Cuando hablan de MDM, que es la gestión de dispositivos móviles, por alguna razón todos imaginan inmediatamente un interruptor de emergencia que detona de forma remota un teléfono perdido por orden de un oficial de seguridad de la información. No, en general esto también está ahí, sólo que sin los efectos pirotécnicos. Pero hay muchas otras tareas rutinarias que se pueden realizar mucho más fácilmente y sin dolor con MDM.
Las empresas se esfuerzan por optimizar y unificar procesos. Y si antes un nuevo empleado tenía que ir a un sótano misterioso con cables y bombillas, donde unos sabios ancianos de ojos rojos le ayudaban a configurar el correo corporativo en su Blackberry, ahora MDM se ha convertido en todo un ecosistema que le permite realizar estas tareas en dos clics. Hablaremos de seguridad, Coca-Cola de pepino y grosella y las diferencias entre MDM y MAM, EMM y UEM. Y también sobre cómo conseguir trabajo vendiendo pasteles de forma remota.
viernes en el bar
Incluso las personas más responsables a veces se toman un descanso. Y, como suele ocurrir, se olvidan de las mochilas, los ordenadores portátiles y los teléfonos móviles en cafeterías y bares. El mayor problema es que la pérdida de estos dispositivos puede suponer un gran dolor de cabeza para el departamento de seguridad de la información si contienen información sensible para la empresa. Los empleados de la misma Apple lograron registrarse al menos dos veces, perdiendo al principio , y entonces - . Sí, ahora la mayoría de los teléfonos móviles vienen con cifrado listo para usar, pero las computadoras portátiles corporativas no siempre están configuradas con cifrado de disco duro de forma predeterminada.
Además, comenzaron a surgir amenazas como el robo selectivo de dispositivos corporativos para extraer datos valiosos. El teléfono está encriptado, todo es lo más seguro posible y todo eso. ¿Pero te diste cuenta de la cámara de vigilancia bajo la cual desbloqueaste tu teléfono antes de que te lo robaran? Dado el valor potencial de los datos en un dispositivo corporativo, estos modelos de amenazas se han vuelto muy reales.
En general, la gente todavía está esclerótica. Muchas empresas en Estados Unidos se han visto obligadas a tratar las computadoras portátiles como consumibles que inevitablemente serán olvidados en un bar, hotel o aeropuerto. Hay evidencia de que en los mismos aeropuertos estadounidenses cada semana, de los cuales al menos la mitad contienen información confidencial sin ningún tipo de protección.
Todo esto añadió bastantes canas a los profesionales de la seguridad y condujo al desarrollo inicial de MDM (Mobile Device Management). Luego surgió la necesidad de gestionar el ciclo de vida de las aplicaciones móviles en dispositivos controlados y aparecieron las soluciones MAM (Mobile Application Management). Hace varios años, comenzaron a unirse bajo el nombre común EMM (Enterprise Mobility Management), un sistema único para administrar dispositivos móviles. El apogeo de toda esta centralización son las soluciones UEM (Unified Endpoint Management).
Cariño, compramos un zoológico.
Los primeros en aparecer fueron proveedores que ofrecían soluciones para la gestión centralizada de dispositivos móviles. Una de las empresas más famosas, Blackberry, sigue viva y le va bien. Incluso en Rusia está presente y vende sus productos, principalmente para el sector bancario. SAP y varias empresas más pequeñas como Good Technology, posteriormente adquirida por la misma Blackberry, también entraron en este mercado. Al mismo tiempo, el concepto BYOD estaba ganando popularidad cuando las empresas intentaban ahorrar en el hecho de que los empleados llevaban sus dispositivos personales al trabajo.
Es cierto que rápidamente quedó claro que el soporte técnico y la seguridad de la información ya estaban haciendo muecas ante solicitudes como "¿Cómo puedo configurar MS Exchange en mi Arch Linux" y "Necesito una VPN directa a un repositorio privado de Git y a una base de datos de productos desde mi MacBook?". " Sin soluciones centralizadas, todos los ahorros en BYOD se convirtieron en una pesadilla en términos de mantenimiento de todo el zoológico. Las empresas necesitaban que toda la gestión fuera automática, flexible y segura.
En el comercio minorista, la historia se desarrolló un poco diferente. Hace unos 10 años, las empresas se dieron cuenta de repente de que estaban llegando los dispositivos móviles. Antes, los empleados se sentaban detrás de monitores con lámparas calientes y, en algún lugar cercano, el dueño barbudo del suéter estaba presente de manera invisible, haciendo que todo funcionara. Con la llegada de los teléfonos inteligentes completos, las funciones de raras PDA especializadas ahora se pueden transferir a un dispositivo en serie normal y económico. Al mismo tiempo, se entendió que este zoológico debía gestionarse de alguna manera, ya que hay muchas plataformas y todas son diferentes: Blackberry, iOS, Android y luego Windows Phone. En la escala de una gran empresa, cualquier movimiento manual es un tiro en el pie. Este proceso consumirá valiosas horas de trabajo de soporte y TI.
Al principio, los proveedores ofrecían productos MDM separados para cada plataforma. La situación era bastante típica cuando sólo se controlaban teléfonos inteligentes con iOS o Android. Cuando los teléfonos inteligentes estuvieron más o menos ordenados, resultó que los terminales de recopilación de datos en el almacén también necesitaban ser gestionados de alguna manera. Al mismo tiempo, realmente necesita enviar un nuevo empleado al almacén para que pueda simplemente escanear los códigos de barras en las cajas requeridas e ingresar estos datos en la base de datos. Si tiene almacenes en todo el país, el soporte se vuelve muy difícil. Debe conectar cada dispositivo a Wi-Fi, instalar la aplicación y proporcionar acceso a la base de datos. Con MDM moderno, o más precisamente, EMM, usted toma un administrador, le proporciona una consola de administración y configura miles de dispositivos con scripts de plantilla desde un solo lugar.
Terminales en McDonald's
Existe una tendencia interesante en el comercio minorista: alejarse de las cajas registradoras estacionarias y las cajas registradoras. Si antes, en el mismo M.Video, te gustaba la tetera, entonces tenías que llamar al vendedor y caminar con él por todo el pasillo hasta la terminal estacionaria. En el camino, el cliente logró olvidar diez veces por qué iba y cambiar de opinión. Se perdió el mismo efecto de una compra impulsiva. Ahora las soluciones MDM permiten al vendedor crear inmediatamente un terminal POS y realizar un pago. El sistema integra y configura terminales de almacén y vendedor desde una consola de gestión. En un momento, una de las primeras empresas que empezó a cambiar el modelo tradicional de caja registradora fue McDonald's con sus paneles interactivos de autoservicio y chicas con terminales móviles que tomaban pedidos justo en medio de la fila.
Burger King también comenzó a desarrollar su ecosistema añadiendo una aplicación que permitía realizar pedidos de forma remota y tenerlo preparado con antelación. Todo esto se combinó en una red armoniosa con stands interactivos controlados y terminales móviles para los empleados.
Usted mismo un cajero
Muchos hipermercados de alimentación reducen la carga de los cajeros instalando cajas de autoservicio. Globo fue más allá. En la entrada te ofrecen llevar un terminal Scan&Go con escáner integrado, con el que simplemente escaneas toda la mercancía en el acto, la empaquetas en bolsas y te marchas después de pagar. No es necesario destripar los alimentos envasados en bolsas en la caja. Todas las terminales también se gestionan e integran de forma centralizada tanto con los almacenes como con otros sistemas. Algunas empresas están probando soluciones similares integradas en el carrito.
mil gustos
Un tema aparte son las máquinas expendedoras. De la misma forma, es necesario actualizar el firmware en ellos, controlar los restos de café quemado y leche en polvo. Además, sincronizar todo ello con los terminales del personal de servicio. De las grandes empresas, Coca-Cola se distinguió en este sentido, anunciando un premio de 10 dólares a la receta de bebida más original. En cierto sentido, permitía a los usuarios mezclar las combinaciones más adictivas en dispositivos de marca. Como resultado, aparecieron versiones de cola de jengibre y limón sin azúcar y Sprite de vainilla y melocotón. Todavía no han alcanzado el sabor del cerumen, como en Every Flavor Beans de Bertie Bott, pero están muy decididos. Toda la telemetría y la popularidad de cada combinación se controlan cuidadosamente. Todo esto también se integra con las aplicaciones móviles de los usuarios.
Estamos esperando nuevos gustos.
Vendemos pasteles
Lo bueno de los sistemas MDM/UEM es que puede escalar rápidamente su negocio conectando nuevos empleados de forma remota. Puedes organizar fácilmente la venta de pasteles condicionales en otra ciudad con integración total con tus sistemas en dos clics. Se verá algo como esto.
Se entrega un nuevo dispositivo a un empleado. En la caja hay un trozo de papel con un código de barras. Escaneamos: el dispositivo se activa, se registra en MDM, toma el firmware, lo aplica y se reinicia. El usuario ingresa sus datos o un token único. Todo. Ahora cuentas con un nuevo empleado que tiene acceso al correo corporativo, datos sobre saldos de almacén, las aplicaciones necesarias e integración con un terminal de pago móvil. Una persona llega al almacén, recoge la mercancía y la entrega a los clientes directos, aceptando el pago mediante el mismo dispositivo. Casi como en estrategias para contratar un par de unidades nuevas.
Como se ve
Uno de los sistemas UEM más capaces del mercado es VMware Workspace ONE UEM (anteriormente AirWatch). Le permite integrarse con casi y con ChromeOS. Incluso Symbian existía hasta hace poco. Workspace ONE también es compatible con Apple TV.
Otra ventaja importante. Apple solo permite que dos MDM, incluido Workspace ONE, modifiquen la API antes de lanzar una nueva versión de iOS. Para todos, en el mejor de los casos, en un mes, y para ellos, en dos.
Simplemente configura los escenarios de uso necesarios, conecta el dispositivo y luego funciona, como dicen, automáticamente. Llegan políticas y restricciones, se proporciona el acceso necesario a los recursos de la red interna, se cargan claves y se instalan certificados. En pocos minutos, el nuevo empleado dispone de un dispositivo completamente listo para trabajar, del que fluye continuamente la telemetría necesaria. La cantidad de escenarios es enorme, desde bloquear la cámara de un teléfono en una geolocalización específica hasta SSO usando una huella digital o una cara.
El administrador configura el lanzador con todas las aplicaciones que llegarán al usuario.
También se configuran de forma flexible todos los parámetros posibles e imposibles, como el tamaño de los iconos, la prohibición de su movimiento, la prohibición de los iconos de llamadas y contactos. Esta funcionalidad es útil cuando se utiliza la plataforma Android como menú interactivo en un restaurante y tareas similares.
Desde el lado del usuario se ve así
Otros proveedores también tienen soluciones interesantes. Por ejemplo, EMM SafePhone del Instituto de Investigación Científica SOKB proporciona soluciones certificadas para la transmisión segura de voz y mensajes con capacidades de cifrado y grabación.
Teléfonos rooteados
Un dolor de cabeza para la seguridad de la información son los teléfonos rooteados, donde el usuario tiene los máximos derechos. No, puramente subjetivamente esta es una opción ideal. Su dispositivo debe otorgarle derechos de control total. Desafortunadamente, esto va en contra de los objetivos corporativos, que exigen que el usuario no tenga influencia sobre el software corporativo. Por ejemplo, no debería poder acceder a una sección de memoria protegida con archivos o introducir un GPS falso.
Por lo tanto, todos los proveedores, de una forma u otra, intentan detectar cualquier actividad sospechosa en un dispositivo administrado y bloquear el acceso si se detectan derechos de root o firmware no estándar.
Android generalmente depende de . De vez en cuando, Magisk le permite eludir sus controles, pero, por regla general, Google soluciona este problema muy rápidamente. Hasta donde yo sé, el mismo Google Pay nunca volvió a funcionar en dispositivos rooteados después de la actualización de primavera.
En lugar de salida
Si es una empresa grande, entonces debería pensar en implementar UEM/EMM/MDM. Las tendencias actuales indican que estos sistemas están encontrando un uso cada vez más amplio: desde iPads bloqueados como terminales en una confitería hasta grandes integraciones con bases de almacén y terminales de mensajería. Un único punto de control y una rápida integración o cambio de roles de los empleados proporcionan grandes beneficios.
Mi correo - [email protected]
Fuente: habr.com