Quando eles falam sobre o MDM, que é o gerenciamento de dispositivos móveis, por algum motivo, todos apresentam imediatamente um interruptor de interrupção que remota remete a um telefone perdido sob o comando de um oficial de segurança da informação. Não, em geral, isso também existe, apenas sem efeitos pirotécnicos. Mas ainda existem várias outras tarefas rotineiras que são executadas com o MDM muito mais fáceis e mais simples.
A empresa busca otimizar e unificar processos. E, se antes um novo funcionário precisava ir a uma adega misteriosa com fios e lâmpadas, onde velhos sábios de olhos vermelhos ajudavam a configurar correspondências corporativas em seu Blackberry, agora o MDM cresceu para um ecossistema inteiro que permite executar essas tarefas em dois cliques. Falaremos sobre segurança, Coca-Cola de pepino e groselha e as diferenças entre MDM e MAM, EMM e UEM. E também sobre como se envolver remotamente em um trabalho de venda de tortas.
Sexta-feira no bar
Até as pessoas mais responsáveis às vezes relaxam. E, como costuma acontecer, esquecem mochilas, laptops e telefones celulares em cafés e bares. O maior problema é que a perda desses dispositivos pode se transformar em uma grande dor de cabeça para o departamento de segurança da informação se eles contiverem informações confidenciais da empresa. Funcionários da mesma Apple conseguiram fazer check-in pelo menos duas vezes, primeiro perdendo o
protótipo do iPhone 4 e depois -
iPhone 5 . Sim, agora a maioria dos telefones celulares vem com a criptografia pronta para uso, mas os mesmos laptops corporativos nem sempre são configurados com a criptografia do disco rígido por padrão.
Além disso, começaram a surgir ameaças, como o roubo direcionado de dispositivos corporativos para extrair dados valiosos. O telefone está criptografado, tudo é o mais seguro possível e tudo mais. Mas você notou a câmera de vigilância sob a qual desbloqueou o telefone antes de ser roubado? Dado o valor potencial dos dados em um dispositivo corporativo, esses modelos de ameaças se tornaram bastante reais.
Em geral, as pessoas ainda são escleróticas. Muitas empresas nos EUA começaram a se relacionar com laptops como consumíveis, que seriam inevitavelmente esquecidos em um bar, hotel ou aeroporto. Há evidências de que nos mesmos aeroportos dos EUA
esquecem cerca de 12.000 laptops por semana, dos quais pelo menos metade contém informações confidenciais sem nenhuma proteção.
Tudo isso acrescentou cabelos grisalhos aos guardas de segurança e levou ao desenvolvimento do MDM (Mobile Device Management) a princípio. Havia a necessidade de gerenciar o ciclo de vida de aplicativos móveis em dispositivos controlados, e as soluções MAM (Mobile Application Management) apareceram. Alguns anos atrás, eles começaram a se unir sob o nome geral EMM (Enterprise Mobility Management) - um sistema único para gerenciar dispositivos móveis. O apogeu de toda essa centralização são as soluções UEM (Unified Endpoint Management).
Querida, compramos um zoológico
Os primeiros a aparecer foram os fornecedores que ofereceram soluções para gerenciamento centralizado de dispositivos móveis. Uma das empresas mais famosas - Blackberry - ainda está viva e não está se sentindo mal. Mesmo na Rússia, está presente e vende seus produtos, principalmente para o setor bancário. A SAP e várias empresas menores, como a Good Technology, compradas posteriormente pelo mesmo Blackberry, também entraram nesse mercado. Ao mesmo tempo, o conceito BYOD estava ganhando popularidade quando as empresas tentaram economizar no fato de os funcionários arrastarem seus dispositivos pessoais para o trabalho.
É verdade que rapidamente ficou claro que o suporte técnico e a segurança das informações já são surpreendidos por solicitações como "Como configurar o MS Exchange no meu Arch Linux" e "Preciso de uma VPN direta para um repositório Git privado e um banco de dados de produtos do meu MacBook". Sem soluções centralizadas, todas as economias em BYOD se transformaram em um pesadelo em termos de manutenção de todo o zoológico. As empresas precisavam que todo o gerenciamento fosse automático, flexível e seguro.
No varejo, a história evoluiu um pouco diferente. Cerca de 10 anos atrás, as empresas perceberam subitamente que havia dispositivos móveis. Costumava ser que os funcionários estavam sentados atrás de monitores de tubo quente, e em algum lugar próximo havia um dono barbudo de um suéter invisivelmente presente, o que fazia tudo funcionar. Com o advento de smartphones completos, as funções de PDAs especializados raros agora podem ser transferidas para um dispositivo serial barato e regular. Ao mesmo tempo, entendeu que esse zoológico precisa ser gerenciado de alguma forma, uma vez que existem muitas plataformas e são todas diferentes: Blackberry, iOS, Android e Windows Phone. Em uma grande escala de empresa, qualquer gesto manual é um tiro no pé. Esse processo consumirá horas-homem valiosas de unidades e suporte de TI.
Os fornecedores desde o início ofereceram produtos MDM separados para cada plataforma. Era bastante típico que apenas smartphones rodando no iOS ou Android fossem controlados. Quando resolvemos isso mais ou menos com os smartphones, descobriu-se que os terminais de coleta de dados no armazém também precisavam ser gerenciados de alguma forma. Ao mesmo tempo, você realmente precisa enviar um novo funcionário ao armazém para que ele simplesmente digitalize os códigos de barras nas caixas necessárias e insira esses dados no banco de dados. Se você possui armazéns em todo o país, o apoio se tornou bastante difícil. É necessário conectar cada dispositivo ao Wi-Fi, instalar o aplicativo e fornecer acesso ao banco de dados. Com o MDM moderno, ou melhor, o EMM, você pega o administrador, fornece a ele o console de gerenciamento e configura milhares de dispositivos com scripts de modelo em um único local.
Terminais no McDonald's
No varejo, há uma tendência interessante - afastar-se das caixas registradoras estacionárias e dos pontos de registro de mercadorias. Se antes, no mesmo vídeo em que você gostava da chaleira, você precisava ligar para o vendedor e pisar com ele por todo o corredor até o terminal estacionário. No caminho, o cliente conseguiu esquecer dez vezes por que ele estava indo e mudar de idéia. O próprio efeito da compra impulsiva foi perdido. Agora, as soluções MDM permitem que o vendedor se aproxime imediatamente do terminal do PDV e faça um pagamento. O sistema integra e configura terminais e vendedores de armazém a partir de um único console de gerenciamento. Ao mesmo tempo, uma das primeiras empresas que começaram a mudar o modelo de uma caixa registradora tradicional foi o McDonald's, com seus painéis interativos de autoatendimento e garotas com terminais móveis que atendiam pedidos no meio da linha.
O Burger King também começou a desenvolver seu ecossistema adicionando um aplicativo que lhe permitia fazer um pedido remotamente para que fosse preparado com antecedência. Tudo isso foi combinado em uma rede harmoniosa com racks interativos gerenciados e terminais móveis nos funcionários.
Você mesmo um caixa
Muitos hipermercados de supermercado reduzem a carga nos caixas instalando caixas registradoras de autoatendimento. O Globo foi além. Eles na entrada oferecem levar o terminal Scan & Go com um scanner integrado, com o qual você simplesmente escaneia todas as mercadorias no local, coloca-as em pacotes e sai, pagando. Não é necessário estripar as compras dispostas em pacotes no caixa. Todos os terminais também são gerenciados centralmente e se integram aos armazéns e outros sistemas. Algumas empresas estão tentando soluções semelhantes integradas ao carrinho.
Mil sabores
Uma música separada é máquinas de venda automática. Eles precisam ser atualizados no firmware da mesma maneira, para monitorar os restos de café queimado e leite em pó. Além disso, sincronizando tudo com os terminais da equipe. Das grandes empresas, a Coca-Cola se destacou nesse sentido, que anunciou um prêmio de US $ 10.000 pela receita de bebida mais original. Em certo sentido, permitiu que os usuários combinassem as combinações mais viciantes em dispositivos de marca. Como resultado, surgiram opções para a cola de gengibre e limão sem açúcar e Sprite de baunilha e pêssego. Antes do sabor da cera, como nos doces Every Flavor Beans de Bertie Bott, eles ainda não pareciam alcançá-lo, mas eram muito determinados. Toda a telemetria e a popularidade de cada combinação são cuidadosamente monitoradas. Tudo isso também se integra aos aplicativos móveis dos usuários.
Estamos à espera de novos gostos.
Nós vendemos tortas
A beleza dos sistemas MDM / UEM é que você pode escalar rapidamente seus negócios conectando novos funcionários remotamente. Você pode organizar a venda de bolos condicionais em outra cidade com total integração com seus sistemas em dois cliques. Será algo parecido com isto.
Um novo dispositivo é trazido para o funcionário. Na caixa - um pedaço de papel com um código de barras. Digitalizar - o dispositivo está ativado, registrado no MDM, pega o firmware, aplica e reinicia. O usuário digita seus dados ou um token único. Só isso. Agora você tem um novo funcionário que tem acesso ao correio corporativo, dados sobre saldos de estoque, aplicativos necessários e integração com um terminal de pagamento móvel. Uma pessoa chega ao armazém, pega as mercadorias e as leva para os clientes diretos, aceitando pagamento usando o mesmo dispositivo. Quase como em estratégias para contratar algumas novas unidades.
Como é isso?
Um dos sistemas UEM mais funcionais do mercado é o VMware Workspace ONE UEM (anteriormente AirWatch). Ele permite a integração com praticamente
qualquer sistema operacional móvel e de desktop e com o ChromeOS. Até o Symbian era até recentemente. O espaço de trabalho ONE também suporta Apple TV.
Outra vantagem importante. A Apple permite que apenas dois MDMs, incluindo o Workspace ONE, acessem a API antes de lançar uma nova versão do iOS. Para todos, no máximo, em um mês, e para eles em dois.
Você simplesmente define os cenários de uso necessários, conecta o dispositivo e, em seguida, ele funciona, como se costuma dizer, automagicamente. Políticas, restrições chegam, o acesso necessário aos recursos internos da rede é fornecido, as chaves são preenchidas e os certificados são instalados. Após alguns minutos, o novo funcionário possui um dispositivo que já está completamente pronto para o trabalho, do qual a telemetria necessária flui continuamente. O número de cenários é enorme, começando pelo bloqueio da câmera do telefone em uma geolocalização específica e terminando com o SSO por impressão digital ou face.
O administrador configura o iniciador com todos os aplicativos que voam para o usuário.
Todos os parâmetros possíveis e impossíveis, como o tamanho dos ícones, a proibição de movimentação, a proibição de acessar a chamada e os contatos, também são configurados com flexibilidade. Essa funcionalidade é útil ao usar a plataforma Android como um menu interativo em um restaurante e em tarefas semelhantes.
Do lado do usuário, parece algo como isto Outros fornecedores têm soluções interessantes. Por exemplo, o EMM SafePhone da NII SOKB fornece soluções certificadas para a transferência segura de voz e mensagens com criptografia e gravação.
Telefones roteados
Uma dor de cabeça para segurança da informação são telefones com raiz, nos quais o usuário tem direitos máximos. Não, puramente subjetivo, isso é ideal. Seu dispositivo deve conceder a você direitos de controle total. Infelizmente, isso é contrário às tarefas corporativas que exigem que o usuário não possa influenciar o software corporativo. Por exemplo, ele não deve conseguir entrar em uma seção protegida da memória com arquivos ou inserir um GPS falso.
Portanto, todos os fornecedores, de uma maneira ou de outra, tentam detectar qualquer atividade suspeita no dispositivo gerenciado e bloqueiam o acesso ao detectar direitos de root ou firmware não padrão.
O Android normalmente depende da
API SafetyNet . De tempos em tempos, o mesmo Magisk permite que você ignore suas verificações, mas, como regra, o Google o corrige muito rapidamente. Tanto quanto eu sei, o mesmo Google Pay não funcionou novamente em dispositivos raiz após a atualização da primavera.
Em vez de saída
Se você é uma empresa grande, considere introduzir o UEM / EMM / MDM. As tendências atuais sugerem que esses sistemas estão encontrando aplicações mais amplas - do iPad bloqueado como terminais na confeitaria a grandes integrações com bases de armazém e terminais de courier. Um único ponto de gerenciamento e integração rápida ou uma mudança no papel de um funcionário oferecem vantagens muito grandes.
Meu e-mail é SVinogradskiy@croc.ru