手机在工作过程中是邪恶的还是好的?小工具是否允许员工更快地解决任务?还是帮助雇主加强控制下属?营造创意气氛吗?还是在23:00使信使和信件中的消息烦人?助长了公司机密的泄露,或者反过来为意外提供保险? 公司的流动性是什么,它的现状是什么,这个概念的历史是什么,我们与集成安全系统科学测试研究所(NII SOKB)的合作伙伴打交道。
资源根据我们几年前进行的一项研究,大约93%的受访者(受访者差异很大:上班族,现场工作人员,驾驶员和许多其他人)将智能手机用于公司用途。除了相当可预测的呼叫和文本消息之外,最常见的设备使用方案还包括与邮件的交互,编辑文档,甚至连接到虚拟工作站(VDI)。
从所有这些我们可以得出结论,当前工作环境中的移动设备不仅是“拨号器”,而且是能够执行以前需要额外的,通常是专用设备的任务的工具。在本文中,我们将讨论公司流动性的主题,并从各种角度进行考虑-不仅是市场营销和管理,还包括“现场”员工的角度。 为了使故事更具实质性,我们采访了特别设计局科学研究所的同事,他们在类似项目中拥有丰富经验,并准备分享他们实践中的实例,故事和观察结果(从理论上讲,但在生活中,一切总是更加复杂和有趣)。NII SOKB专门提供全面的安全和劳动保护,同时还是SafePhone的开发商-SafePhone是一种解决方案,用于集中管理组织中的移动设备,应用程序,内容和通信。我们与SOKB科学研究所首席工程师Oleg Assur进行了交谈,讨论了什么是公司流动性以及在该领域中存在哪些解决方案。告诉我们移动设备如何进入俄罗斯市场,您对它们的应用程序的看法如何改变?
我们处理“移动”主题已经很长时间了(超过10年-可以说,我们处于最前沿),因此我们从一开始就参与了该IT领域的开发。明显地,“移动”开始出现在“破破的2000年代”(设备本身当然存在过,但那是一段历史,没有大众性)。然后,它们主要用于拨打电话和发送短信。他们给员工的评论是:“这样您就可以保持联系,甚至不用考虑打电话给美国!” “智能电话”已经存在(现在熟悉的“智能电话”听起来很有前途),但它们在公司环境中并未发挥重要作用,并且在大多数公司中,员工继续使用日常计算机进行工作。我认为转折点发生在零中点,并且与两个事件相关:2005年收购Google Android,Inc.。随后又推出了同名平台,并于2007年发布了首款iOS设备(当时仍为iPhone OS)。这两个平台除了提供呼叫和SMS之外,还立即提供了丰富的功能,并很快开始取代经典的按键式电话。当然,这些设备的幸运所有者开始在工作中使用它们:有时在管理层的批准下,有时是“秘密地”使用。这导致设备逐渐积累重要的公司信息的趋势(他们的连接邮件-出现公司机密信件,允许访问CRM-在信件中添加了客户列表等)。小配件的丢失或被盗对公司而言正成为越来越重要的风险。正是在这一刻,集中式公司移动性管理系统(包括我们的SafePhone平台)的历史开始了。移动设备在企业中的当前作用是什么?
今天,移动设备是可以执行许多不同功能的真正的食物处理器。在移动设备上,有完善的办公套件(这可能是90%公司员工的主要工具)。尽管值得注意的是,这种用例是有限的,并且PC仍然是处理文档的主要手段。 
资料来源:Broadcom通常,现在观察到一张有趣的图片。自从IT诞生以来,人们一直认为,要进行全面的工作,员工需要一台真正的大型计算机或便携式计算机,但始终需要具有完整的x86处理器。试图摆脱这种状况的尝试始终取决于该系列中的钢筋混凝土论点:“我们的系统只能在DOS下运行(Windows 95/98,Java 5-强调您的需求),您会为我们破坏一切。”应该理解,公司环境是相当保守的(仍然需要COBOL程序员)。最初的进展始于广泛引入的虚拟化技术和VDI(虚拟桌面基础架构)的问世。)突然发现,只要可以安全地连接到网络,就可以从任何设备上使用Legacy系统。顺便说一下,网络长期以来一直阻碍着这项技术的发展,但似乎很快就会消除这种限制。随着新一代5G的到来,尤其要感谢三星通过移动网络以1 Gbit / s的速度提供通信,您可以以最小的延迟“驱动”几乎所有公司数据类型(文档,声音,高分辨率视频)。这种“加速”的另一个结果也是放弃“胖顾客”的普遍趋势。大多数现代业务系统都有一个普通的Web界面,除此版本外,还有许多Web界面的移动客户端或移动版本(也可以使用Progressive Web App将其“包装”在应用程序中)。因此,事实证明,实际上,没有什么可以阻止您仅在智能手机或平板电脑上工作。当然,这仍然是一个有希望的前景(记住保守主义),但是它的实施指日可待。那些。事实证明,将来移动设备可以在公司环境中取代传统PC?
逐渐地,企业正在从系统单元转向更具移动性的事物。最初,体积很大的五公斤笔记本电脑在电池上的工作时间不超过一个半小时(旧计时器会记住加长电池的可怕突出部分,可以工作一个小时,重量为半公斤),然后我们改用重量为1.5-1.7的超便携式笔记本电脑一公斤的重量,工作时间为六到七个小时,如今,少于一公斤且电池寿命为十二小时的设备已经普及。 与传统计算机的这种“小型化”同时,智能手机也出现了“增长”。当今的手机具有令人印象深刻的功能:相同的S20在顶级版本中,它具有16GB内存和一个八核处理器,即使对于全尺寸笔记本电脑也相当不错。当然,最重要的问题是软件。这里的一切都是模棱两可的。许多制造商已尝试使桌面界面适合在移动环境中使用(触摸,相对较小的屏幕以及其他可移动性),但是到目前为止,还没有理想的解决方案:不幸的是,我们回到了臭名昭著的保守主义;二十年前没有人会在Delphi上重写接口。同时,将“橡胶” /拖放窗口支持添加到本地移动应用程序要容易得多,事实上,这是Google在Android Nougat中完成的。如果这种方法的一个例子很有趣,那么您可以关注三星DeX。
到目前为止,至少在我们看来,这种“向上”的情况(将移动设备转变为全职工作)比“下游”的情况(使用台式机作为移动设备)的前景要好。移动技术的引入如何影响工作流程?
难题。像任何技术一样,移动性可以通过两种方式使用:使公司的生活变得更好或更糟。
资料来源:Dilbert,我们的翻译传统上,流动性意味着一种“让您感到舒适的工作”的方式(不要与“不断工作”相混淆)。从概念上讲,这意味着员工可以履行职责,不必在工作场所,也可以在出差或例如在家中。他将像在办公室一样有效地做到这一点。此外,简化了公司内部程序:您可以通过按下智能手机上的单个按钮来订购2NDFL证书或同意休假申请。另外,有必要注意公司内部沟通的优化。对于我们的国家来说尤其如此,按照组织的顺序,该组织在莫斯科和地区(例如叶卡捷琳堡和伊尔库茨克)设有总部。在这种情况下,交互成为一个大问题。当同事总是可以随时访问工作工具时,通过文档的常规编辑来协调所有人的通话时间或群组聊天会更加容易。对员工的另一激励可以是提供移动设备。实际上,公司中使用了各种模型,从提供可以个人使用智能手机的公司小工具(企业拥有,个人启用,COPE)到具有工作应用程序的个人智能手机或平板电脑(自带设备,BYOD)。顺便说一句,BYOD来自著名的BYOB缩写-带上自己的啤酒-也就是说,在聚会的描述中“带上自己的酒精”。
将BYOD与BYOB混淆的人。资料来源:Timo Elliott还有一些中间选项,员工可以选择部分公司付款的工作设备,并且一段时间后该小工具有可能成为财产(选择自己的设备,CYOD)。总而言之,对于员工来说,流动性是他们自己选择方便的工作格式的自由,而对于公司而言,这是成本优化和建立协调一致的流程的良好工具。当然,正确的平衡和微调很重要:有些员工的自我组织能力不强,雇主容易受到过度控制。什么是企业移动性管理,为什么需要它?
主要威胁:移动设备在公司生活中的参与越多(工作信函,文档,团队的使者等),其上的数据越多,丢失的数据可能会严重损害公司。因此,设备的内容成为需要管理的公司的重要资产。在这里,矛盾立即出现:安全性要求最大程度地限制用户自由和确定性的操作方案(仅从9到18严格从办公室访问邮件),而整个移动性概念意味着最大的灵活性和使用可变性。 在行业兴起之初,选择总是朝着限制的方向进行。这引起了有趣的情况。作为奖励,员工有机会在其设备上安装公司邮件。这样做的前提是应用了所有正确的安全策略,并安装了代理来监视潜在威胁。该代理会在整个设备上设置一个12位字母数字密码(在特殊情况下,还会有一个字典,其中包含禁止组合和密码轮换的限制),并开始收集所有可用信息。遭受了这样一个星期的痛苦(每次尝试读取SMS时,您都需要输入相同的密码),用户愤怒地删除了邮件,并忘记了这种“鼓励”作为噩梦。
资料来源:Dilbert,我们的翻译现在情况发生了巨大变化。当安全系统对用户透明且对用户而言尽可能不可见时,这是一种好习惯。它应该像是一个来自著名谜语的城堡,它“不吠叫,不咬人,但不进屋”。用户使用设备应该最方便,所有脏活都由移动性管理系统接管。公司移动性管理系统有很多缩写-MDM,EMM,UEM。简而言之,它们有什么区别,以及它如何适合一个概念?
不同公司对条款的解释可能会有很大差异。Gartner提出的定义或多或少被普遍接受。移动设备管理(MDM)-一个出现在1990年代末-2000年代初的术语,是指负责管理移动设备生命周期的系统。这通常意味着以下功能:随着时间的流逝,纯MDM功能开始被遗漏,并且经常开始向其添加以下功能:- 移动应用程序管理(MAM)-应用程序管理。
- 移动身份(MI)-凭据和访问管理。
- 移动内容管理(MCM)-内容管理。
到2010年代中期,这套设备已成为市场的标准,将解决方案分成单独的模块已经没有意义。然后出现了术语企业移动性管理(EMM),它表示MDM,MAM,MI和MCM的组合。该更改已记录在2014年发布的 Gartner报告中。然后出现了一种趋势,我们前面已经谈到过。移动设备已经成为与传统台式机和笔记本电脑完全相同的工作场所,而且很明显,它们需要在一个电路中进行管理:不再分为固定式和移动式。这是新术语统一端点管理(UEM)出现的起点。 UEM的出现记录在2018年Gartner 报告中。
资料来源:ITSMDaily我们正在以UEM范式进入新的十年,这就是今天所称的系统,其任务是管理公司中的移动和固定设备。 我们讨论了历史和理论,让我们继续讨论实际问题。现在,移动工作场所如何出现在企业中?请分享您在这方面的经验。
任何实现总是一个复杂的故事,并且不存在两个相同的项目。但是,让我们尝试提出一些一般性观点。实施计划通常来自底层,即普通员工。现在几乎每个人都有移动设备,将它们用于工作只是时间问题。必须有大量具有类似小工具的人员,然后将请求发送给IT部门以提供此类服务。 在这种情况下,管理人员可以选择两种策略:支持(主动授予绿灯,项目启动)或禁止。在后一种情况下,该论点存在很大的泄漏风险(“财务报告失误”或“竞争对手在肩膀上窥探地铁”)。如实践所示,这种方法不是很有建设性的。即使严格禁止使用移动设备,员工仍会在“地下”使用它们。您可以采取行政措施(谴责,处罚,制裁),但这并不总是保证100%的结果。即使有合理的限制,总会有一名员工违反所有禁令,这将产生巨大的后果。我们认为,最正确的策略是良好的旧原则:“如果不能赢,那就往前走。”更加危险的受控环境比不受控制的环境好很多倍。首先,通常是邮件(可以通过移动客户端“拾取”邮件),然后是文档和各种工作系统(企业门户,ERP,CRM等)。在技术“扎根”之后(趋势逐渐明朗),内部服务的设计已经在进行之中,并期望在各种平台(包括移动设备)上使用它们。实施主动性来自管理层也是很常见的。我们一定不要忘记,工作流动性具有许多与优化成本和提高企业“连通性”相关的优势。但是在这里,“超额”也是可能的。在任何异构环境中(一个典型的企业就是这样一个由非常不同的部分组成的环境:簿记,仓库和物流,办公室,现场工作人员)都有利益,而且并不是每个人都为创新做好准备。常见的情况是团队的一部分成员“怀有敌意”地意识到了这种变化(“一切对我们都有用”)。在这种情况下,当员工使用已实施的系统(例如,电话作为到办公室的通行证或通过智能手机支付午餐和预订会议室的费用)时获得某种奖励时,“胡萝卜”原则就得到了证明。这些奖金应鼓励员工使用移动设备,但不能限制或侵犯他。在企业中实施复杂的移动性项目时,以下工具很有用:- 在实施之前,对基础结构的当前状态进行审核和检查。这可以是在用户同意下监视安装在最终设备上的软件,并收集有关已用应用程序和访问的网络资源的统计信息。在遵守员工的匿名性和隐私性方面,最大程度的公开性和正确性很重要。这项活动的最终目标是全面了解当前情况,而不是找出违反者。外联研讨会很好地开展了工作,清楚地展示了监视软件的功能以及管理人员在统计数据收集中的参与。
- 反馈。重要的是要了解最终用户方面的项目情况。这可以提供有关系统功能的有价值的信息,并且对员工的态度有积极的影响。反馈格式可以不同:从面对当前问题的面对面会议到特定的调查表(可能是匿名的),因为 并非每个人都愿意自由分享自己的印象。
- 在迭代的开发和实施过程中分配资源。在项目开始时不可能将所有内容都考虑在内,因此您始终需要投入更多资源进行修订。实施此方法时,许多人没有考虑,因为哪个项目在中间某个地方中断。
在实施过程中始终会问两个主要问题:- « , / »
, . – (Work Profile). – , — , Samsung. , , , , .
– : , , .
- «- 10 . , 300 , . »
« », (, , ). . Samsung Knox , Knox Mobile Enrollment (KME), « » . . IT . – .
. , Android . . ? ?
这是一个刻板印象,但相当稳定。不仅普通用户受到影响,而且某些IT和信息安全工作者也受到影响,这尤其令人遗憾。 不,现在,Android OS在公司部门中非常安全并且非常普遍。IDC 最近进行的一项研究证明了这一点。根据它的说法,全球各公司使用的移动设备中有78%正在运行Android OS。另外,关于三星设备的安全性。根据最新的 Gartner评级,Knox平台在可能的30个职位中获得了 27 个强评级,这是最高的成绩之一(Samsung注意:在本文中讨论的有关Knox平台的更详细信息)。要合理地讨论安全性,您必须首先确定威胁的类型。传统上,数据保护分为两个大部分。- 静态数据(存储和处理数据)。这包括与终端设备上数据“存在”关联的那些类型的威胁。例子:
- . , – . . – (, – ). ( ). , .
- /. Android ( ). , , . , , . — .
- Data-in-transit ( ). , . :
- 未受保护的流量。公共Wi-Fi接入点在商务旅行或远离工作场所时很有用,但是您需要处理大量数据。不幸的是,与此同时,不能保证通道是安全的,并且不会受到攻击者的监视。为了应对这种类型的威胁,通常将VPN与自动激活配合使用以启动某些应用程序。
从管理的角度来看,通常指出以下几点:- . ( Samsung: ), : , , . , .
- . , . , , .
- . , , . , . ( ).
基本上,这些是显而易见的查询。但是由于不同平台的功能有限,实现它们并不总是可能的。一次,用于企业任务的Knox平台Knox 企业版平台对解决这些问题有很大帮助。 KPfE是一组工具(SDK,实用程序,Web服务和设备硬件机制),在管理和监视方面扩展了标准Android OS的功能。方便地,要使用此功能,无需编写大量代码,可以使用Knox Service Plugin的一个选项,该选项是通过OEMConfig(企业版标准Android机制)配置的。在三星的俄罗斯办事处,有专家在这方面提供帮助,我们向他们提出了难题。今天的情况很少见:在开发问题上,您经常需要与印度或中国的同事进行沟通,由于语言障碍和时区差异,这非常困难。最后,我想谈谈俄罗斯市场。在我国实施的项目有什么具体细节吗?
俄罗斯市场略落后于全球趋势。我们的公司流动性正在形成。因此,到目前为止,公认的决定似乎是陌生且不适用的。这种偏见最明显的例子就是云。客户通常会断然拒绝使用这种方法,因为对这种系统的安全性和可靠性缺乏信心。我们认为,这种观点在今天已不再适用。 “阴天”并不意味着“不可靠”或“不安全”。许多大公司已经将云的大部分业务流程托付给了云计算,这证明了这一点-Netflix,Spotify和许多其他公司。 该服务将在您的站点上部署的事实并不能保证该服务将始终有效。实际上,几乎没有人能负担得起与经过认证的和经过认证的数据中心相当的服务器条件。软件支持是一条单独的线-任何系统都包含大量需要持续支持和定期更新的“不可见”组件(操作系统,数据库,Web服务器等)。总结:自己的基础架构既昂贵又麻烦,而且不幸的是,并非始终可靠。云便宜得多,所有支持和更新工作均由服务提供商承担。另外,值得注意的是对监管机构做出的决定进行认证的要求,例如,处理个人数据。有意见认为这在Android上是不可能的。我们的经验表明,结合经过认证的安全工具,即使在具有严格法规的组织中,这也是可能的。(摘自作者)我们希望我们能够消除一些“恐怖故事”,至少现在可以清楚地看出生活中的一切都比这部漫画更为复杂:
资料来源:Dilbert
提出的问题:
俄罗斯
三星B&B
售前/售后
业务开发团队经理Vladimir Karacharov
回答:
SOKB研究所
总工程师
Oleg Assur