Η νέα πραγματικότητα στο ΙΤ των επιχειρήσεων, που θέλει τις φορητές εταιρικές ή προσωπικές συσκευές των χρηστών να εντάσσονται στο υπολογιστικό οικοσύστημα του Οργανισμού, απαιτεί τους κατάλληλους μηχανισμούς διαχείρισης, που θα ελαχιστοποιήσουν τα ρίσκα που προκύπτουν από τη “φιλοξενία” των συσκευών αυτών στις ΙΤ υποδομές.
Οι φορητές συσκευές, κυρίως smartphones και tablets, αξιοποιούνται πλέον ευρέως τόσο για ατομική χρήση όσο και σε εταιρικό επίπεδο. Και αυτό γιατί εισάγουν ένα υψηλό επίπεδο ευχρηστίας φέροντας πληθώρα εφαρμογών, επιτρέποντας την άμεση πρόσβαση στο Internet και αξιοποιώντας πλήρως τις WEB και cloud εφαρμογές. Όλα τα προαναφερόμενα τις καθιστούν ένα πολυεργαλείο που ο καθένας θέλει να χρησιμοποιεί για την απλοποίηση των καθημερινών διεργασιών του και στο εργασιακό περιβάλλον.
Σε πρώτη φάση και λόγω της προσιτής τιμής τους πλέον, οι φορητές συσκευές εισήχθησαν στην επιχειρησιακή πραγματικότητα από τους ίδιους τους χρήστες και μάλιστα σε μεγάλο αριθμό. Έτσι δημιουργήθηκε το πρώτο πρόβλημα για τους ΙΤ διαχειριστές, οι οποίοι είναι αυτοί που πάντοτε είναι υπεύθυνοι για την εισαγωγή νέου υλικού στην εταιρική δομή, στα πλαίσια εφαρμογής της κεντρικής πολιτικής. Στην προκειμένη περίπτωση και λόγω των προαναφερομένων δυνατοτήτων των φορητών συσκευών “υπέκυψαν” στη νέα πραγματικότητα, αλλά απεδείχθησαν ανέτοιμοι να αντιμετωπίσουν όλα τα θέματα ασφάλειας που ανέκυπταν από τη νέα τεχνολογία. Κι αυτό γιατί στο παρελθόν όλο το υλικό και λογισμικό της εταιρείας αποτελούσε κτήμα της και βρισκόταν υπό τον πλήρη έλεγχό της, από τη στιγμή εισαγωγής της στο σύστημα.
Κατά συνέπεια, για να είναι ωφέλιμη η χρήση φορητών συσκευών για μία επιχείρηση, πρέπει να γίνει επανακαθορισμός των πολιτικών ασφαλείας που θα εφαρμόζονται, να διαμορφωθούν εκ νέου τα εργαλεία παροχής προστασίας ή να αποκτηθούν νέα και καταλληλότερα και γενικά να υπολογιστούν προσεκτικά όλα τα διαχειριστικά θέματα που ανακύπτουν και φυσικά καλύπτουν ένα ευρύ φάσμα. Ακολούθως, σε πρώτη φάση θα αναλυθούν τα σημεία εκείνα που πρέπει μια εταιρεία να λάβει υπόψη της κατά την ΙΤ διαχείριση των φορητών συσκευών και εν συνεχεία θα παρατεθούν οι σημαντικότεροι τομείς που πρέπει να καλύπτει ένα λογισμικό ασφαλείας που εφαρμόζεται ειδικά για τις
ενδοεταιρικές φορητές συσκευές.
Διαχειριστικά θέματα σχετικά με τις εταιρικές φορητές συσκευές
Η εισαγωγή των φορητών συσκευών στην επιχειρησιακή πραγματικότητα συνεπάγεται αφενός τη διευκόλυνση των διεργασιών του καθημερινού έργου, αλλά και τη λήψη ρίσκου και την εισαγωγή διαχειριστικών προβλημάτων. Έτσι το ΙΤ τμήμα πρέπει να εξασφαλίσει τρόπους που αυτές οι συσκευές θα διαμορφώνονται, θα υπόκεινται σε λειτουργικούς ελέγχους και δοκιμές και θα συμμορφώνονται με τους κανόνες ασφάλειας που τίθενται σε επιχειρησιακό επίπεδο, ειδικότερα στις περιπτώσεις όπου ακολουθείται η πολιτική του Βring Υour Own Device – BYOD.
Διαμόρφωση συσκευής: Στις περιπτώσεις όπου η εταιρεία προμηθεύει τους υπαλλήλους της με φορητές συσκευές, το ΙΤ τμήμα οφείλει προτού τις παραδώσει στον τελικό χρήστη να τις ενεργοποιήσει, να τις διαμορφώσει και να εγκαταστήσει σε αυτές όλες εκείνες τις εφαρμογές που θα τις καταστήσουν λειτουργικές για την επιχείρηση. Παρόλα αυτά, μιας και ο σχεδιασμός αυτών των συσκευών ήταν για ιδιωτική χρήση, μπορεί να φέρουν εφαρμογές που να επιτρέπουν στο χρήστη να διαμορφώσει μόνος του τη συσκευή του, όπως μέσω του iTunes σε ένα iPad.
Στην περίπτωση όμως που ο καθένας εισάγει στην επιχείρηση τη συσκευή της επιλογής του, πρέπει να υπάρχει μέριμνα ώστε η διαμόρφωση και η παρακολούθηση των συσκευών να είναι εφικτή για κάθε διαφορετικό λειτουργικό σύστημα που υπάρχει στην αγορά (Android, BlackBerry, iOS και Windows). Σε αυτό το σημείο είναι που ανακύπτει η ανάγκη ενός λογισμικού που θα διαχειρίζεται όλες αυτές τις διαφορετικές πλατφόρμες επιτυχώς και θα ασκεί ταχύ και ουσιαστικό έλεγχο κατά τη λειτουργία τους, μιας και η κάλυψη αυτού του όγκου συσκευών με τα παραδοσιακά εργαλεία δεν είναι πλέον εφικτή. Έτσι κάθε εταιρεία πρέπει να υιοθετήσει μια εφαρμογή διαχείρισης φορητών συσκευών, MDM: Mobile Device Management.
Επιπρόσθετα, οι αυστηρά επαγγελματικές εφαρμογές που διαθέτουν οι φορητές συσκευές ίσως χρειαστούν με τη σειρά τους κάποιες αλλαγές για να συνεργάζονται αρμονικά με τις εταιρικές εφαρμογές. Για παράδειγμα, για να προστεθεί ένας MDM agent στη συσκευή, ίσως απαιτηθεί η αναβάθμιση του Microsoft Exchange ActiveSync και η αλλαγή των πολιτικών του. Με τη χρήση των δύο ανωτέρω εφαρμογών, θα μπορούσαν οι ΙΤ διαχειριστές να αποφασίσουν ακόμα και απομακρυσμένα να διαγράψουν κάποια αρχεία από μία συσκευή ή αν απαιτείται να εφαρμόσουν ολική εκκαθάρισή της και επαναφορά στις εργοστασιακές ρυθμίσεις λόγω παραβίασης κάποιας πολιτικής ασφάλειας.
Έλεγχος εφαρμογών: Οι φορητές συσκευές έχουν την ιδιαιτερότητα της μικρότερης επεξεργαστικής ισχύος, μνήμης και οθόνης σε σχέση με έναν παραδοσιακό σταθμό εργασίας. Προφανώς, προτού η ΙΤ διαχείριση και οι διεργασίες της εταιρείας στηριχτούν σε συγκεκριμένες εφαρμογές, πρέπει πρώτα να δοκιμαστούν για την επιτυχή λειτουργία τους στις φορητές συσκευές. Επίσης πρέπει να ελεγχθεί η απόδοση αυτών των εφαρμογών όταν καλούνται να επικοινωνήσουν με το εταιρικό δίκτυο μέσω Wifi ή μέσω κυψελοειδούς δικτύου, μιας και είθισται σε αυτές τις περιπτώσεις να υποβαθμίζεται αισθητά.
Ασφάλεια: Ο σημαντικότερος τομέας που πρέπει να αντιμετωπιστεί από το ΙΤ τμήμα σχετικά με τις φορητές συσκευές, είναι η προστασία των εταιρικών δεδομένων και διεργασιών που φέρουν. Ακόμα και αν ένας υπάλληλος αποχωρήσει από την εταιρεία και διακοπεί η πρόσβασή του στο εταιρικό δίκτυο, στη φορητή συσκευή του θα διατηρεί ευαίσθητα δεδομένα της εταιρείας, που πρέπει να ανακτηθούν και να διαγραφούν άμεσα. Μέτρα ασφαλείας που μπορούν να ληφθούν είναι η χρήση πιστοποιητικών SSL, η πλήρης κρυπτογράφηση του δίσκου, η χρήση συστημάτων virtualization του σταθμού εργασίας και η απομακρυσμένη διαγραφή των συσκευών.
Τα SSL πιστοποιητικά πρέπει να χρησιμοποιούνται όταν η εταιρεία θέλει να αυθεντικοποιήσει τις συσκευές που συνδέονται στο δίκτυό της και έχουν πρόσβαση στις εφαρμογές της. Η πλήρης κρυπτογράφηση του δίσκου της φορητής συσκευής βοηθά στην αποφυγή απώλειας δεδομένων, αν και δημιουργεί κάποια προβλήματα συνεργασίας με τις εφαρμογές, ιδιαίτερα στις περιπτώσεις όπου κάθε χρήστης χρησιμοποιεί την προσωπική του συσκευή. Η απομακρυσμένη διαγραφή – εκκαθάριση βοηθά στην αποτροπή πρόσβασης στα εταιρικά δεδομένα. Οι χρήστες πρέπει να είναι ενήμεροι για τις συνθήκες υπό τις οποίες κάτι τέτοιο θα εφαρμοστεί και επίσης η μέθοδος εγείρει θέματα σχετικά με τα προσωπικά δεδομένα του χρήστη, εφόσον τη συσκευή δεν του την έχει προμηθεύσει η εταιρεία. Τέλος, τα συστήματα Desktop virtualization παρέχουν πρόσβαση σε εφαρμογές και δεδομένα που είναι κεντρικά αποθηκευμένα και διαχειρίζονται άμεσα από το ΙΤ τμήμα. Οι χρήστες λειτουργούν μέσω virtual desktops στις φορητές συσκευές τους, αποφεύγοντας έτσι τον κίνδυνο να διατηρήσουν στη μνήμη τους δεδομένα της εταιρείας ή να εγκαταστήσουν εταιρικές εφαρμογές.
Η υιοθέτηση του MDM
Όλα τα προαναφερόμενα αποτελούν θέματα που άπτονται της λειτουργίας του ΙΤ τμήματος κάθε εταιρείας. Ιδανικά, κάθε εταιρική συσκευή θα έπρεπε να διαχειρίζεται από το ΙΤ τμήμα καθ’ όλη τη διάρκεια της “ζωής” της, δηλαδή από τη στιγμή που ενεργοποιείται έως τη στιγμή που αποσύρεται. Το πρόβλημα, που ενισχύθηκε με την ολιγωρία των εταιρειών στην αρχή της εμφάνισης των φορητών συσκευών, είναι ότι δεν γίνεται να προστατεύσεις οτιδήποτε δεν διαχειρίζεσαι και δεν μπορείς να διαχειριστείς οτιδήποτε δεν βλέπεις.
Γι’ αυτόν το λόγο απαιτείται η υιοθέτηση ενός συστήματος MDM, ώστε να εξασφαλίζεται η επιθυμητή «ορατότητα» για τις συσκευές που συνδέονται απομακρυσμένα στο εταιρικό δίκτυο και να επιτυγχάνεται η διαχείρισή τους σε όλα τα επίπεδα που απασχολούν τους ΙΤ διαχειριστές. Φυσικά, κάθε MDM έχει τα δικά του χαρακτηριστικά και καλύπτει συγκεκριμένους τομείς, ενώ η πολυπλοκότητα αυξάνεται αν ληφθεί υπόψη και η ποικιλία συσκευών που υπάρχουν στην αγορά. Έτσι, προτού αποφασιστεί ποιο λογισμικό θα αποκτηθεί από την εταιρεία, πρέπει να αποσαφηνιστούν οι στόχοι της σε σχέση με τη διαχείριση των φορητών συσκευών. Ακολουθεί μια λίστα από τομείς που καλύπτουν χαρακτηριστικά και δυνατότητες των MDM, αν και πρέπει να σημειωθεί ότι είναι δύσκολο ένα MDM να καλύπτει όλα τα ακόλουθα καθ’ ολοκληρία.
Αρχειοθέτηση φορητών συσκευών: Σημαντική είναι η αρχειοθέτηση των φορητών συσκευών που ανήκουν στο εταιρικό δίκτυο, των χαρακτηριστικών που διαθέτουν και των εξαρτημάτων που φέρουν. Το MDM καταγράφει τις συσκευές και τα βασικά χαρακτηριστικά τους (μοντέλο υλικού και έκδοση λογισμικού) και συλλέγει αναφορές για σχετιζόμενα με αυτές εξαρτήματα, όπως προσαρμογείς ασύρματου δικτύου και φορητές μνήμες. Επίσης κατηγοριοποιεί τις συσκευές είτε βάσει του λειτουργικού συστήματος που φέρουν είτε βάσει της κατάστασης λειτουργίας τους (άγνωστη, εξουσιοδοτημένη κ.ά.). Για την ανανέωση του αρχείου συσκευών το MDM εκτελεί λειτουργίες ανίχνευσης σε τακτά χρονικά διαστήματα, σαρώνοντας τις συνδεδεμένες στο δίκτυο συσκευές και αναζητώντας διαφοροποιήσεις όπως προσθήκη νέων συσκευών, απόσυρση παλαιοτέρων ή αλλαγή στην κατάσταση λειτουργίας τους. Τέλος, με τη βοήθεια του MDM και του GPS που φέρουν πλέον τα περισσότερα smartphones καταγράφεται με ακρίβεια και η φυσική θέση της κάθε συσκευής. Το αρχείο μπορεί να αποτελέσει μέρος της βάσης δεδομένων της εταιρείας και να χρησιμοποιηθεί για αναζήτηση και εξαγωγή αναφορών.
Διαμόρφωση φορητής συσκευής: Η διαχείριση των φορητών συσκευών αποτελεί μια πολύπλοκη διαδικασία λόγω των πολυάριθμων κατασκευαστών και των διαφορετικών λειτουργικών συστημάτων που φέρουν, σε διαφορετικές επίσης εκδόσεις. Οι βασικές διαχειριστικές διεργασίες πρέπει να προαποφασιστεί ποια από τα ανωτέρω θα υποστηρίζουν και εν συνεχεία να επιλεγεί το κατάλληλο MDM λογισμικό. Φυσικά η διαχείριση επιβάλλει την εγγραφή της συσκευής στο εταιρικό δυναμικό, κάτι που επιτυγχάνεται είτε αυτόματα μέσω MDM είτε από τον ίδιο το χρήστη, πάντα με την τελική έγκριση από τους διαχειριστές. Ακολούθως, ένας MDM agent πρέπει να εγκατασταθεί στη συσκευή, κάτι που ανάλογα το λογισμικό γίνεται είτε χειροκίνητα είτε με συγχρονισμό μέσω σταθμού εργασίας, email ή url που δίνεται στο χρήστη μέσω email ή SMS. Για να καταστεί η συσκευή λειτουργική για την επιχείρηση πρέπει να παρακαμφθούν αρκετές από τις εργοστασιακές ρυθμίσεις που φέρει και να εφαρμοστούν νέες, ώστε ουσιαστικά να αποκλειστεί η χρήση συγκεκριμένων εφαρμογών και να επιτραπεί η χρήση άλλων. Ορίζονται λοιπόν τυπικές διαμορφώσεις για κάθε είδους συσκευές, οι οποίες εφαρμόζονται με τη βοήθεια του MDM μετά την αρχική ενεργοποίηση ή μέσω hard reset, με τις οποίες μπορούν να οριστούν κωδικοί πρόσβασης, να προστεθούν κλειδιά registry ή να δημιουργηθούν νέα μενού στις συσκευές.
Διανομή λογισμικού: Πολλά MDM συστήματα παρέχουν εργαλεία διανομής και αναβάθμισης των εφαρμογών που φέρουν οι φορητές συσκευές. Ουσιαστικά βοηθούν τους διαχειριστές να καθορίσουν και να ομαδοποιήσουν τα δεδομένα που θα αποσταλούν προς τη συσκευή και εφαρμόζουν και τις απαιτούμενες για τη συσκευή ρυθμίσεις, ώστε να υπάρχει ομαλή λειτουργία τόσο της συσκευής όσο και της εφαρμογής που εγκαταστάθηκε. Η αποστολή των δεδομένων προς τη συσκευή ίσως να απαιτεί τη χρήση μη αξιόπιστων ή περιορισμένων WANs – και σε αυτή την περίπτωση το MDM προσφέρει συμπίεση των δεδομένων, σταδιακή αναβάθμιση και διαχείριση του εύρους σε σχέση με τον όγκο των δεδομένων, επιχειρώντας ουσιαστικά την αναβάθμιση ή την ολοκλήρωσή της, μόνο όταν αναγνωρίζει γρήγορες συνδέσεις με χαμηλό κόστος. Το MDM φροντίζει για την ορθότητα και ταχύτητα της εκάστοτε αναβάθμισης, ώστε να μην υπάρξει δυσμενές αντίκτυπο στη χρήση της συσκευής και να μην απαιτηθεί εκτενής χρόνος επιδιόρθωσης μιας ανεπιτυχούς αναβάθμισης.
Διαχείριση ασφάλειας: Στις φορητές συσκευές τα θέματα διαχείρισης της ίδιας της συσκευής και τα θέματα ασφάλειας που προκύπτουν από αυτή, συγκλίνουν. Για παράδειγμα, απαιτείται αποσύνδεση μιας συσκευής που δεν χρησιμοποιείται από εξουσιοδοτημένο χρήστη. Με τη βοήθεια του MDM επιτυγχάνεται συνεργασία μεταξύ των καταλόγων εξουσιοδοτημένων χρηστών της εταιρείας και της διαδικασίας αυθεντικοποίησης ενός χρήστη κατά τη σύνδεσή του στο εταιρικό δίκτυο και εξασφαλίζεται η διακοπή της επικοινωνίας του αν αποτύχει να πιστοποιηθεί. Επίσης οι MDM agents βοηθούν στην εφαρμογή πολιτικών ασφαλείας σχετικά με την εισαγωγή κωδικών πρόσβασης (πόσες αποτυχημένες προσπάθειες θα επιτρέπονται) ή αν θα επιτρέπονται επείγουσες κλήσεις πριν την καταχώριση του κωδικού. Αυτές οι λειτουργίες ξεπερνούν κατά πολύ τις λειτουργίες που επιτελεί το λειτουργικό σύστημα οποιασδήποτε φορητής συσκευής. Επιπρόσθετα, στον τομέα των δεδομένων επιτρέπεται η επιλεκτική ή ολοκληρωτική διαγραφή τους από τη συσκευή μέσω MDM, ενώ για την ασφαλή διακίνηση δεδομένων προσφέρουν ασφαλή κανάλια επικοινωνίας αντί να βασίζονται σε πρωτόκολλα τρίτων κατασκευαστών. Στον τομέα των εφαρμογών καθορίζεται η αποδοχή ή απαγόρευση της λειτουργίας τους, καθώς και μέσω κάποιων ρυθμίσεων απενεργοποιούνται επικίνδυνες πλατφόρμες λειτουργίας και επισφαλείς ασύρματες επιλογές.
Προστασία δεδομένων: Πιο αναλυτικά, για την προστασία και τη διατήρηση της ακεραιότητας των δεδομένων, τα MDM προσφέρουν κρυπτογράφηση των αποθηκευμένων στις φορητές συσκευές δεδομένων, ώστε να μην προσπελαύνονται από μη εξουσιοδοτημένους χρήστες. Επίσης για να μην υπάρξει απώλεια αυτών των δεδομένων είτε λόγω καταστροφής της συσκευής είτε λόγω απώλειάς της, τα MDM προσφέρουν απομακρυσμένη λήψη αντιγράφων ασφαλείας και αποκατάστασή τους όταν αυτό κρίνεται αναγκαίο. Τέλος, διατηρείται η πορεία των δεδομένων που μέσω απομακρυσμένου συγχρονισμού ή μέσω τοποθέτησής τους σε φορητές αποσπώμενες μνήμες αντιγράφονται από εταιρικές φορητές συσκευές, ώστε να μη μπορούν να κλαπούν.
Έλεγχος και υποστήριξη: Η απόκτηση ενός MDM λογισμικού έχει ως στόχο να μετακινηθεί το βάρος της συνεχούς επίβλεψης μιας συσκευής από το ΙΤ τμήμα στη συσκευή του χρήστη. Έτσι μέσω του MDM agent οι χρήστες μπορούν να ανακτήσουν χαμένους κωδικούς πρόσβασης, να καταχωρίσουν τη συσκευή τους, να λάβουν προαιρετικό λογισμικό που τους ενδιαφέρει ή να ανακτήσουν χαμένα δεδομένα μέσω των αντιγράφων ασφαλείας. Αν κάποια συσκευή αστοχήσει λειτουργικά, το MDM μπορεί να εφαρμόσει κατάλληλες ρυθμίσεις για τη συγκεκριμένη συσκευή, αλλά και να συντάξει αναφορές για την κατάσταση λειτουργίας της, όπως κατάσταση μνήμης, μπαταρίας, συνδεσιμότητας. Αν η αστοχία τελεστεί όταν ο χρήστης βρίσκεται εκτός του φυσικού χώρου της εταιρείας, δίνεται η δυνατότητα μέσω διαμοιρασμού της οθόνης τους το MDM να υποστηρίξει τη συσκευή και μάλιστα σε πραγματικό χρόνο. Επίσης, προς εξυπηρέτηση των ΙΤ διαχειριστών καταγράφεται το ιστορικό δραστηριότητας των χρηστών και των συσκευών τους, αλλά χρειάζεται προσοχή στο πόσο λεπτομερείς και εις βάθος είναι αυτές οι αναφορές. Τέλος και οι φορητές συσκευές πρέπει σε θέματα ασφάλειας να συμμορφώνονται με τους κανονισμούς στους οποίους υπόκειται ολόκληρη η εταιρεία. Μέσω των MDM παράγονται αυτόματα αναφορές αξιολόγησης της λειτουργίας τους, που ουσιαστικά αποδεικνύουν αν είναι συμβατές με τις πολιτικές ασφάλειας της εταιρείας.
Προφανώς, κάθε εταιρεία έχει τις δικές της ανάγκες και τους δικούς της διαχειριστικούς στόχους και δεν απαιτείται το MDM που θα επιλέξει να φέρει όλα τα προαναφερόμενα χαρακτηριστικά. Επίσης, δύσκολα ένα MDM προϊόν μπορεί να καλύψει επαρκώς όλες τις εταιρικές ανάγκες. Με γνώμονα όμως τα ανωτέρω, ξεκαθαρίζεται ποιοι είναι οι τομείς δραστηριοποίησης των MDM, ποιοι από αυτούς καλύπτονται από προγενέστερα εταιρικά συστήματα διαχείρισης, ποιοι χρήζουν ιδιαίτερης προσοχής και ποιοι τελικά πρέπει να καλυφθούν. Πριν την τελική απόφαση είναι σαφές ότι απαιτείται πειραματισμός με τις δοκιμαστικές εκδόσεις, ώστε να οργανωθεί μια ρεαλιστική στρατηγική για το χειρισμό των φορητών συσκευών.
Της Παναγιώτας Τσώνη