Cos'è l'UEM - unified endpoint management/gestione unificata degli endpoint?

UEM consente ai team di IT e sicurezza di monitorare, gestire e proteggere tutti i dispositivi degli utenti finali sulla rete in un modo coerente, utilizzando un solo strumento.

Due dipendenti seduti in un sala server che lavorano a un computer
Cos'è l'UEM?

UEM, o unified endpoint management, è un software per il monitoraggio, la gestione e la protezione di tutti gli strumenti degli utenti finali di un'organizzazione - desktop e laptop, smartphone, tablet, dispositivi indossabili e altro ancora - da un'unica console, indipendentemente dal sistema operativo o dall'ubicazione. UEM rafforza la sicurezza degli endpoint semplificandola, consentendo ai team di sicurezza e IT di proteggere tutti i dispositivi endpoint utilizzando un unico strumento in un modo coerente.

Una tecnologia relativamente nuova, UEM combina le funzionalità delle soluzioni di gestione dei dispositivi mobili legacy - compresi MDM (mobile device management) e MAM - mobile application management - con quelle degli strumenti utilizzati per gestire PC on-premise e remoti. Già ampiamente diffuso per gestire i programmi BYOD (bring your own device) e forze lavoro ibride (on-premise e remote combinate), l'utilizzo di UEM ha conosciuto un'esplosione quando i reparti di sicurezza e IT lo hanno adottato per supportare le iniziative di lavoro da casa (work-from-home, WFH) ampliate in occasione della pandemia di COVID-19. I dati sembrano indicare che questa tendenza sia destinata a continuare per il prossimo futuro: il sondaggio di OMDIA del 2021 Future of Work (link esterno a ibm.com) rivela che il 58% dei dipendenti lavorerà principalmente da casa oppure in una modalità ibrida mentre si esce dalla pandemia.


L' evoluzione dell'UEM

UEM è il più recente in una serie di strumenti di gestione della sicurezza per i dispositivi mobili, strumenti che sono emersi e si sono evoluti in risposta al cambiamento dei rapporti tra organizzazioni, dipendenti, dispositivi mobili e stili di lavoro che ha avuto luogo nel corso degli ultimi due decenni.

Da MDM...

I primi dispositivi mobili introdotti nello spazio di lavoro erano di proprietà aziendale, e gli strumenti MDM (Mobile Device Management) furono sviluppati per consentire agli amministratori IT di gestire e proteggere tali dispositivi. Gli strumenti MDM fornivano agli amministratori un controllo totale su tutte le funzioni di un dispositivo. Potevano eseguire il provisioning, la registrazione e la crittografia dei dispositivi, configurare e controllare l'accesso wireless, installare e gestire app aziendali, tracciare l'ubicazione dei dispositivi e bloccare o cancellare i dati di un dispositivo in caso di smarrimento o furto.

...a MAM...

MDM fu una soluzione di gestione dei dispositivi mobili accettabile finché gli smartphone non si diffusero tanto che i dipendenti volevano utilizzare i loro smartphone personali per lavorare (invece di portarsi appresso sia un dispositivo di lavoro che uno personale). Nasce BYOD. Non passò molto tempo che i dipendenti espressero il loro malcontento all'idea di cedere il controllo totale dei loro telefoni personali e dei loro dati personali a MDM.

Emerse una nuova soluzione, MAM (mobile application management). Invece di concentrarsi sul controllo della gestione dell'intero dispositivo mobile, MAM si concentrava sulla gestione delle app. Con MAM, gli amministratori potevano assumere il controllo totale delle app aziendali e dei dati aziendali a esse associati; potevano anche esercitare un sufficiente controllo sulle app personali dei dipendenti per proteggere i dati aziendali, senza toccare o neanche vedere i dati personali dei dipendenti.

...a EMM...

Anche le soluzioni MAM, però, dovettero fare i conti con i loro limiti, prevalentemente imputabili alla loro semplice incapacità di tenere il passo con l'esplosione di nuove app che i dipendenti potevano aggiungere ai loro dispositivi iOS o Android. In risposta, i fornitori combinarono MDM, MAM e alcuni strumenti correlati per creare le suite EMM (enterprise mobility management). EMM forniva la sicurezza dei dati aziendali di EMM, l'esperienza dei dipendenti superiore di MAM e la gestione e il controllo della sicurezza su tutti i dispositivi utilizzati fuori dall'ufficio- non solo gli smartphone, ma anche i laptop e i PC offsite.

...a UEM

EMM lasciava un'ultima lacuna nella gestione degli endpoint (e una potenziale vulnerabilità di sicurezza). Poiché non offriva funzionalità per la gestione dei dispositivi degli utenti finali onsite, rendeva necessario l'utilizzo da parte degli amministratori di strumenti e politiche separati per la gestione e la sicurezza dei dispositivi onsite e offsite. Ciò creava lavoro aggiuntivo, confusione e opportunità di errore, e proprio all'incirca nello stesso momento in cui la maggior parte dei datori di lavoro stava provando a lasciare che più dipendenti lavorassero da casa.

UEM è emersa come la soluzione a questo problema. Combina la funzionalità di EMM con le funzionalità dei CMT (client management tool) utilizzati tradizionalmente per gestire PC e laptop on-premise. La maggior parte degli strumenti UEM, inoltre, include, integra o interagisce con strumenti di sicurezza degli endpoint quali il software antivirus e anti-malware, il software di controllo web, le soluzioni UEBA (user and entity behavior analytics), i firewall integrati e altro ancora.


In che modo UEM migliora la sicurezza degli endpoint

L'utilizzo di più strumenti di gestione degli endpoint per gestire e proteggere diversi dispositivi endpoint in diverse ubicazioni genera molto lavoro manuale e ripetitivo per i team di sicurezza e IT e aumenta l'opportunità di incoerenze, configurazioni errate ed errori che possono lasciare gli endpoint e la rete vulnerabili ad attacchi. UEM riduce notevolmente il lavoro e il rischio creando un unico dashboard centrale in cui gli amministratori IT e i team di sicurezza possono visualizzare, gestire e proteggere ogni dispositivo endpoint connesso alla rete aziendale.

Gli strumenti UEM funzionano su tutti i sistemi operativi per PC e dispositivi mobili, compresi Apple iOS e MacOS, Google ChromeOS e Android, Linux e Microsoft Windows. (Alcune soluzioni, in particolare Blackberry UEM, supportano anche i sistemi operativi per dispositivi mobili Blackberry OS e Windows Phone). Molte soluzioni UEM supportano anche stampanti ed altri dispositivi IoT per gli utenti finali, smartwatch e altri strumenti indossabili, cuffie per la realtà virtuale, assistenti virtuali, tutto quanto un dipendente o un business partner potrebbero utilizzare per connettersi alla rete e svolgere il loro lavoro.

UEM rileva tutti i dispositivi sulla rete indipendentemente dal tipo di connessione, dalla frequenza con cui si connettono e e dall'ubicazione da cui si connettono. Può anche rilevare in tempo reale i dispositivi connessi di cui gli amministratori e i team di sicurezza non sono a conoscenza.

Da questo dashboard centrale, gli amministratori possono eseguire o automatizzare attività critiche di gestione e sicurezza per uno o tutti i dispositivi, comprese le seguenti:

  • Registrazione e provisioning dei dispositivi: per ridurre il carico amministrativo di BYOD, le soluzioni UEM forniscono un portale in cui gli utenti possono eseguire in maniera autonoma la registrazione e fare in modo che il provisioning dei loro dispositivi venga eseguito automaticamente. UEM implementa inoltre in modo automatico la registrazione e il provisioning per qualsiasi dispositivo nuovo o sconosciuto che provi a connettersi alla rete.
  • Applicazione e implementazione di politiche di sicurezza: gli amministratori possono specificare l'autenticazione a più fattori, la lunghezza e la complessità delle password, i rinnovi delle password, i metodi di crittografia dei dati e molto altro ancora. Consentendo agli amministratori di fornire politiche coerenti su tutti i dispositivi con un unico strumento, UEM riduce notevolmente il lavoro manuale per i reparti IT e il personale di sicurezza.
  • Esecuzione del push di patch e aggiornamenti: UEM può eseguire la scansione degli endpoint per rilevare eventuali vulnerabilità di software, firmware o sistema operativo ed eseguire automaticamente il push di patch dove necessario.
  • Controllo di app e applicazioni: i datori di lavoro possono approvare o vietare l'utilizzo di specifiche app o applicazioni e impedire l'accesso ai dati aziendali ad app o applicazioni non autorizzate. Molti strumenti UEM consentono la creazione di un app store in cui gli utenti possono scaricare, installare e aggiornare periodicamente applicazioni desktop e app approvate dall'azienda.
  • Isolamento dei dati aziendali e personali: questo protegge i dati aziendali e personali e fornisce l'esperienza utente ottimale per BYOD.
  • Mantenimento di soluzioni di sicurezza degli endpoint aggiornate: gli amministratori possono installare le definizioni antivirus più recenti sui dispositivi, aggiornare i filtri web con i siti web inseriti in elenchi di elementi indesiderati (blacklist) o in elenchi di elementi consentiti (whitelist) e anche mettere a punto i firewall per respingere le minacce più recenti.
  • Protezione delle connessioni: UEM consente agli amministratori di specificare il tipo di connessione - ad es. WiFi, VPN eccetera - in base al dispositivo, all'utente o anche all'applicazione.
  • Identificazione e correzione delle minacce: eseguendo l'integrazione con UEBA, EDR (endpoint detection and response) e altre tecnologie di sicurezza, UEM può contribuire a identificare i comportamenti anomali dei dispositivi che indicano minacce correnti o potenziali.
  • Cancellazione dei dati e/o blocco dei dispositivi smarriti, rubati o che hanno raggiunto la fine del ciclo di vita: come ultima linea di difesa, UEM consente agli amministratori o ai team di sicurezza di individuare, cancellare i dati, bloccare e/o reimpostare dispositivi smarriti, rubati o ritirati per evitare un accesso non autorizzato alla rete e per impedire che i dati sensibili sul dispositivo finiscano nelle mani sbagliate. Può anche reimpostare dispositivi dismessi per un uso personale continuato.

La conclusione è che, per queste e altre attività, l'approccio omnicomprensivo di UEM consente ai reparti di sicurezza e IT di ignorare le distinzioni tra dispositivo onsite e offsite, dispositivi mobili e desktop, sistemi operativi Windows, Mac, Chrome o Linux, e concentrarsi semplicemente sulla gestione dei dispositivi e della sicurezza.


BYOD, lavoro da casa e altri casi di utilizzo di UEM

Come accennato in precedenza, UEM si è evoluto dalla collisione di tecnologie in evoluzione per la gestione e la protezione delle politiche BYOD delle organizzazioni, forze lavoro sempre più ibride e programmi di lavoro da casa in espansione. Le organizzazioni, però, adottano UEM per supportare altre iniziative strategiche di gestione e sicurezza, tra cui:

Conformità normativa semplificata. Le forze lavoro ibride possono aumentare la complessità di dimostrare e implementare la conformità alle normative di privacy dei dati e di settore. Le soluzioni UEM possono contribuire a ridurre tale complessità. Ad esempio, UEM consente a un'organizzazione di impostare una singola politica che garantisca che ogni dispositivo sia conforme ai requisiti di crittografia specificati da GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati), HIPAA (Health Insurance Portability and Accountability Act) e altre normative di privacy dei dati. Le funzionalità di isolamento dei dati e di controllo delle applicazioni di UEM consentono agli amministratori di garantire che solo le applicazioni o le app mobili autorizzate possano accedere a dati altamente regolamentati.

Sicurezza Zero Trust. In una approccio alla sicurezza Zero Trust, tutti gli endpoint sono considerati ostili per impostazione predefinita. A tutte le entità - utenti, dispositivi, account - viene concesso l'accesso con privilegio minimo richiesto per supportare i loro lavoro o le loro funzioni e tutte le entità devono essere monitorate costantemente e riautorizzate regolarmente mentre l'accesso continua. UEM può supportare l'implementazione Zero Trust in diversi modi - dalla semplificazione del provisioning di tutti i dispositivi per l'accesso con privilegio minimo alla fornitura di visibilità in tempo reale di ogni dispositivo connesso alla rete.