Che cos'è la gestione unificata degli endpoint (UEM)?

L'UEM è la versione più recente di una serie di strumenti di gestione della sicurezza mobile, cioè strumenti emergenti ed evoluti che, negli ultimi due decenni, hanno risposto al mutevole rapporto tra organizzazioni, dipendenti, dispositivi mobili e stili di lavoro.

Dalla MDM...

I primi dispositivi mobili introdotti sul posto di lavoro erano di proprietà dell'azienda e, per consentire agli amministratori IT di gestirli e proteggerli, sono stati sviluppati strumenti di gestione dei dispositivi mobili (MDM). Gli strumenti MDM offrivano agli amministratori il controllo totale su tutte le funzionalità di un dispositivo. Potevano eseguire il provisioning, la registrazione e la crittografia, configurare e controllare l'accesso wireless, installare e gestire app aziendali, tracciare la posizione dei dispositivi e bloccare e svuotare un dispositivo in caso di smarrimento o furto.

...alla MAM...

La MDM era una soluzione di gestione mobile accettabile fino a quando gli smartphone non sono diventati tanto popolari che i dipendenti volevano utilizzarli per lavorare (invece di portare con sé sia un dispositivo di lavoro che uno personale). Così è nato il BYOD. Ma, da lì a poco, i dipendenti hanno iniziato a trovarsi a disagio lasciando il controllo totale dei loro telefoni e dati personali alla MDM.

È così emersa una nuova soluzione, la gestione delle applicazioni mobili (MAM). Invece di concentrarsi sul controllo di gestione dell'intero dispositivo mobile, la MAM si concentra sulla gestione delle app. Con essa, gli amministratori possono assumere il controllo totale sulle app aziendali e sui dati aziendali a esse associati, controllare in modo più misurato le app dei dipendenti per proteggere i dati aziendali, senza toccare o addirittura senza vedere i loro dati personali.

...all'EMM...

Ma anche le soluzioni MAM hanno i loro limiti, la maggior parte dei quali è dovuta alla semplice incapacità di restare al passo con l'esplosione di nuove app che i dipendenti aggiungono ai propri dispositivi iOS o Android. In risposta, i fornitori hanno combinato MDM, MAM e alcuni strumenti correlati per creare suite di gestione della mobilità aziendale (EMM). L'EMM ha fornito la sicurezza dei dati aziendali della MDM, l'esperienza per i dipendenti superiore della MAM e la gestione e il controllo della sicurezza su tutti i dispositivi utilizzati al di fuori dell'ufficio, non solo gli smartphone, ma anche laptop e PC fuori sede.

...fino all'UEM

L'EMM lasciava una lacuna nella gestione degli endpoint (e una potenziale vulnerabilità di sicurezza): poiché non offriva funzionalità per la gestione dei dispositivi degli utenti finali in loco, richiedeva agli amministratori di utilizzare strumenti e politiche separati per la gestione e la sicurezza dei dispositivi in sede e fuori sede. Ciò ha aumentato il lavoro e creato più confusione e margine di errore, proprio quando più datori di lavoro cercavano di far lavorare più dipendenti da casa.

Per risolvere questo problema, è nata l'UEM, che combina le funzioni di EMM con le funzionalità degli strumenti di gestione dei clienti (CMT) utilizzati tradizionalmente per gestire PC e laptop on-premise. La maggior parte degli strumenti UEM include, integra o interagisce anche con strumenti di sicurezza degli endpoint come software antivirus e antimalware, software di controllo web, soluzioni di analisi del comportamento degli utenti e delle entità (UEBA), firewall integrati e altro ancora.

L'utilizzo di più strumenti di gestione degli endpoint per gestire e proteggere i dispositivi endpoint in posizioni diverse comporta una grande quantità di attività manuali e lavori ripetitivi per i team di sicurezza e IT e aumenta la probabilità che si verifichino incongruenze, configurazioni errate ed errori, che possono lasciare gli endpoint e la rete vulnerabili agli attacchi.

L'UEM riduce notevolmente la fatica e il rischio creando un unico dashboard centralizzato in cui gli amministratori IT e i team di sicurezza possono visualizzare, gestire e proteggere ogni dispositivo endpoint connesso alla rete aziendale.

Gli strumenti UEM funzionano su tutti i sistemi operativi per PC e dispositivi mobili tra cui Apple iOS e MacOS, Google ChromeOS e Android, Linux e Microsoft Windows. (Alcune soluzioni supportano anche i sistemi operativi BlackBerry OS e Windows Phone). Molte soluzioni UEM includono anche stampanti e altri dispositivi IoT per gli utenti finali, smartwatch e altri dispositivi indossabili, visori di realtà virtuale e assistenti virtuali, e qualsiasi cosa un dipendente o un business partner voglia utilizzare per connettersi alla rete e svolgere il proprio lavoro.

L'UEM sa della presenza di tutti i dispositivi della rete, indipendentemente dal tipo o dalla frequenza di connessione e dalla provenienza. Riesce anche a scoprire in tempo reale dispositivi connessi di cui gli amministratori o i team di sicurezza potrebbero non essere a conoscenza.

Gli amministratori del dashboard centrale possono inoltre eseguire o automatizzare le attività critiche di gestione e sicurezza per tutti i dispositivi o per dispositivi selezionati. Alcuni esempi sono:

• Registrazione e provisioning dei dispositivi: per ridurre l'onere amministrativo del BYOD, le soluzioni UEM forniscono un portale in cui gli utenti possono auto-registrarsi e ottenere il provisioning automatico dei loro dispositivi. L'UEM inoltre esegue automaticamente la registrazione e il provisioning per qualsiasi dispositivo nuovo o sconosciuto che tenti di connettersi alla rete.
  
  
• Applicazione ed esecuzione delle politiche di sicurezza: gli amministratori possono specificare autenticazione a più fattori, lunghezza, complessità e rinnovi delle password, metodi di crittografia dei dati e molto altro ancora. Consentendo agli amministratori di distribuire politiche coerenti su tutti i dispositivi con un unico strumento, l'UEM riduce notevolmente il lavoro manuale dei reparti IT e del personale addetto alla sicurezza.
  
  
• Invio di patch e aggiornamenti: l'UEM può scansionare gli endpoint alla ricerca di vulnerabilità del software, del firmware o del sistema operativo e inviare automaticamente le patch dove necessario.
  
  
• Controllo di app e applicazioni: i datori di lavoro possono approvare o vietare l'uso di app specifiche e impedire ad applicazioni non autorizzate di accedere ai dati aziendali. Molti strumenti UEM consentono la creazione di un app store in cui gli utenti possono scaricare, installare e aggiornare periodicamente le applicazioni desktop approvate dall'azienda.
  
  
• Isolamento dei dati aziendali e personali: protegge i dati aziendali e personali e offre un'esperienza utente ottimale per il BYOD.
  
  
• Mantenere aggiornate le soluzioni per la sicurezza degli endpoint: gli amministratori possono installare le definizioni antivirus più recenti sui dispositivi, aggiornare i filtri web con i più recenti siti in blacklist o whitelist e perfino modificare i firewall per contrastare le nuove minacce.
  
  
• Proteggere le connessioni: l'UEM consente agli amministratori di specificare il tipo di connessione, come wifi, VPN, e per dispositivo, per utente o persino per applicazione.
  
  
• Identificazione e correzione delle minacce: Grazie all'integrazione con UEBA, rilevamento e risposta degli endpoint (EDR) e altre tecnologie di sicurezza, l'UEM può aiutare a identificare comportamenti anomali dei dispositivi che indicano minacce in corso o potenziali e attivare altri strumenti di sicurezza per contrastare le aggressioni.
  
  
• Cancellare e bloccare dispositivi smarriti, rubati o a fine ciclo di vita: come ultima linea di difesa, l'UEM consente agli amministratori o ai team di sicurezza di individuare, pulire, bloccare e/o ripristinare i dispositivi smarriti, rubati o ritirati per impedire l'accesso non autorizzato alla rete e impedire che i dati sensibili presenti sul dispositivo cadano nelle mani sbagliate. Può anche ripristinare i dispositivi disattivati per proseguire con l'uso personale.

In conclusione, per queste e altre attività, l'approccio onnicomprensivo dell'UEM consente ai reparti di sicurezza e IT di ignorare le distinzioni tra dispositivi on-site e off-site, dispositivi mobili e desktop, sistemi operativi Windows o Mac o Chrome o Linux e di concentrarsi semplicemente sulla gestione dei dispositivi e della sicurezza.

Come accennato in precedenza, l'UEM si è evoluto a seguito dello scontro tra la continua evoluzione delle tecnologie per la gestione e la protezione delle politiche BYOD delle organizzazioni, una forza lavoro sempre più ibrida e l'espansione dei programmi di lavoro da casa. Tuttavia, le organizzazioni adottano l'UEM per supportare anche altre iniziative di gestione strategica e di sicurezza, tra cui:

Conformità normativa semplificata: la forza lavoro ibrida rendono più difficile dimostrare e applicare la conformità alle normative di settore e alla privacy dei dati. Le soluzioni UEM possono aiutare a superare questa complessità.

Ad esempio, l'UEM consente a un'organizzazione di stabilire un'unica politica che garantisca che ogni dispositivo rispetti i requisiti di crittografia specificati dal GDPR (General Data Protection Regulation), dall'HIPAA (Health Insurance Portability and Accountability Act) e da altre normative sulla privacy dei dati. Le funzionalità di isolamento dei dati e di controllo delle applicazioni UEM aiutano gli amministratori a garantire che solo le applicazioni o le app mobili autorizzate possano accedere ai dati altamente regolamentati. 

Sicurezza Zero Trust: in un approccio alla sicurezza Zero Trust, tutti gli endpoint sono considerati ostili per impostazione predefinita. A tutte le entità (utenti, dispositivi, account), viene concesso l'accesso con meno privilegi necessario per svolgere i loro lavori o le loro funzioni, e tutte le entità devono essere continuamente monitorate e regolarmente riautorizzate ogni volta che avviene un accesso. L'UEM può supportare l'implementazione Zero Trust in diversi modi, dalla semplificazione del provisioning di tutti i dispositivi per l'accesso con privilegi minimi alla visibilità in tempo reale di tutti i dispositivi connessi alla rete.