Аббревиатура BYO (bring your own) с середины прошлого века используется в приглашениях на увеселительные мероприятия — в основном как BYOB (bottle, beer, booze и пр.). Сегодня похожий акроним — BYOD (bring your own device, или «приносите свое [мобильное] устройство») ворвался в сектор корпоративного управления. Для ИТ-специалистов данное понятие находится в ассоциативном поле, весьма далеком от вечеринок и застолий. Более того, многие из них боятся этого явления, ведь если сотрудники и руководители начнут просматривать служебную почту прямо со своих личных устройств, то соответствующую информацию нужно будет защищать, а это очень сложно, поскольку устройства не принадлежат компании. Но так ли страшен BYOD, как его малюют иные сисадмины?
Казалось бы, если мобильность как таковая не является сутью бизнеса (например, в случае с ремонтными бригадами, такси или автоперевозками), то проблемы BYOD вроде как и не существует. Но, согласно недавнему опросу, проведенному Cisco и «Микротест», 74% российских компаний уже предоставляют сотрудникам доступ в корпоративную сеть со своих мобильных устройств. То есть спрос на BYOD в нашей стране есть, и немалый, раз уж его приходится удовлетворять. Использование планшетов «в корпоративных целях» — уже давно не каприз избалованных топ-менеджеров, а насущная потребность масс.
Что же происходит, когда сотрудники «просто читают корпоративную почту» на своих смартфонах и планшетах вне стен офиса? Один бизнес-гуру в области консалтинга как-то сказал: «Моя работа — сплошной стресс, ведь каждый вечер все мои активы расходятся по своим домам». Теперь, как только руководство организации одобрит BYOD, по домам будет разбегаться и вся корпоративная информация. А там... больше половины сотрудников используют публичные сети для доступа к серверам компании и дают родным и знакомым «поиграть» со своими устройствами. Они не «запароливают» их и каждое десятое теряют.
С чего начинается BYOD?
По данным Forrester Research, 48% опрошенных сотрудников различных корпораций по всему миру хотят покупать себе смартфон по собственному выбору и использовать его для работы. Хюн Парк, главный аналитик Nuclear Research, сказал: «Три четверти компаний используют BYOD в некоторой степени — и не всегда по своей воле. Но тенденции таковы, что BYOD уже никуда не уйдет. И игнорировать это — все равно что пытаться засунуть зубную пасту обратно в тюбик».
Барьер любого прогресса — невежество. Согласно недавнему исследованию Network World и SolarWinds, 65% ИТ-профессионалов признались, что не знают о существовании инструментов, позволяющих управлять мобильными устройствами, не принадлежащими компании, либо у них нет таких инструментов. Но есть и хорошие новости: по данным того же исследования, 46% респондентов, все-таки внедривших у себя политику BYOD, констатировали повышение производительности сотрудников.
Безусловно, внедрение идеологии BYOD должно инициироваться по принципу «лучше раньше, чем позже» — до того, как сотрудники начнут массово требовать подключить их мобильные устройства к корпоративным ИТ-ресурсам. Главное — поставить перед собой правильные вопросы, ну и ответить на них.
• Кто и как будет разрабатывать внятную политику BYOD?
• Какую выбрать политику удаленного доступа к корпоративным данным: вход с устройства, удаление и восстановление данных на устройстве и т. д.?
• Какие типы устройств поддерживать?
• По каким принципам будут распределяться привилегии доступа к данным в зависимости от должности сотрудника и типа его устройства?
• Какие инвестиции потребуются для внедрения политики BYOD, в том числе на закупку и запуск системы управления мобильными устройствами (Mobile Device Management, MDM), средств доступа к корпоративным сетям, инструментов восстановления данных, виртуальной локальной сети и инфраструктуры виртуальных рабочих мест (virtual desktop infrastructure, VDI)?
• Кто будет отвечать за организацию линий поддержки мобильных пользователей?
• Как компенсировать затраты сотрудников на работу с корпоративными данными (путем возмещения затрат, финансирования части стоимости устройства, выдачи корпоративных ссуд и т. п.)?
Внедрение BYOD неизменно проходит три стадии: корпоративная почта; корпоративные порталы и веб-сервисы; корпоративные мобильные приложения. Эксперты выделяют четыре вида корпоративных мобильных приложений: процессные (управление «полевыми» сотрудниками, прямые поставки, учет активов, розничные операции и пр.); продуктивные (согласования, регистрация потраченного времени и пр.); клиентские (мобильный электронный магазин, система лояльности покупателей, каталог товаров и пр.); аналитические (анализ ключевых показателей, мобильный командный пункт и пр.).
Дюжина признаков хорошей MDM-системы
Перед тем как приступить к выбору MDM-системы, нужно, во-первых, сформулировать стратегию «мобилизации» компании и, во-вторых, политику BYOD (которая в идеале смогла бы заработать и без MDM-инструментов). После этого можно приступать к поиску поставщика MDM.
На основе двух отчетов Gartner Magic Quadrant за 2012 и 2013 годы и с учетом опыта моих коллег рекомендую следующий список критериев качественной MDM-системы.
1. Контейнеризация почты, приложений и файлов. MDM-система выделяет для корпоративных данных на мобильном устройстве специальную область — контейнер. Корпоративные данные, помещенные в контейнер, не могут быть извлечены без ведома или разрешения владельца MDM-системы даже самим хозяином данного смартфона. Естественно, можно дистанционно удалять содержимое такого контейнера, не затрагивая личных данных пользователя.
2. Опция «Облако». Можно сколько угодно спорить, правильно ли доверять безопасность корпоративных данных «какому-то американскому облаку». Однако тысячи компаний по всему миру смело это делают. Взамен они получают скорость внедрения и экономию капитальных затрат. Так что сегодня можно выбирать, приобретать ли MDM как услугу в облаке или как традиционное приложение, развертывая его на собственном сервере. Главное — выбрать один из этих вариантов еще на стадии подбора MDM-системы.
3. Универсальность. Идеальная MDM-система может управлять и мобильными устройствами, и ноутбуками, и ПК.
4. Поддержка Windows Phone. Многие MDM-производители пока что эту платформу, имеющую неплохие шансы в корпоративном секторе, не поддерживают. К слову сказать, большинство MDM очень хорошо работают с iOS, а вот с Android не все так просто и однозначно: некоторые системы работают не «с Android-устройствами» вообще и даже не с какими-то версиями этой популярной операционной системы в частности, а с конкретными производителями мобильных устройств, например Samsung, LG, Motorola.
5. Корпоративный магазин приложений. С момента принятия политики BYOD до появления в компании корпоративных приложений проходит очень мало времени. Сначала сотрудники требуют возможность работать с корпоративной почтой со своих смартфонов, потом им нужен мобильный корпоративный портал, затем дело доходит до мобильных приложений. В компании должен быть свой аналог AppStore — такой же удобный в использовании, как и «яблочный» магазин.
6. Вне поставки. Иногда MDM-система может и не содержать некоторые необходимые для обеспечения BYOD компоненты. Например, ряд MDM поставляются без функциональности управления сертификатами безопасноcти.
7. Обеспечение единого входа (Single Sign On, SSO). MDM-система только тогда превращается из «запретительно-контролирующей» и «мешающей нам спокойно работать» в эффективный BYOD-сервис, когда начинает уважать такое понятие, как удобство пользователя.
8. Портал самообслуживания. С его помощью пользователи могут самостоятельно устанавливать себе все необходимое инфраструктурное программное обеспечение, обмениваться с MDM-сервером сертификатами безопасности и т. п.
9. Обучение. Насколько трудно самостоятельно установить и поддерживать ту или иную MDM-систему? Ни одна из них не устанавливается «сама по себе». А некоторые требуют еще и обязательного специализированного дорогостоящего обучения, миновать которое, изучая руководства пользователей, не удастся.
10. Интеграция с внешними системами. Полезно интегрировать MDM с системами управления затратами на телекоммуникации (telecom expense management, TEM), их использование ведет к реальной экономии на сотовой связи, причем такая экономия достигается только в связке с MDM. Поэтому, если планируется интеграция MDM с TEM, следует предъявить к ней требования по наличию уже готовых интеграционных механизмов.
11. Наличие API. Равно или поздно компания начнет разрабатывать или закупать корпоративные мобильные приложения. Будет, мягко говоря, неразумно, если эти приложения не смогут интегрироваться в общекорпоративные политики BYOD.
12. Аналитика и отчетность. MDM-система окажется бесполезной, если не обеспечит предоставление руководству компании гибкой аналитики об установленных приложениях, попытках несанкционированного копирования данных и т. п. И не стоит надеяться на то, что удастся легко извлечь эти данные в виде отчетов из файлов CSV или TXT, которые сгенерирует MDM-система после ее внедрения.
Особняком стоит такая «маленькая», но очень важная функция, как браузерный доступ к корпоративным сервисам через защищенное соединение. Эта функция понадобится на «второй стадии» внедрения BYOD.
Напоследок об отраслевом опыте использования MDM: не стоит тратить время на его поиск, так как двух одинаковых политик BYOD все равно не бывает.
Инструмент управления BYOD
Чтобы снизить риски реализации политики BYOD, потребуется MDM-система. Она обеспечивает контроль, управление и поддержку мобильных устройств, используемых в корпоративных целях. Функциональность MDM включает в себя распространение корпоративных настроек и приложений на устройства сотрудников, удаленную настройку конфигураций и передачу данных для разных типов мобильных устройств, включая мобильные телефоны, смартфоны, планшетные компьютеры, ноутбуки, а также мобильные принтеры, мобильные POS-терминалы, терминалы эквайринга и т. п. Это относится как к устройствам компании, так и к устройствам сотрудников. При наличии необходимых договоренностей MDM может защищать и устройства контрагентов — клиентов и партнеров.
MDM-система незаменима, когда нужно управлять устройствами большого количества мобильных пользователей. Классический пример — отправка группы из ста человек на «режимный», «засекреченный» объект: системному администратору потребуется меньше минуты, чтобы удалить значок «камера» с каждого из ста мобильных устройств, лежащих в карманах и сумочках участников группы.
Помимо обеспечения безопасности, MDM позволяет значительно сокращать расходы на ИТ-поддержку парка мобильных устройств. MDM-системы экономят расходы на администрирование и позволяют четко контролировать целевое использование корпоративной информации.
В своем отчете Magic Quadrant for Mobile Device Management Software компания Gartner определяет MDM-системы в первую очередь как инструмент управления политиками конфигурации мобильных устройств, который поддерживает функции безопасности, сетевых сервисов, а также управление программным и аппаратным обеспечением на разных операционных системах. В частности, системы, включенные в этот обзор, обладают следующей функциональностью.
1. Управление безопасностью: автоматизированная загрузка, мониторинг и перезапуск сертификатов безопасности для электронной почты, мобильных приложений, сетевого Wi-Fi-доступа, VPN и т. п.; запрос пароля; дистанционная «очистка» устройства; удаленное «запирание» устройства; аудиторский след, включая возможность мониторинга конфигурации устройства через центральную панель администратора; идентификация взлома устройства; управление политиками и доступами; мобильный VPN.
2. Управление программным обеспечением: загрузчик приложений; возможность загружать и удалять приложения на мобильном устройстве; верификация происхождения мобильного приложения; поддержка централизованных обновлений мобильных приложений; корпоративный «магазин приложений» (по аналогии с AppStore или Google Play); возможность листинга и поиска доступных для установки корпоративных приложений.
3. Управление аппаратным обеспечением: блокирование внешних накопителей данных; история изменений конфигурации устройства; управление сетевым доступом; возможность считывания с мобильного устройства информации о местонахождении, использовании, идентификации сотовой и WLAN-сети, в том числе биллинговых данных, отчетности по закупкам, статистики использования поддержки, контрактных данных.
От себя добавлю еще ряд интересных функций, которыми обладают MDM-системы: шифрование данных; инициализация и настройки мобильных приложений; удаленное обновление конфигурации; мониторинг и регистрация деятельности и событий; несанкционированный доступ через зараженные вирусами устройства; удаленное резервное копирование; обеспечение соблюдения политик безопасности; отслеживание деятельности и передвижений.
Итак, BYOD и MDM. С чего же начать?
Если в компании используются преимущественно устройства под управлением Android и корпоративная почта ведется с помощью Google Apps, следует обратить внимание на MDM-возможности Google — это позволит не только экономить на сопровождении корпоративной почты, но и вполне сносно управлять мобильными устройствами.
Многие компании начинают внедрение MDM слишком быстро, после весьма поверхностного ознакомления с системой и без оценки ее развития с учетом планов компании. «MDM — это необходимо, но недостаточно, — считает Хюн Парк. — Они управляют устройствами, данными и приложениями, но не покрывают вопросы сетевого доступа, а также затрат на сетевой (сотовый) трафик».
Прежде чем внедрять BYOD, следует выполнить ряд несложных рекомендаций.
• Принять BYOD как данность.
• Сформулировать работоспособную политику BYOD.
• Быть готовым инвестировать.
• Реально оценить требуемый уровень безопасности. Очевидно, что BYOD в банках требует совершенно других подходов, нежели в сети кофеен.
• Определиться с типами поддерживаемых устройств.
• Учесть, что одна политика не подходит ко всем типам устройств. Например, BlackBerry и iOS могут взаимоисключать друг друга.
• Составить матрицу: должностные функции сотрудников / организационные уровни / цели сотрудников — и насколько им требуется мобильность для их достижения. Следует сделать ее максимально полной.
Сторонники BYOD постоянно акцентируют внимание на экономическом эффекте внедрения такой политики за счет снижения затрат на закупку «железа» и на поддержку. Однако практики и эксперты уверены, что эта экономия легко нивелируется инфраструктурными затратами на MDM и другими неочевидными расходами. Можно долго рассуждать, прибыльна ли концепция BYOD по своей природе или убыточна. Так или иначе, главным результатом ее внедрения является заметный, а иногда экспоненциальный рост производительности сотрудников — ведь они начинают работать не только в дороге, но и в свободное от работы время, потому что каждый пользователь теперь может работать с тем устройством, которое: а) ему нравится, б) он им безраздельно владеет и в) он ему доверяет.
И все-таки чем BYOD пугает сисадминов? Наверное, тем, что компания, внедрившая у себя MDM, очень сильно изменяется. Раз и навсегда.
- Дмитрий Слиньков — сооснователь и генеральный директор компании Soloten; dslinkov@soloten.com