Многим сотрудникам Тинькофф Банка в силу специфики их работы нужен постоянный, не зависящий от присутствия на рабочем месте доступ к корпоративным ресурсам и приложениям. Данное обстоятельство, а также высокие требования к безопасности внутрикорпоративных коммуникаций привели к необходимости внедрения системы класса Mobile Device Management (MDM). Об этом рассказывает вице-президент банка по безопасности Станислав Павлунин.

Intelligent Enterprise: Для начала хотелось бы узнать, кого можно считать мобильными сотрудниками в вашей компании, какие функции им нужны для работы и в связи с чем возникла потребность во внедрении MDM­-решения.

Станислав Павлунин: Я не назвал бы контингент наших сотрудников, активно пользующихся персональными смартфонами и план­шетами для рабочих целей, мобильным персоналом. Давайте хотя бы уточним значение этого термина. Классическими мобильными сотрудниками могут считаться, наверное, только представители банка, доставляющие наши банковские карты клиентам в любое удобное для них место. Большинство же менеджеров могут по сути быть вполне «традиционными» офисными работниками, просто им постоянно необходим доступ к корпоративным ресурсам. То же самое относится к некоторым ИТ-­специалистам, количество которых в нашем банке довольно велико. Сначала таких сотрудников было не так много, но когда их число достигло двух сотен, а доля запросов к корпоративным ресурсам с мобильных устройств стала уже заметной, мы поняли, что надежный и безопасный удаленный доступ можно организовать только с помощью промышленных систем, специально предлагаемых на рынке для решения подобных задач. Это и есть решения класса Mobile Device Management.

Как известно, MDM-­решения предлагают корпоративным пользователям целый спектр разнообразных функций. Это и сервисы информационной безопасности, и доступ к ряду корпоративных приложений, и широкая гамма сервисов по администрированию самих устройств. Какие из них оказались важны при выборе продукта?

Прежде всего мы должны были дать пользователям максимально технологичный и удобный для них инструмент доступа к корпоративным приложениям — в первую очередь к почте и календарю, а также к ряду необходимых им бизнес-­приложений. Среди последних могу назвать, например, нашу систему управления счетами клиентов. Сотрудник банка, в чьи обязанности входит управление этими счетами, должен иметь возможность зайти в систему в защищенном режиме и, скажем, завести или утвердить тот или иной счет.

Еще раз подчеркну, что одним из ключевых было требование удобства пользования сервисами с мобильного устройства, и касалось оно всех категорий сотрудников, а не только топ­-менеджеров. Существует, кстати, популярный тезис, согласно которому ИТ-­системы внедряются главным образом для исполнения бизнес-­функций. А критерий удобства якобы не очень-­то и важен. Мы в компании этой позиции не разделяем и стараемся сделать так, чтобы нашим сотрудникам было максимально комфортно работать вне зависимости от того, где они находятся.

На втором месте стояли требования обеспечения безопасности. В нашем случае задачи в основном сводились к тому, чтобы те файлы, с которыми работают наши сотрудники, всегда шифровались и постоянно находились в одном защищенном логическом контейнере, и чтобы этим контейнером можно было управлять. Одной из важных для нас функций безопасности является «обнуление» устройства или, проще говоря, возможность уничтожить всю хранимую на нем информацию в случае его утери или кражи.

Поскольку наши сотрудники в своей работе пользуются персональными устройствами, им нужна и еще одна функция, обеспечивающая безопасность, — это логическое разделение одного устройства на два, отвечающие соответственно за личные и профессиональные потребности.

Конечно, все те требования, о которых я сказал, не уникальны. Более того, я думаю, что их выдвигает большинство корпоративных заказчиков. В серьезных МDM­-решениях все это, безусловно, реализовано. Помимо Good for Enterprise компании Good Technology, которое мы в конечном итоге для себя выбрали, мы протестировали некоторые наиболее известные на рынке решения (такие, как MobileIron, AirWatch, McCafee EMM), и формально все эти функции можно было найти в каждом из них. Но не все они реализованы одинаково, а в этом и есть ключевой смысл выбора.

Начну с того, что далеко не в каждой MDM-­системе требуемые нами прикладные функции были (по крайней мере по нашей отчасти субъективной оценке) реализованы таким образом, чтобы ими удобно было пользоваться. А в этом, как я уже говорил, состояло одно из ключевых требований.

Конечно, формально можно утверждать, что все MDM-­решения многоплатформенные и способны поддерживать не только наиболее популярные мобильные операционные системы (iOS, Android, BlackBerry или Windows Phone), но и более экзотические. Это если ориентироваться на формальные декларации поставщика. Но на практике даже с поддержкой основных платформ далеко не все гладко. Известно, например, что на самом деле пользователи работают с весьма внушительным числом версий Android, и по­-хорошему надо определить, в каких из них заинтересовано предприятие и как реально поддерживаются эти версии производителями. Иначе уже в процессе внедрения можно столкнуться с весьма неожиданными и не очень приятными нюансами.

Возвращаясь к более общим вопросам многоплатформенности, могу сказать, что мы в нашем банке поддерживаем три мобильные платформы — iOS, Android и Windows Phone. При этом очень важно обращать внимание на то, как MDM-­решение впишется в конкретную инфраструктуру заказчика. Конфигурация серверной инфраструктуры, по тем или иным причинам сложившаяся у заказчика, способна оказать очень серьезное влияние на выбор. В каждом конкретном случае тестируемые решения для управления корпоративной мобильностью могут проявить себя по-­разному. Нюансов много, и о них надо говорить отдельно.

Ещё отмечу, что в любом MDM-­решении есть некие особые, а иногда и уникальные функции. Какие-­то заказчики останутся к ним совершенно равнодушными, а для каких­-то они могут оказаться чуть ли важнейшими. Так, например, для нас весьма важной стала возможность иметь удобный и при этом гарантированно безопасный доступ к функциям известной облачной CRM-­системы Salesforce, и наличие таких возможностей именно в решении Good for Enterprise тоже в определенной мере повлияло на наш выбор.

Практика использования мобильных устройств вообще и в корпоративной среде в частности предполагает работу через специализированные мобильные приложения. Если таких функций много, то крупные компании иногда даже создают у себя некие внутрикорпоративные аналоги Apр Store или Google Play, куда могут войти только сотрудники данной организации и установить на свое устройство программу для выполнения тех или иных функций.

Не могу сказать, что такие приложения получили у нас широкое распространение, и уж тем более нет смысла говорить о порталах для их скачивания. Мне кажется, потребность в них в основном ощущается тогда, когда мобильному сотруднику необходимо постоянно выполнять набор одинаковых операций, и делать это по возможности оперативно и качественно. В таком случае их использование, безусловно, оправданно.

Что касается менеджеров, которым просто нужен доступ к корпоративным ресурсам (и прежде всего к почтовому сервису) вне офиса, то тут ситуация другая. Здесь, как я уже сказал, мы должны подумать об удобстве работы сотрудников и, конечно, об информационной безопасности. В остальном работа этих людей ни по содержанию, ни в отношении пользовательского интерфейса может не отличаться от той, что они выполняют, сидя за стационарным рабочим местом. И здесь какие-­то специализированные приложения им не столь необходимы.

Как известно, MDM-­решения за счет их способности фиксировать все действия корпоративных пользователей могут накапливать разнообразные статистические данные, характеризующие работу пользователей в системе. Аккумулируется ли подобная информация в вашей компании и как она затем используется?

MDM-­решения (разумеется, каса­ющиеся работы мобильных устройств), конечно, можно использовать в подобных задачах, но цели тут могут быть двоякими. С одной стороны, получаемая информация применяется для контроля действий персонала, с другой — для того чтобы аккумулировать данные, которые затем будут служить основой для принятия решений о развитии информационной поддержки компании в целом. Это информация о том, какими приложениями и в какое время пользуются те или иные наши сотрудники, насколько интенсивно они с ними работают, какие функции этих приложений наиболее популярны и пр.

Вообще подобный мониторинг полезно осуществлять не только в отношении мобильных пользователей. Но если говорить именно о таковых, то MDM­-система тут действительно оказывается весьма кстати, и в нашем случае тоже.

Сейчас ИТ-­специалисты часто употребляют термин «мобильная безопасность». Считаете ли вы, что такое название действительно содержательно, или на волне интереса к теме корпоративной мобильности оно носит маркетинговую окраску?

Я думаю, что если здесь и есть доля маркетинга, то содержательная составляющая тоже имеет место. Давайте посмотрим, какая эволюция происходила с персональными устройствами в течение последних лет. По мере движения от настольного ПК к смартфону персональная техника, с одной стороны, становилась все более портативной, с другой — насыщалась большим объемом разнообразной информации. В итоге сегодня в смартфоне или планшете информации хранится больше, чем на ноутбуке три-­четыре года назад, и во много раз больше, чем на ПК десятилетней давности: помимо рабочих файлов это вся личная информация, пароли, инструменты управления автомобилем или домашним оборудованием и многое другое. Нередко там могут присутствовать сведения о состоянии здоровья. Понятно, что компрометация таких данных может не только навредить самому сотруднику, но и нанести ущерб репутации бизнеса, который он представляет.

Сказывается и то, что устройства, о которых мы говорим, часто работают вне периметра корпоративной сети и что их пользователям в силу удаленности ресурсов и специалистов компании могут требоваться расширенные методы удаленной поддержки администрирования. Поэтому для защиты таких устройств актуальны все классические направления информационной безопасности, такие как шифрование информации или защита от вирусов, а кроме них — и специфические. Среди них мы уже упомянули, например, возможность обнулить устройство при его утере, а также возможность в рамках одного устройства разделять личное и корпоративное пространства. Характерно и то, что специализированные функции мобильной безопасности тоже внедряются не по единому шаблону, а в соответствии с теми задачами, которые стоят перед бизнесом. Таким образом, мобильная безопасность — это вполне содержательное понятие.

Со Станиславом Павлуниным беседовал ведущий эксперт Intelligent Enterprise Сергей Костяков