也许我工作中最重要的部分是了解我们众多不同客户如何保护他们的网络和数据。我最近打算向一家大型汽车制造商介绍ClearPass与MDM/EMM解决方案的集成,但相反,客户向我展示了他们对确保大型移动劳动力的观点。在征得他们的同意后,我将分享他们关于保护移动资产(在移动资产中没有使用大型MDM体系结构或投资)的想法。
大约10万名员工和7.5万名员工在他们的制造工厂工作。另外15000份工作是设计和测试,剩下的10000份是管理和营销等执行职能。在欧洲,他们要服从大量工人委员会的义务,这使得使用自带设备在文化上更有趣,因为他们必须协商企业在员工设备上可以做什么,不可以做什么。
生产线.发送给制造团队的信息不会受到隐私标准的限制,也不会涉及商业间谍活动。然而,该公司仍然希望提供BYOD,以有效地与组织中不使用公司设备的主要部分进行沟通。在安排会议时,日历是安排轮班的有用工具。此外,BYOD设备有一些有限的位置跟踪,这使得它适合作为计时卡的替代品。
他们提出的唯一要求是设备必须加密(对公司数据没有特定的加密),并且应该使用PIN或指纹来保护设备。
中层管理人员.该公司主要由运营管理组成,对他们在移动设备上处理的数据进行了评估,并意识到在设备上输入或管理的数据很少。这些设备主要用于企业应用,如ERP、CRM等。他们不希望停止使用应用程序,但他们希望限制他们的使用设备,地点和时间。
考虑到这一点,他们决定使用与生产线相同的策略——加密和PIN,但他们增加了一个应用控制姿态。根据个人的角色,他们可以在企业平板电脑上访问应用程序,或者在企业Wi-Fi连接上通过BYOD访问应用程序。他们对企业笔记本电脑的规定更少,可以确保终端安全工具。
主管级别的.更具体地说,那些参与设计、绩效和营销的人可能对组织的未来及其知识产权有不同的关注。对于这10,000名员工来说,他们可以自由地使用自己的设备——智能手机、平板电脑等,但他们必须使用企业MDM解决方案。
除了上面的例子(以及下面的图表),他们还希望确保在设备丢失的情况下,他们能够明确地删除现在沙箱设备的业务部分,并确认数据已经消失。此外,他们还希望能够限制公司和个人应用程序之间的复制/粘贴功能。
这就是他们想要实现的目标以及他们想要实施的政策,那么他们是如何实现他们的目标的呢?
相对简单。
为生产线他们利用Microsoft Outlook Anywhere策略引擎来确保在注册时,用户必须在设备上启用本地加密和PIN或指纹。他们还向用户介绍了Wi-Fi备份过程,他们可以利用该过程将照片备份到谷歌和苹果云,以防止设备丢失时的不快。
对于中层管理他们利用现有的有线和无线网络访问控制(NAC)解决方案ClearPass,使用Onboard将用户与设备关联起来。ClearPass位于其认证过程的核心,他们的策略管理程序扩展到控制用户及其设备可以访问哪些应用程序和应用程序数据,以及各种可用上下文——设备所有权、连接类型、位置或时间。
他们的政策表明,有充分的理由不允许属于欧洲董事的BYOD平板电脑在凌晨2点在中国访问ERP Finance应用程序。通过定义什么是可接受的,它将保护基础设施的过程自动化,而不会对员工的生产力造成负担。它们确保了员工的工作方式,而不是要求他们屈服于压抑的安全架构。用户通常会制造一个解决方案来感知生产力的干扰,这通常会产生更大的风险。所有这些都是在没有MDM解决方案的情况下实现的。
最后,对于执行团队他们决定与MobileIron合作开发MDM解决方案。ClearPass Onboard用于确定用户和设备的资格,并确保设备的快速、自动化配置。额外的价值来自于策略的执行。如果用户移除MDM软件、越狱设备或再次违反法规,MDM解决方案会通过ClearPass Exchange API通知ClearPass,设备将从企业中挂起。就智能手机而言,它会自动发送一条短信,告知用户如何合规并重新连接。
所有这些都没有来自IT或安全部门的资源
他们已经组合了一个出色的,低成本的管理解决方案,独特的他们的需求。他们花时间分析他们的风险,了解他们的潜在风险,并务实地混合政策和技术来保护他们的企业。
