują oprogramowanie do zarządzania stacjami klienckimi, często mogą je rozszerzyć o rozwiązanie do zarządzania urządzeniami mobilnymi. Korzyść w tym przypadku jest oczywista: jeżeli pakiet MDM jest zintegrowany z systemem do zarządzania stacjami klienckimi, wówczas możliwe jest centralne zarządzanie wszystkimi stacjami na jednej płaszczyźnie. Ponadto administrator ma pełen przegląd wszystkich zasobów. Jest to rozwiązanie dedykowane przede wszystkim przedsiębiorstwom, w których za infrastrukturę IT odpowiedzialny jest jeden lub niewielu administratorów, którzy to z kolei mogą korzystać z tego połączenia. Również wówczas, gdy zakres funkcji jest nieco ograniczony w porównaniu do niezależnych pakietów MDM, zazwyczaj realizowane są najważniejsze opcje, takie jak inwentaryzacja, konfiguracja oraz dystrybucja aplikacji i ustawień dotyczących bezpieczeństwa.

Inaczej sytuacja wygląda w przypadku, gdy na przykład w bardzo dużych przedsiębiorstwach działy IT rozdzielone są na poszczególne wydziały i określeni administratorzy odpowiedzialni są wyłącznie za zarządzanie urządzeniami mobilnymi. Wtedy rzadziej występuje potrzeba połączenia systemów i trafnym wyborem okazuje się tu być wykorzystanie niezależnego rozwiązania MDM.

Również w zakresie funkcji występują różnice. Specjalistyczne rozwiązanie MDM z reguły oferuje szerszy zakres funkcji. Jeżeli chodzi natomiast o rozwiązania zintegrowane, realizują one mniej funkcji, co dla wielu przedsiębiorstw jest zazwyczaj w pełni wystarczające. Często uzupełniające moduły do oprogramowania do zarządzania stacjami klienckimi są bardziej korzystne pod względem finansowym i dzięki mniejszemu zakresowi funkcji prostsze w obsłudze niż niezależne rozwiązania MDM. W takiej sytuacji osoby odpowiedzialne za bezpieczeństwo IT powinny zdecydować, jakie funkcje są rzeczywiście potrzebne, a jakie zbędne.

 

Wydajne zarządzanie niejednorodnymi systemami operacyjnymi

Szczególnym wyzwaniem dla administratorów IT jest fakt, że często muszą zarządzać niejednorodnymi typami urządzeń z różnymi systemami operacyjnymi. Nowoczesne rozwiązania MDM wspomagają powszechnie stosowane obecnie systemy operacyjne, takie jak iOS, Android i Windows Mobile, przy czym różne rozwiązania nie oferują jednakowych możliwości zarządzania wszystkim systemom operacyjnym. W związku z tym podczas testowania powinny zostać uwzględnione wszelkie wymagane platformy systemów operacyjnych.

Jeżeli przedsiębiorstwa korzystają z urządzeń mobilnych z dwoma lub większą liczbą systemów operacyjnych, wówczas administratorzy przy wyborze rozwiązania MDM powinni kierować się tym, aby różne mobilne systemy operacyjne mogły być wydajnie zarządzane za pośrednictwem oprogramowania. W praktyce oznacza to, że oprogramowanie MDM umożliwia zarządzanie różnymi systemami operacyjnymi poprzez jedną, odpowiednią maskę wprowadzania. Dokładnie na tym polega fenomen profesjonalnego rozwiązania MDM. Administrator ma jedną płaszczyznę i dokonuje na przykład konfiguracji konta Exchange lub w sposób centralny określa wytyczne dotyczące bezpieczeństwa dla urządzeń z systemem Android i iOS (np. siła hasła), a oprogramowanie tłumaczy je i przekazuje do odpowiedniego urządzenia.

 

Zintegrowanie urządzeń z rozwiązaniem do zarządzania

Ponieważ użytkownicy dysponują zróżnicowaną wiedzą specjalistyczną, wobec tego rozwiązanie MDM powinno pozwolić na wykonywanie takich procesów, jak rejestrowanie („enrollment”) – i to w miarę możliwości bez nawiązywania częstych interakcji z użytkownikiem. Ponieważ im więcej wymaga się od użytkownika, tym większe jest ryzyko, że podczas konfiguracji wystąpią błędy. Lepiej więc, gdy administrator ma możliwość przygotowywania procesów i rejestracji na urządzeniu przenośnym za pośrednictwem oprogramowania MDM. Wówczas przesyła on do pracownika mail z kodem QR, który należy tylko zeskanować. Dalszy proces rejestracji przebiega w sposób zautomatyzowany.

W przypadku urządzeń z systemem iOS można przyporządkować urządzenia mobilne za pomocą programu rejestracji urządzeń (DEP) firmy Apple już w ramach pozyskiwania rozwiązania do zarządzania i tym samym podczas aktywacji automatycznie zintegrować je z rozwiązaniem MDM.  Funkcja rejestracji pozwala również na wydajne skalowanie na wielu urządzeniach i skraca czas potrzebny administratorom IT na wykonanie rutynowych czynności w ramach przeprowadzenia konfiguracji. System iOS pozwala zarazem na ustanowienie blokady wyrejestrowania urządzenia firmowego, co poprawia ogólną ochronę zapisanych na nim danych korporacyjnych. Jeżeli w przedsiębiorstwie stosowane są urządzenia z systemem iOS, wówczas korzystne jest rozwiązanie MDM, które obsługuje DEP.

 

Możliwości konfiguracji

Za pomocą rozwiązania MDM administratorzy mogą przeprowadzić konfigurację urządzeń mobilnych po ich zintegrowaniu z pakietem do zarządzania za pośrednictwem oprogramowania. Potencjał narzędzia do zarządzania urządzeniami mobilnymi tkwi w uproszczeniu i zautomatyzowaniu pracochłonnych i rutynowych zadań dotyczących zarządzania tymi urządzeniami w celu umożliwienia ich szybkiej realizacji. Należy do nich konfiguracja danych dostępowych pod kątem połączenia z siecią VPN, WiFi bądź korzystania z poczty elektronicznej. Rozwiązanie MDM powinno umożliwić administratorom IT wprowadzanie odpowiednich parametrów (nazwisko, adres e-mail, domena, serwer, hasło) poprzez jednolitą maskę, ponieważ w zależności od systemu operacyjnego dane te znajdują się w rozmaitych miejscach, a maski wprowadzania różnią się od siebie. Administratorzy, aby nie utracić akceptacji ze strony użytkownika końcowego, często świadomie wykorzystują tylko nieliczne ustawienia, ponieważ smartfon powinien pozostać urządzeniem inteligentnym, tak aby użytkownik nie zrezygnował z jego użytkowania z powodu zbyt dużej kontroli ze strony administratora.

 

Funkcje zwiększające bezpieczeństwo

W odróżnieniu od  serwera lub komputera PC zainstalowanego na stałe w biurze, urządzenia mobilne można łatwo zgubić. Aby temu zapobiec należy podjąć odpowiednie środki zaradcze. Ważne jest, aby rozwiązanie MDM oferowało funkcje mające na celu zwiększenie poziomu bezpieczeństwa. Na przykład, aby rozpoznana została ingerencja w oprogramowanie firmowe typu „jailbreak” lub „root”, jak również, aby na wszystkich urządzeniach regularnie sprawdzać, czy taka manipulacja miała miejsce. Istotne znaczenie mają również takie funkcje, jak „czarna” i „biała” lista aplikacji zakazanych i dozwolonych. Dzięki nim przedsiębiorstwa mogą dokładnie określić, które aplikacje są zabronione, a które nie. W ten sposób nie są przeprowadzane instalacje niebezpiecznych aplikacji. Dodatkowo administratorzy powinni mieć możliwość wstępnego tworzenia haseł, które muszą być silne i skomplikowane, oraz dokonywania takich ustawień, jak automatyczna blokada podczas wygaszania ekranu lub blokada w zakresie funkcjonowania urządzeń (np. kamera lub zwiększenie pamięci). Ponadto rozwiązanie MDM ma za zadanie ułatwić wykorzystanie certyfikatów do uwierzytelnienia. W przypadku utraty urządzenia, administratorzy muszą być w stanie na odległość zablokować je lub usunąć z niego dane. Innymi dostępnymi funkcjami jest wyłączenie Bluetooth i WLAN lub też niepożądanych aplikacji systemowych. W celu zaimplementowania bezpiecznego połączenia z aplikacjami przedsiębiorstwa powinna istnieć również możliwość prostego dystrybuowania i zarządzania certyfikatami do uwierzytelnienia na urządzeniach.

 

Obsługa specjalnych funkcji biznesowych 

Poza ważnymi funkcjami zapewniającymi niezbędne bezpieczeństwo, dostępne są opcje pozwalające na efektywne zarządzanie urządzeniami mobilnymi. Zalicza się do nich na przykład obsługa programu zakupów grupowych (VPP), za pomocą którego przedsiębiorstwa mogą pozyskiwać i dystrybuować licencje dla wielu pracowników. W związku z ogromnym rozpowszechnieniem systemu iOS w otoczeniu przedsiębiorstwa, może to stanowić ważne i pomocne narzędzie dla administratorów. Również firma Samsung za pomocą funkcji KNOX rozszerza możliwości platformy Android w otoczeniu biznesowym. Jeżeli przedsiębiorstwa wykorzystują urządzenia firmy Samsung, wówczas rozwiązanie MDM powinno również wspomagać KNOX.

 

Odciążenie administratorów dzięki pakietowi Self Service

Idealnym wsparciem dla administratora są opcje usługi Self Service, które mogą zostać zaoferowane w rozwiązaniu MDM. Poza tym działy IT udostępniają użytkownikowi różne funkcje w trybie samoobsługi, na przykład kiosk z aplikacjami do samodzielnej ich instalacji. Inaczej niż ma to miejsce w sklepie z aplikacjami z bardzo szeroką ofertą, dział IT może poprzez kiosk udostępnić do wyboru przydatne aplikacje, które jednocześnie spełniają wymagania dotyczące bezpieczeństwa danego przedsiębiorstwa. Zwiększa to komfort użytkownika i jednocześnie odciąża pracę administratora.

 

Przejrzyste zarządzanie w czasie rzeczywistym

Dobre oprogramowanie MDM przekazuje w sposób przejrzysty wszystkie istotne informacje z punktu widzenia zarządzania urządzeniami mobilnymi, które jednocześnie powinny być w miarę możliwości dostępne w czasie rzeczywistym. Ponieważ tylko wtedy, gdy administrator w krótkim czasie otrzyma wszystkie ważne dane i zgłoszenia, posiada on dostateczną wiedzę i może prawidłowo ocenić poziom zabezpieczenia urządzeń mobilnych. Przy tym mechanizmy opierające się na koncepcji zadań mają przewagę w stosunku do paradygmatów bazujących na bezpieczeństwie. Jeżeli aktualna baza danych jest w każdej chwili dostępna, wówczas w razie potrzeby można przygotowywać i eksportować aktualne raporty.

 

Wdrożenie i obsługa rozwiązania MDM

Podczas podejmowania decyzji dotyczącej wyboru oprogramowania MDM administratorzy powinni uwzględnić wysokość kosztów związanych z jego wprowadzeniem i uruchomieniem oraz przeszkoleniem pracowników. Rozwiązanie MDM powinno w miarę możliwości w jak najprostszy sposób zostać zintegrowane z istniejącą infrastrukturą IT. Poza tym ważne jest, aby obsługa tego rozwiązania była jak najłatwiejsza, a płaszczyzna obsługi przejrzysta. Dzięki temu również nowi pracownicy mogą zostać szybko przeszkoleni w zakresie obsługi rozwiązania MDM. Kolejną zaletą  jest możliwość uniknięcia kosztownych szkoleń, co pozwala bardziej racjonalnie zarządzać budżetem działów IT.

 

Podsumowanie

Nie ma jednego rozwiązania MDM, które byłoby optymalne dla wszystkich przedsiębiorstw. Ważne jest, aby dokładnie określić zakres funkcji i przetestować pasujące narzędzia. Poza zaproponowanymi funkcjami, decydującą rolę w wyborze rozwiązania MDM odgrywa również rodzaj pracy oraz akceptacja takiego systemu przez pracowników. Z tego powodu osoby odpowiedzialne za bezpieczeństwo IT przy wyborze rozwiązania MDM zawsze powinny mieć na uwadze równowagę między wymaganiami dotyczącymi bezpieczeństwa przedsiębiorstwa, akceptacją pracowników w zakresie wykorzystania urządzeń mobilnych a nieskomplikowaną obsługą pakietu przez administratora. Tylko w przypadku uwzględnienia tych punktów, wprowadzenie wybranego rozwiązania MDM powiedzie się.

 

Sebastian Wąsik, Country Manager na Polskę, baramundi software AG.