Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Мобильный телефон в рабочем процессе – это зло или благо? Гаджет позволяет сотруднику оперативнее решать задачи? Или помогает работодателю жестче контролировать подчиненного? Создает креативную обстановку? Или напрягает в 23:00 сообщениями в мессенджере и письмами? Способствует утечке корпоративных секретов или, наоборот, дает страховку от неожиданностей?
Что такое корпоративная мобильность, каково текущее ее состояние и в чем история этого понятия, разбираемся с нашими партнерами из Научно-испытательного института систем обеспечения комплексной безопасности (НИИ СОКБ).
Источник
По данным исследования, которое мы проводили пару лет назад, около 93% опрошенных (респонденты были довольно разнообразны: офисные сотрудники, полевой персонал, водители и многие другие) используют смартфоны в корпоративных целях. Кроме достаточно предсказуемых звонков и текстовых сообщений, среди наиболее распространённых сценариев применения устройств фигурировали взаимодействие с почтой, редактирование документов и даже подключение к виртуальному рабочему месту (VDI).
Из всего этого можно сделать вывод, что в настоящее время мобильное устройство в рабочей среде не просто «звонилка», а инструмент, способный брать на себя задачи, ранее требовавшие дополнительного, часто специализированного, оборудования.
В рамках данной статьи мы затронем тему корпоративной мобильности и рассмотрим её с различных точек зрения — не только маркетинговых и управленческих, но и с позиции «полевого» сотрудника.
Чтобы сделать повествование более предметным, мы взяли интервью у наших коллег из НИИ СОКБ, которые имеют большой опыт в подобного рода проектах и готовы поделиться примерами, историями и наблюдениями из своей практики (теория теорией, но в жизни всё всегда сложнее и интереснее ).
НИИ СОКБ специализируется на обеспечении комплексной безопасности и охраны труда, а также является разработчиком SafePhone – решения для централизованного управления мобильными устройствами, приложениями, контентом и коммуникациями в организации. Мы пообщались с главным инженером НИИ СОКБ Олегом Ассуром о том, что такое корпоративная мобильность и какие решения существуют в этой области.
«Мобильной» тематикой мы занимаемся достаточно давно (уже более 10 лет — можно сказать, стояли у истоков), поэтому в становлении данного IT-направления мы участвовали с самого начала.
Более-менее заметно «мобильные» начали проявляться в «лихие 2000-е» (сами устройства, конечно, существовали и раньше, но это была штучная история, которая не имела массового характера). Тогда они использовались в основном для совершения звонков и пересылки текстовых сообщений. Сотрудникам они выдавались с комментарием: «Чтоб всегда был на связи, и не вздумай звонить в Америку!». Уже существовали «умные телефоны» (привычное сейчас «смартфон» звучало достаточно футуристично), но они не играли большой роли в корпоративной среде, и в большинстве компаний сотрудники продолжали использовать для своей работы привычные им компьютеры.
Переломный момент, на мой взгляд, произошёл в середине нулевых, и связан он с двумя событиями: покупкой в 2005 году Google Android, Inc. с последующим запуском одноимённой платформы и анонсом в 2007 первого iOS-устройства (тогда ещё с iPhone OS). Обе эти платформы сразу предлагали богатый функционал помимо звонков и SMS и быстро начали вытеснять классические кнопочные телефоны.
Естественно, счастливые обладатели этих устройств начали использовать их и в работе: иногда с одобрения руководства, иногда «подпольно». Это привело к возникновению тенденции, при которой устройство постепенно накапливает важную корпоративную информацию (подключили почту – появилась конфиденциальная корпоративная переписка, разрешили доступ к CRM – к переписке добавился список клиентов и т.д.). Потеря или кража гаджета становится всё более значимым риском для компании. Именно в этот момент и начинается история систем централизованного управления корпоративной мобильностью, в том числе и нашей платформы SafePhone.
Сегодня мобильное устройство – настоящий кухонный комбайн, который может выполнять множество разных функций. На мобильных устройствах есть полноценные офисные пакеты (а это, наверное, основной инструмент для 90% сотрудников компаний). Хотя стоит отметить, что такой сценарий использования ограничен, а ПК всё-таки остаются основным средством работы с документами.
Источник: Broadcom
Вообще, сейчас наблюдается интересная картина. С момента зарождения IT считалось, что для полноценной работы сотрудникам нужен настоящий, большой компьютер или ноутбук, но обязательно с полноценным x86-процессором. Попытки сдвинуть эту ситуацию с мёртвой точки всегда упирались в железобетонный аргумент из серии: «у нас есть системы, работающие только под DOS (Windows 95/98, Java 5 — нужное подчеркнуть), вы всё нам поломаете». Надо понимать, что корпоративная среда достаточно консервативна (программисты на COBOL до сих пор востребованы).
Первые подвижки начались с повсеместного внедрения виртуализации и появления VDI (Virtual desktop infrastructure). Внезапно выяснилось, что работать с Legacy-системами можно вообще с любого устройства, лишь бы было защищенное подключение к сети. Сеть, кстати, долгое время и была сдерживающим фактором для развития данной технологии, но, похоже, что и это ограничение скоро будет снято. С появлением нового поколения 5G, не в последнюю очередь благодаря Samsung, предоставляющих связь на скоростях от 1 Гбит/с, через мобильную сеть можно с минимальной задержкой «прогонять» фактически любые корпоративные типы данных (документы, звук, видео хорошего разрешения). Ещё одним следствием такого «ускорения» также является всеобщая тенденция отказа от «толстых клиентов». Большинство современных бизнес-систем имеет нормальный веб-интерфейс, многие в дополнение к этому выпускают мобильного клиента или мобильную версию веб-интерфейса (которую также можно «завернуть» в приложение с помощь Progressive Web App).
Таким образом, получается, что сейчас, по сути, ничто не мешает работать только на смартфоне или планшете. Это, конечно, пока некоторая перспектива (помним про консерватизм ), но её реализация уже не за горами.
Постепенно бизнес уходит от системных блоков в сторону чего-то более мобильного. Сначала это были достаточно громоздкие пятикилограммовые лэптопы, работавшие на батарее не более полутора часов (старожилы вспомнят страшные выпирающие части расширенной батареи, которые давали один час к работе и полкило к весу), потом мы перешли на ультрапортативные ноутбуки весом 1,5-1,7 килограмм и временем работы шесть – семь часов, а сейчас уже повсеместно распространены аппараты меньше одного килограмма с 12 часами автономной работы.
Параллельно с этой «миниатюризацией» обычных компьютеров идёт «увеличение» смартфонов. Сегодняшний телефон обладает достаточно впечатляющими характеристиками: тот же S20 в своей топовой редакции имеет на борту 16ГБ памяти и восьмиядерный процессор, что даже для полноразмерных ноутбуков достаточно прилично.
Конечно, самый главный вопрос – это софт. Тут всё неоднозначно. Многие производители пробовали адаптировать десктопный интерфейс к использованию в мобильном окружении (touch, сравнительно небольшие экраны и прочие атрибуты мобильности), но идеальных решений пока, к сожалению, нет: возвращаемся к той самой пресловутой консервативности; никто не будет переписывать интерфейс на Delphi двадцатилетней давности. Вместе с тем в нативные мобильные приложения гораздо проще добавить поддержку «резиновых»/перетаскиваемых окошек, что, собственно говоря, и сделала компания Google в Android Nougat. Если интересен пример такого подхода, то можно обратить внимание на Samsung DeX.
По состоянию на сегодняшний день такой «восходящий» сценарий (превращение мобильных устройств в полноразмерные рабочие места) нам видится, как минимум, не менее перспективным, чем «нисходящий» (использование десктопов в качестве мобильных устройств).
Сложный вопрос. Как и любую технологию, мобильность можно использовать двояко: сделать жизнь в компании лучше или, наоборот, хуже.
Источник: Dilbert, перевод наш
Классически мобильность подразумевает подход «работай, где тебе удобно» (не путать с «работай постоянно» ). Концептуально это означает, что сотрудник может выполнять свои обязанности, не обязательно находясь на рабочем месте, но и будучи в командировке или, например, дома. И делать это он будет так же эффективно, как и в офисе. Помимо этого, упрощаются внутрикорпоративные процедуры: заказать справку 2НДФЛ или согласовать заявление на отпуск можно нажатием одной кнопки на своём смартфоне.
Отдельно необходимо отметить оптимизацию коммуникации внутри компании. Это особенно актуально для нашей страны, где в порядке вещей для организации иметь главный офис в Москве и региональные, например, в Екатеринбурге и Иркутске. В таком случае взаимодействие превращается в большую проблему. Когда коллеги всегда на связи с постоянным доступом к рабочему инструментарию, гораздо проще согласовать удобный для всех момент для звонка или группового чата с общим редактированием документов.
Ещё одним стимулом для сотрудников может служить предоставление мобильного устройства. На практике в компаниях распространены различные модели, от предоставления корпоративного гаджета с возможностью персонального использования смартфона (Corporate Owned, Personally Enabled, COPE), до персонального смартфона или планшета с рабочими приложениями (Bring Your Own Device, BYOD). Кстати, BYOD ведет свое происхождение от достаточно известной для тусовщиков аббревиатуры BYOB – bring your own beer – то есть «приходить со своим алкоголем» в описании вечеринки.
Человек, который перепутал BYOD с BYOB. Источник: Timo Elliott
Также возможны некоторые промежуточные варианты, при которых сотрудник может выбрать себе рабочее устройство с частично корпоративной оплатой и перспективой перехода гаджета в собственность через некоторое время (Choose Your Own Device, CYOD).
Резюмируя, для сотрудников мобильность – это свобода выбирать удобный для себя формат работы, а для компании – оптимизация расходов и хороший инструмент выстраивания слаженных процессов. Конечно, важен правильный баланс и тонкая настройка: некоторые сотрудники не обладают высокой самоорганизацией, а работодатели бывают склонны к излишнему контролю.
Основная угроза: чем больше мобильное устройство вовлекается в корпоративную жизнь (рабочая переписка, документы, мессенджер для команды и пр.), тем больше на нём данных, потеря которых может чувствительно ударить по компании. Соответственно, содержимое устройства становится значимым активом компании, которым нужно управлять.
Тут сразу же возникает противоречие: безопасность требует максимального ограничения пользовательской свободы и детерминированных сценариев эксплуатации (доступ к почте только из офиса строго с 9 до 18), тогда как вся концепция мобильности подразумевает максимальную гибкость и вариативность использования.
На заре отрасли выбор всегда делался в сторону ограничений. Это порождало курьёзные ситуации. Сотруднику в качестве поощрения давали возможность установить на своё устройство корпоративную почту. Делалось это с условием применения всех правильных политик безопасности и установки агента для мониторинга потенциальных угроз. Этот агент безальтернативно устанавливал 12-значный цифро-букво-символьный пароль (в особенно изысканных случаях там был ещё словарь запрещённых комбинаций и ограничение по ротации паролей) на всё устройство и начинал собирать всю доступную ему информацию. Помучившись так неделю (при каждой попытке прочитать SMS нужно вводить этот самый пароль), пользователь со злостью удалял почту и забывал про это «поощрение» как страшный сон.
Источник: Dilbert, перевод наш
Сейчас ситуация кардинально поменялась. Хорошей практикой считается, когда система безопасности прозрачна и максимально незаметна для пользователя. Ей следует быть как замок из известной загадки, который «не лает, не кусает, а в дом не пускает». Пользователю должно быть максимально удобно работать с устройством, всю грязную работу на себя берёт система управления мобильностью.
Трактовка терминов у разных компаний может достаточно сильно варьироваться. Более-менее общепринятыми являются определения, сформулированные компанией Gartner.
Mobile Device Management (MDM) – термин, появившийся в конце 1990-х – начале 2000-х, обозначает системы, которые отвечают за управление жизненным циклом мобильных устройств. Под этим обычно понимают следующий функционал:
Со временем чистого MDM-функционала стало не хватать, и к нему часто стали добавлять следующие возможности:
К середине 2010-х данный набор стал стандартом для рынка, и уже не было смысла делить решения на отдельные модули. Тогда появился термин Enterprise Mobility Management (EMM), который обозначал совокупность MDM, MAM, MI и MCM. Данное изменение было зафиксировано отчётом Gartner, опубликованным в 2014 году.
Далее возникла тенденция, о которой мы говорили раньше. Мобильные устройства стали точно таким же рабочим местом, как и классические десктопы и лэптопы, и стало понятно, что управлять ими нужно в едином контуре: больше нет деления на стационарное и мобильное. Это было отправной точкой для появления нового термина Unified Endpoint Management (UEM). Появление UEM было зафиксировано в отчёте Gartner 2018 года.
Источник: ITSMDaily
В новое десятилетие мы входим с парадигмой UEM, и именно так сегодня называются системы, задачей которых является управление мобильными и стационарными устройствами в компании.
Любое внедрение – это всегда комплексная история, и двух одинаковых проектов не бывает. Но попробуем сформулировать некоторые общие моменты.
Инициатива по внедрению часто идёт снизу, от рядовых сотрудников. Сейчас мобильные устройства есть почти у всех, и это только вопрос времени, когда их станут применять для работы. Должна набраться критическая масса из людей с подобными гаджетами, после чего в сторону IT-отдела идёт запрос на предоставление подобной услуги.
Руководство в данном случае может выбрать две стратегии: поддержать (начинанию даётся «зелёный свет», и инициируется проект) или запретить. В последнем случае аргументацией является большой риск утечки («потеряет финансовую отчётность» или «конкуренты подсмотрят в метро через плечо»). Как показывает практика, такой подход не очень конструктивен. Даже если мобильные устройства строго запрещать, сотрудники всё равно будут их использовать «подпольно». Можно применять административные меры (выговоры, взыскания, санкции), но и это не всегда гарантирует 100% результат. И даже если подобного рода ограничения обоснованы, всегда найдётся сотрудник, который нарушит все запреты, и вот именно один этот случай будет иметь колоссальные последствия. Самой правильной стратегией, на наш взгляд, является старый добрый принцип: «не можешь победить – возглавь». Даже более опасная контролируемая среда во много раз лучше бесконтрольной.
Сначала это, как правило, почта (возможность «забирать» её мобильным клиентом), далее идут документы и различные рабочие системы (корпоративный портал, ERP, CRM и пр.). После «укоренения» технологии (когда становится отчётливо понятна тенденция), проектирование внутренних сервисов уже идёт с расчётом на их использование на различных платформах (в т. ч. мобильных).
Также распространён вариант, когда инициатива внедрения исходит от руководства. Не нужно забывать, что рабочая мобильность даёт много преимуществ, связанных с оптимизацией расходов и повышением «связности» бизнеса. Но тут также возможны «перегибы». В любой неоднородной среде (а типичное предприятие именно такая среда, состоящая из очень разных частей: бухгалтерия, склад и логистика, офис, полевой персонал) существуют свои интересы, и не все готовы к нововведениям. Распространена ситуация, когда часть коллектива воспринимает подобного рода изменения «в штыки» («у нас и так всё работает»). В таком случае хорошо зарекомендовал себя принцип «пряника», когда сотрудник получает некоторый бонус при использовании внедряемой системы (например, телефон как пропуск в офис или оплата обеда и бронирование переговорных комнат со смартфона). Эти бонусы должны стимулировать работника пользоваться мобильными устройствами, но не ограничивать или ущемлять его.
При внедрении комплексных проектов мобильности на предприятии полезны следующие инструменты:
Два главных вопроса, которые всегда задают при внедрении:
Это стереотип, но он достаточно устойчивый. Особенно печально, что его влиянию подвержены не только простые пользователи, но и некоторые работники IT и информационной безопасности.
Нет, сейчас ОС Android достаточно безопасна и очень распространена в корпоративном сегменте. Об этом говорит недавнее исследование, проведённое компанией IDC. Согласно нему 78% мобильных устройств, использующихся в различных компаниях по всему миру, работают под управлением ОС Android.
Отдельно про защищённость устройств Samsung. Согласно последнему рейтингу Gartner, платформа Knox получила рейтинг «strong» в 27 из возможных 30 позиций, что является одним из самых высоких результатов (примечание Samsung: более подробно про платформу Knox мы рассказывали в данной статье).
Чтобы аргументированно говорить о безопасности, нужно сначала определиться с видами угроз. Классически защита данных подразделяется на два больших сегмента.
С точки зрения управления обычно обозначают следующие моменты:
В принципе, это очевидные запросы. Но реализовать их удаётся не всегда в силу ограниченных возможностей разных платформ. В своё время в решении данных задач нам очень помог Knox Platform For Enterprise — разновидность платформы Knox для корпоративных задач. KPfE — это набор инструментов (SDK, утилиты, веб-сервисы и аппаратные механизмы устройств), расширяющий возможности стандартной ОС Android в части управления и мониторинга. Удобно, что для использования функционала не обязательно писать много кода, есть вариант использования Knox Service Plugin, который настраивается с помощью OEMConfig (стандартный механизм Android for Enterprise).
В российском офисе Samsung есть специалисты, оказывающие помощь по данному направлению, мы обращаемся к ним со сложными вопросами. Это сегодня большая редкость: чаще по вопросам разработки приходится общаться с коллегами из Индии или Китая, что из-за языкового барьера и разницы часовых поясов достаточно сложно.
Российский рынок немного отстаёт от мировых трендов. У нас корпоративная мобильность находится в состоянии становления. Из-за этого общепринятые решения пока кажутся чуждыми и неприменимыми.
Ярчайшим примером таких предубеждений является облако. Часто заказчики категорически отказываются от использования этого подхода, аргументируя решение отсутствием доверия к безопасности и надёжности подобных систем. Эта точка зрения, на наш взгляд, сегодня уже неактуальна. «Облачный» не значит «ненадёжный» и «небезопасный». Это доказывается опытом многих крупных компаний, доверивших облакам существенную часть своих бизнес-процессов — Netflix, Spotify, и целый ряд других.
То, что сервис будет развёрнут у вас на площадке, не гарантирует, что он будет работать всегда. На самом деле немногие могут себе позволить поддерживать у себя в серверной условия, сопоставимые с сертифицированным и аттестованным дата-центром. Отдельной строкой идёт поддержка софта – любая система состоит из большого количества «невидимых» компонентов (ОС, БД, веб-сервер и пр.), которые требуют постоянной поддержки и регулярного обновления. Резюмируя: собственная инфраструктура – это дорого и хлопотно и, к сожалению, не всегда надёжно. Облако гораздо дешевле, и все работы по поддержке и обновлению берёт на себя поставщик услуги.
Отдельно стоит отметить требования сертификации решений, предъявляемые регуляторами, например, для работы с персональными данными. Бытует мнение, что такое на Android невозможно. Наш опыт показывает, что в сочетании с сертифицированными средствами обеспечения безопасности это возможно даже в организациях с жёстким регламентом.
(от автора) Мы надеемся, что нам удалось развеять некоторые «страшилки», и уж по крайней мере теперь станет ясно, что в жизни всё несколько сложнее, чем в этом комиксе:
Источник: Dilbert
Что такое корпоративная мобильность, каково текущее ее состояние и в чем история этого понятия, разбираемся с нашими партнерами из Научно-испытательного института систем обеспечения комплексной безопасности (НИИ СОКБ).
Источник
По данным исследования, которое мы проводили пару лет назад, около 93% опрошенных (респонденты были довольно разнообразны: офисные сотрудники, полевой персонал, водители и многие другие) используют смартфоны в корпоративных целях. Кроме достаточно предсказуемых звонков и текстовых сообщений, среди наиболее распространённых сценариев применения устройств фигурировали взаимодействие с почтой, редактирование документов и даже подключение к виртуальному рабочему месту (VDI).
Из всего этого можно сделать вывод, что в настоящее время мобильное устройство в рабочей среде не просто «звонилка», а инструмент, способный брать на себя задачи, ранее требовавшие дополнительного, часто специализированного, оборудования.
В рамках данной статьи мы затронем тему корпоративной мобильности и рассмотрим её с различных точек зрения — не только маркетинговых и управленческих, но и с позиции «полевого» сотрудника.
Чтобы сделать повествование более предметным, мы взяли интервью у наших коллег из НИИ СОКБ, которые имеют большой опыт в подобного рода проектах и готовы поделиться примерами, историями и наблюдениями из своей практики (теория теорией, но в жизни всё всегда сложнее и интереснее ).
НИИ СОКБ специализируется на обеспечении комплексной безопасности и охраны труда, а также является разработчиком SafePhone – решения для централизованного управления мобильными устройствами, приложениями, контентом и коммуникациями в организации. Мы пообщались с главным инженером НИИ СОКБ Олегом Ассуром о том, что такое корпоративная мобильность и какие решения существуют в этой области.
Расскажите, как мобильные устройства пришли в российский бизнес и как менялись взгляды на их применение?
«Мобильной» тематикой мы занимаемся достаточно давно (уже более 10 лет — можно сказать, стояли у истоков), поэтому в становлении данного IT-направления мы участвовали с самого начала.
Более-менее заметно «мобильные» начали проявляться в «лихие 2000-е» (сами устройства, конечно, существовали и раньше, но это была штучная история, которая не имела массового характера). Тогда они использовались в основном для совершения звонков и пересылки текстовых сообщений. Сотрудникам они выдавались с комментарием: «Чтоб всегда был на связи, и не вздумай звонить в Америку!». Уже существовали «умные телефоны» (привычное сейчас «смартфон» звучало достаточно футуристично), но они не играли большой роли в корпоративной среде, и в большинстве компаний сотрудники продолжали использовать для своей работы привычные им компьютеры.
Переломный момент, на мой взгляд, произошёл в середине нулевых, и связан он с двумя событиями: покупкой в 2005 году Google Android, Inc. с последующим запуском одноимённой платформы и анонсом в 2007 первого iOS-устройства (тогда ещё с iPhone OS). Обе эти платформы сразу предлагали богатый функционал помимо звонков и SMS и быстро начали вытеснять классические кнопочные телефоны.
Естественно, счастливые обладатели этих устройств начали использовать их и в работе: иногда с одобрения руководства, иногда «подпольно». Это привело к возникновению тенденции, при которой устройство постепенно накапливает важную корпоративную информацию (подключили почту – появилась конфиденциальная корпоративная переписка, разрешили доступ к CRM – к переписке добавился список клиентов и т.д.). Потеря или кража гаджета становится всё более значимым риском для компании. Именно в этот момент и начинается история систем централизованного управления корпоративной мобильностью, в том числе и нашей платформы SafePhone.
Какова роль мобильного устройства в бизнесе в настоящий момент?
Сегодня мобильное устройство – настоящий кухонный комбайн, который может выполнять множество разных функций. На мобильных устройствах есть полноценные офисные пакеты (а это, наверное, основной инструмент для 90% сотрудников компаний). Хотя стоит отметить, что такой сценарий использования ограничен, а ПК всё-таки остаются основным средством работы с документами.
Источник: Broadcom
Вообще, сейчас наблюдается интересная картина. С момента зарождения IT считалось, что для полноценной работы сотрудникам нужен настоящий, большой компьютер или ноутбук, но обязательно с полноценным x86-процессором. Попытки сдвинуть эту ситуацию с мёртвой точки всегда упирались в железобетонный аргумент из серии: «у нас есть системы, работающие только под DOS (Windows 95/98, Java 5 — нужное подчеркнуть), вы всё нам поломаете». Надо понимать, что корпоративная среда достаточно консервативна (программисты на COBOL до сих пор востребованы).
Первые подвижки начались с повсеместного внедрения виртуализации и появления VDI (Virtual desktop infrastructure). Внезапно выяснилось, что работать с Legacy-системами можно вообще с любого устройства, лишь бы было защищенное подключение к сети. Сеть, кстати, долгое время и была сдерживающим фактором для развития данной технологии, но, похоже, что и это ограничение скоро будет снято. С появлением нового поколения 5G, не в последнюю очередь благодаря Samsung, предоставляющих связь на скоростях от 1 Гбит/с, через мобильную сеть можно с минимальной задержкой «прогонять» фактически любые корпоративные типы данных (документы, звук, видео хорошего разрешения). Ещё одним следствием такого «ускорения» также является всеобщая тенденция отказа от «толстых клиентов». Большинство современных бизнес-систем имеет нормальный веб-интерфейс, многие в дополнение к этому выпускают мобильного клиента или мобильную версию веб-интерфейса (которую также можно «завернуть» в приложение с помощь Progressive Web App).
Таким образом, получается, что сейчас, по сути, ничто не мешает работать только на смартфоне или планшете. Это, конечно, пока некоторая перспектива (помним про консерватизм ), но её реализация уже не за горами.
Т.е. получается, что мобильные устройства в будущем могут заменить классические ПК в корпоративной среде?
Постепенно бизнес уходит от системных блоков в сторону чего-то более мобильного. Сначала это были достаточно громоздкие пятикилограммовые лэптопы, работавшие на батарее не более полутора часов (старожилы вспомнят страшные выпирающие части расширенной батареи, которые давали один час к работе и полкило к весу), потом мы перешли на ультрапортативные ноутбуки весом 1,5-1,7 килограмм и временем работы шесть – семь часов, а сейчас уже повсеместно распространены аппараты меньше одного килограмма с 12 часами автономной работы.
Параллельно с этой «миниатюризацией» обычных компьютеров идёт «увеличение» смартфонов. Сегодняшний телефон обладает достаточно впечатляющими характеристиками: тот же S20 в своей топовой редакции имеет на борту 16ГБ памяти и восьмиядерный процессор, что даже для полноразмерных ноутбуков достаточно прилично.
Конечно, самый главный вопрос – это софт. Тут всё неоднозначно. Многие производители пробовали адаптировать десктопный интерфейс к использованию в мобильном окружении (touch, сравнительно небольшие экраны и прочие атрибуты мобильности), но идеальных решений пока, к сожалению, нет: возвращаемся к той самой пресловутой консервативности; никто не будет переписывать интерфейс на Delphi двадцатилетней давности. Вместе с тем в нативные мобильные приложения гораздо проще добавить поддержку «резиновых»/перетаскиваемых окошек, что, собственно говоря, и сделала компания Google в Android Nougat. Если интересен пример такого подхода, то можно обратить внимание на Samsung DeX.
По состоянию на сегодняшний день такой «восходящий» сценарий (превращение мобильных устройств в полноразмерные рабочие места) нам видится, как минимум, не менее перспективным, чем «нисходящий» (использование десктопов в качестве мобильных устройств).
Как внедрение мобильных технологий влияет на рабочий процесс?
Сложный вопрос. Как и любую технологию, мобильность можно использовать двояко: сделать жизнь в компании лучше или, наоборот, хуже.
Источник: Dilbert, перевод наш
Классически мобильность подразумевает подход «работай, где тебе удобно» (не путать с «работай постоянно» ). Концептуально это означает, что сотрудник может выполнять свои обязанности, не обязательно находясь на рабочем месте, но и будучи в командировке или, например, дома. И делать это он будет так же эффективно, как и в офисе. Помимо этого, упрощаются внутрикорпоративные процедуры: заказать справку 2НДФЛ или согласовать заявление на отпуск можно нажатием одной кнопки на своём смартфоне.
Отдельно необходимо отметить оптимизацию коммуникации внутри компании. Это особенно актуально для нашей страны, где в порядке вещей для организации иметь главный офис в Москве и региональные, например, в Екатеринбурге и Иркутске. В таком случае взаимодействие превращается в большую проблему. Когда коллеги всегда на связи с постоянным доступом к рабочему инструментарию, гораздо проще согласовать удобный для всех момент для звонка или группового чата с общим редактированием документов.
Ещё одним стимулом для сотрудников может служить предоставление мобильного устройства. На практике в компаниях распространены различные модели, от предоставления корпоративного гаджета с возможностью персонального использования смартфона (Corporate Owned, Personally Enabled, COPE), до персонального смартфона или планшета с рабочими приложениями (Bring Your Own Device, BYOD). Кстати, BYOD ведет свое происхождение от достаточно известной для тусовщиков аббревиатуры BYOB – bring your own beer – то есть «приходить со своим алкоголем» в описании вечеринки.
Человек, который перепутал BYOD с BYOB. Источник: Timo Elliott
Также возможны некоторые промежуточные варианты, при которых сотрудник может выбрать себе рабочее устройство с частично корпоративной оплатой и перспективой перехода гаджета в собственность через некоторое время (Choose Your Own Device, CYOD).
Резюмируя, для сотрудников мобильность – это свобода выбирать удобный для себя формат работы, а для компании – оптимизация расходов и хороший инструмент выстраивания слаженных процессов. Конечно, важен правильный баланс и тонкая настройка: некоторые сотрудники не обладают высокой самоорганизацией, а работодатели бывают склонны к излишнему контролю.
Что такое управление корпоративной мобильностью, и зачем это нужно?
Основная угроза: чем больше мобильное устройство вовлекается в корпоративную жизнь (рабочая переписка, документы, мессенджер для команды и пр.), тем больше на нём данных, потеря которых может чувствительно ударить по компании. Соответственно, содержимое устройства становится значимым активом компании, которым нужно управлять.
Тут сразу же возникает противоречие: безопасность требует максимального ограничения пользовательской свободы и детерминированных сценариев эксплуатации (доступ к почте только из офиса строго с 9 до 18), тогда как вся концепция мобильности подразумевает максимальную гибкость и вариативность использования.
На заре отрасли выбор всегда делался в сторону ограничений. Это порождало курьёзные ситуации. Сотруднику в качестве поощрения давали возможность установить на своё устройство корпоративную почту. Делалось это с условием применения всех правильных политик безопасности и установки агента для мониторинга потенциальных угроз. Этот агент безальтернативно устанавливал 12-значный цифро-букво-символьный пароль (в особенно изысканных случаях там был ещё словарь запрещённых комбинаций и ограничение по ротации паролей) на всё устройство и начинал собирать всю доступную ему информацию. Помучившись так неделю (при каждой попытке прочитать SMS нужно вводить этот самый пароль), пользователь со злостью удалял почту и забывал про это «поощрение» как страшный сон.
Источник: Dilbert, перевод наш
Сейчас ситуация кардинально поменялась. Хорошей практикой считается, когда система безопасности прозрачна и максимально незаметна для пользователя. Ей следует быть как замок из известной загадки, который «не лает, не кусает, а в дом не пускает». Пользователю должно быть максимально удобно работать с устройством, всю грязную работу на себя берёт система управления мобильностью.
Существует большое количество аббревиатур для систем управления корпоративной мобильностью — MDM, EMM, UEM. Расскажите в двух словах, в чем их различие и как это укладывается в единую концепцию?
Трактовка терминов у разных компаний может достаточно сильно варьироваться. Более-менее общепринятыми являются определения, сформулированные компанией Gartner.
Mobile Device Management (MDM) – термин, появившийся в конце 1990-х – начале 2000-х, обозначает системы, которые отвечают за управление жизненным циклом мобильных устройств. Под этим обычно понимают следующий функционал:
- инвентаризация устройств,
- настройка параметров ОС,
- управление подключением и отключением устройств от системы (provisioning and deprovisioning)
Со временем чистого MDM-функционала стало не хватать, и к нему часто стали добавлять следующие возможности:
- Mobile Application Management (MAM) – управление приложениями.
- Mobile Identity (MI) – управление учётными данными и доступом.
- Mobile Content Management (MCM) – управление контентом.
К середине 2010-х данный набор стал стандартом для рынка, и уже не было смысла делить решения на отдельные модули. Тогда появился термин Enterprise Mobility Management (EMM), который обозначал совокупность MDM, MAM, MI и MCM. Данное изменение было зафиксировано отчётом Gartner, опубликованным в 2014 году.
Далее возникла тенденция, о которой мы говорили раньше. Мобильные устройства стали точно таким же рабочим местом, как и классические десктопы и лэптопы, и стало понятно, что управлять ими нужно в едином контуре: больше нет деления на стационарное и мобильное. Это было отправной точкой для появления нового термина Unified Endpoint Management (UEM). Появление UEM было зафиксировано в отчёте Gartner 2018 года.
Источник: ITSMDaily
В новое десятилетие мы входим с парадигмой UEM, и именно так сегодня называются системы, задачей которых является управление мобильными и стационарными устройствами в компании.
Мы обсудили историю и теорию, давайте перейдём к практическим вопросам. Как теперь мобильное рабочее место может появиться на предприятии? Поделитесь, пожалуйста, опытом в данной сфере.
Любое внедрение – это всегда комплексная история, и двух одинаковых проектов не бывает. Но попробуем сформулировать некоторые общие моменты.
Инициатива по внедрению часто идёт снизу, от рядовых сотрудников. Сейчас мобильные устройства есть почти у всех, и это только вопрос времени, когда их станут применять для работы. Должна набраться критическая масса из людей с подобными гаджетами, после чего в сторону IT-отдела идёт запрос на предоставление подобной услуги.
Руководство в данном случае может выбрать две стратегии: поддержать (начинанию даётся «зелёный свет», и инициируется проект) или запретить. В последнем случае аргументацией является большой риск утечки («потеряет финансовую отчётность» или «конкуренты подсмотрят в метро через плечо»). Как показывает практика, такой подход не очень конструктивен. Даже если мобильные устройства строго запрещать, сотрудники всё равно будут их использовать «подпольно». Можно применять административные меры (выговоры, взыскания, санкции), но и это не всегда гарантирует 100% результат. И даже если подобного рода ограничения обоснованы, всегда найдётся сотрудник, который нарушит все запреты, и вот именно один этот случай будет иметь колоссальные последствия. Самой правильной стратегией, на наш взгляд, является старый добрый принцип: «не можешь победить – возглавь». Даже более опасная контролируемая среда во много раз лучше бесконтрольной.
Сначала это, как правило, почта (возможность «забирать» её мобильным клиентом), далее идут документы и различные рабочие системы (корпоративный портал, ERP, CRM и пр.). После «укоренения» технологии (когда становится отчётливо понятна тенденция), проектирование внутренних сервисов уже идёт с расчётом на их использование на различных платформах (в т. ч. мобильных).
Также распространён вариант, когда инициатива внедрения исходит от руководства. Не нужно забывать, что рабочая мобильность даёт много преимуществ, связанных с оптимизацией расходов и повышением «связности» бизнеса. Но тут также возможны «перегибы». В любой неоднородной среде (а типичное предприятие именно такая среда, состоящая из очень разных частей: бухгалтерия, склад и логистика, офис, полевой персонал) существуют свои интересы, и не все готовы к нововведениям. Распространена ситуация, когда часть коллектива воспринимает подобного рода изменения «в штыки» («у нас и так всё работает»). В таком случае хорошо зарекомендовал себя принцип «пряника», когда сотрудник получает некоторый бонус при использовании внедряемой системы (например, телефон как пропуск в офис или оплата обеда и бронирование переговорных комнат со смартфона). Эти бонусы должны стимулировать работника пользоваться мобильными устройствами, но не ограничивать или ущемлять его.
При внедрении комплексных проектов мобильности на предприятии полезны следующие инструменты:
- Проведение аудита и обследование текущего состояния инфраструктуры до начала внедрения. Это может быть мониторинговое ПО, установленное на конечные устройства с согласия пользователей и собирающее статистику по используемым приложениям и посещаемым сетевым ресурсам. Важна максимальная открытость и корректность в вопросах соблюдения анонимности и неприкосновенности частной жизни сотрудника. Конечная цель данной активности — получить комплексную картину текущей ситуации, а не выявить нарушителей. Хорошо работают разъяснительные семинары с наглядной демонстрацией функционала мониторингового ПО и вовлечение в процесс сбора статистики руководства.
- Обратная связь. Важно понимать, что происходит с проектом на стороне конечных пользователей. Это может дать ценную информацию об особенностях работы системы и положительно сказывается на отношении сотрудников. Форматы обратной связи могут быть различны: от очных встреч с обсуждением текущих проблем до некоторого опросника, возможно, анонимного, т.к. не все готовы свободно делиться своими впечатлениями.
- Рассчитывать ресурсы на итеративный процесс разработки и внедрения. Всё учесть на этапе старта проекта невозможно, поэтому всегда нужно закладывать дополнительные ресурсы на доработку. Многие при внедрении этого не учитывают, из-за чего проекты обрываются где-то в середине.
Два главных вопроса, которые всегда задают при внедрении:
- «Я ставлю систему на своё личное устройство, работодатель может читать мои файлы/переписку и будет следить за мной»
Нет, это не так. На сегодняшний день единственный вариант установки агента системы управления на ваше личное устройство – рабочий профиль (Work Profile). Рабочий профиль – это изолированная область, по сути — контейнер, аналогичный защищенной папке в телефонах Samsung. Приложения, установленные в ней, не имеют доступ к вашим личным данным и файлам, соответственно, они никак не могут повлиять на них.
То самое рабочее пространство – контейнер со своими приложениями для работы: календарь, браузер, контакты и прочее.
- «ИТ-специалист тратит 10 минут на настройку одного корпоративного устройства. Получается, что наш парк в 300 устройств он будет настраивать неделю, больше вообще ничего не делая. Это невозможно»
Если решать эту задачу «в лоб», то цифры получаются примерно такие (всё, конечно, сильно зависит от каналов связи и других внешних условий). Но есть и альтернативные подходы. В семействе Samsung Knox есть микросервис, называющийся Knox Mobile Enrollment (KME), который позволяет при первом подключении к сети «из коробки» устанавливать на устройство клиент управления и передавать ему настройки для подключения к серверу. Пользователю при этом не требуется совершать никаких действий. Таким образом мы можем существенно сократить участие IT в процедуре развёртывания. Из приятного – сервис бесплатный и он интегрирован в нашу систему.
Давайте теперь поговорим про безопасность. Бытует мнение, что устройства на Android не могут использоваться в корпоративной среде. В качестве основных аргументов приводят недостаточную безопасность и управляемость. Так ли это? Что говорит ваш опыт?
Это стереотип, но он достаточно устойчивый. Особенно печально, что его влиянию подвержены не только простые пользователи, но и некоторые работники IT и информационной безопасности.
Нет, сейчас ОС Android достаточно безопасна и очень распространена в корпоративном сегменте. Об этом говорит недавнее исследование, проведённое компанией IDC. Согласно нему 78% мобильных устройств, использующихся в различных компаниях по всему миру, работают под управлением ОС Android.
Отдельно про защищённость устройств Samsung. Согласно последнему рейтингу Gartner, платформа Knox получила рейтинг «strong» в 27 из возможных 30 позиций, что является одним из самых высоких результатов (примечание Samsung: более подробно про платформу Knox мы рассказывали в данной статье).
Чтобы аргументированно говорить о безопасности, нужно сначала определиться с видами угроз. Классически защита данных подразделяется на два больших сегмента.
- Data-at-rest (хранение и работа с данными). Сюда входят те виды угроз, которые связаны с «существованием» данных на конечном устройстве. Примеры:
- Кража данных. Как мы уже проговаривали, самая большая ценность корпоративного устройства – это данные на нём. Ими нужно управлять даже после потери или кражи устройства. Тут хорошая практика – использование корпоративного контейнера со строгой парольной политикой (возможно, двухфакторной аутентификацией – биометрия плюс пароль). Также правильным подходом является настройка автоматической реакции на подозрительные действия пользователя (несколько некорректных попыток ввода пароля или попытки компрометации устройства). В случае потери или кражи обязательно должна быть возможность заблокировать устройство на очень низком уровне так, чтобы восстановление его работоспособности было невозможно.
- Вирусы/троян. Одной из особенностей платформы Android является её открытость (написать приложение может любой). Этим, к сожалению, могут пользоваться злоумышленники. На корпоративных устройствах, имеющих доступ к важным данным, имеет смысл запрещать некоторые потенциально опасные приложения через чёрные списки. При работе с особо важными данными используется и более жёсткая политика белых списков — только включенные в него приложения могут быть установлены на устройство.
- Кража данных. Как мы уже проговаривали, самая большая ценность корпоративного устройства – это данные на нём. Ими нужно управлять даже после потери или кражи устройства. Тут хорошая практика – использование корпоративного контейнера со строгой парольной политикой (возможно, двухфакторной аутентификацией – биометрия плюс пароль). Также правильным подходом является настройка автоматической реакции на подозрительные действия пользователя (несколько некорректных попыток ввода пароля или попытки компрометации устройства). В случае потери или кражи обязательно должна быть возможность заблокировать устройство на очень низком уровне так, чтобы восстановление его работоспособности было невозможно.
- Data-in-transit (передача данных). Сюда включаются все угрозы, связанные с передачей данных. Тут могут быть следующие примеры:
- Незащищённый трафик. Публичные Wi-Fi точки доступа бывают полезны по время командировок или когда вы далеко от рабочего места, но нужно поработать с большим объёмом данных. При этом, к сожалению, нельзя гарантировать, что канал безопасен, и его не отслеживают злоумышленники. Для борьбы с данным типом угроз обычно используют VPN с автоматической активацией по запуску определённых приложений.
- Незащищённый трафик. Публичные Wi-Fi точки доступа бывают полезны по время командировок или когда вы далеко от рабочего места, но нужно поработать с большим объёмом данных. При этом, к сожалению, нельзя гарантировать, что канал безопасен, и его не отслеживают злоумышленники. Для борьбы с данным типом угроз обычно используют VPN с автоматической активацией по запуску определённых приложений.
С точки зрения управления обычно обозначают следующие моменты:
- Управление обновлением ОС. Обновления обязательно нужно ставить (примечание Samsung: по этой тематике у нас также была статья), но в корпоративной среде есть нюанс: приложения обычно модернизируются медленно, и очередной апдейт может повлечь за собой сбои в работе критически важной для бизнеса системы, а это означает финансовые потери. Поэтому к обновлениям ОС нужно подходить аккуратно, всегда анализируя нововведения и проводя тестирование на предмет совместимости с текущей инфраструктурой.
- Удалённая поддержка. Уровень технических знаний конечных пользователей разный, некоторым требуется помощь в настройке. По аналогии с десктопами должна поддерживаться возможность удалённого подключения, желательно, с возможностью перехвата управления.
- Отчётность. Для понимания, куда развиваться, требуется комплексная картина. Чем детальнее эти данные будут, тем лучше мы можем проанализировать текущую ситуацию и перспективы. При этом получение данных не должно нарушить личную жизнь сотрудников (никакой персональной информации).
В принципе, это очевидные запросы. Но реализовать их удаётся не всегда в силу ограниченных возможностей разных платформ. В своё время в решении данных задач нам очень помог Knox Platform For Enterprise — разновидность платформы Knox для корпоративных задач. KPfE — это набор инструментов (SDK, утилиты, веб-сервисы и аппаратные механизмы устройств), расширяющий возможности стандартной ОС Android в части управления и мониторинга. Удобно, что для использования функционала не обязательно писать много кода, есть вариант использования Knox Service Plugin, который настраивается с помощью OEMConfig (стандартный механизм Android for Enterprise).
В российском офисе Samsung есть специалисты, оказывающие помощь по данному направлению, мы обращаемся к ним со сложными вопросами. Это сегодня большая редкость: чаще по вопросам разработки приходится общаться с коллегами из Индии или Китая, что из-за языкового барьера и разницы часовых поясов достаточно сложно.
Напоследок хотелось бы поговорить про российский рынок. Есть ли у проектов, реализованных у нас в стране, какая-то специфика?
Российский рынок немного отстаёт от мировых трендов. У нас корпоративная мобильность находится в состоянии становления. Из-за этого общепринятые решения пока кажутся чуждыми и неприменимыми.
Ярчайшим примером таких предубеждений является облако. Часто заказчики категорически отказываются от использования этого подхода, аргументируя решение отсутствием доверия к безопасности и надёжности подобных систем. Эта точка зрения, на наш взгляд, сегодня уже неактуальна. «Облачный» не значит «ненадёжный» и «небезопасный». Это доказывается опытом многих крупных компаний, доверивших облакам существенную часть своих бизнес-процессов — Netflix, Spotify, и целый ряд других.
То, что сервис будет развёрнут у вас на площадке, не гарантирует, что он будет работать всегда. На самом деле немногие могут себе позволить поддерживать у себя в серверной условия, сопоставимые с сертифицированным и аттестованным дата-центром. Отдельной строкой идёт поддержка софта – любая система состоит из большого количества «невидимых» компонентов (ОС, БД, веб-сервер и пр.), которые требуют постоянной поддержки и регулярного обновления. Резюмируя: собственная инфраструктура – это дорого и хлопотно и, к сожалению, не всегда надёжно. Облако гораздо дешевле, и все работы по поддержке и обновлению берёт на себя поставщик услуги.
Отдельно стоит отметить требования сертификации решений, предъявляемые регуляторами, например, для работы с персональными данными. Бытует мнение, что такое на Android невозможно. Наш опыт показывает, что в сочетании с сертифицированными средствами обеспечения безопасности это возможно даже в организациях с жёстким регламентом.
(от автора) Мы надеемся, что нам удалось развеять некоторые «страшилки», и уж по крайней мере теперь станет ясно, что в жизни всё несколько сложнее, чем в этом комиксе:
Источник: Dilbert
Задавал вопросы:
Владимир Карачаров,
Manager, B2B Pre/Post Sales
Business Development Team
Samsung R&D Institute Russia
Отвечал:
Олег Ассур,
Главный инженер
НИИ СОКБ