Quando si parla di MDM, che è Mobile Device Management, per qualche motivo tutti immaginano immediatamente un kill-switch, che fa esplodere a distanza un telefono smarrito su comando di un responsabile della sicurezza informatica. No, in generale c'è anche questo, solo senza effetti pirotecnici. Ma ci sono molte altre attività di routine che possono essere eseguite in modo molto più semplice e indolore con MDM.
L’azienda si impegna a ottimizzare e unificare i processi. E se prima un nuovo dipendente doveva recarsi in un misterioso seminterrato pieno di cavi e lampadine, dove saggi anziani dagli occhi rossi aiutavano a impostare la posta aziendale sul suo Blackberry, ora MDM è cresciuto fino a diventare un intero ecosistema che consente di svolgere queste attività in due clic. Parleremo di sicurezza, di Coca-Cola cetriolo-ribes e delle differenze tra MDM e MAM, EMM e UEM. E anche su come trovare lavoro vendendo torte a distanza.
Venerdì al bar
Anche le persone più responsabili a volte si prendono una pausa. E, come spesso accade, dimenticano zaini, laptop e cellulari nei caffè e nei bar. Il problema più grande è che la perdita di questi dispositivi può comportare un enorme grattacapo per il dipartimento di sicurezza delle informazioni se contengono informazioni sensibili per l’azienda. I dipendenti della stessa Apple sono riusciti a effettuare il check-in almeno due volte, perdendo all'inizio , e poi - . Sì, ora la maggior parte dei telefoni cellulari è dotata di crittografia pronta all'uso, ma i laptop aziendali non sono sempre configurati con la crittografia del disco rigido per impostazione predefinita.
Inoltre, hanno cominciato a emergere minacce come il furto mirato di dispositivi aziendali per estrarre dati preziosi. Il telefono è crittografato, tutto è il più sicuro possibile e tutto il resto. Ma hai notato la telecamera di sorveglianza sotto la quale hai sbloccato il telefono prima che venisse rubato? Dato il potenziale valore dei dati presenti su un dispositivo aziendale, tali modelli di minaccia sono diventati molto reali.
In generale, le persone sono ancora sclerotiche. Molte aziende negli Stati Uniti sono state costrette a trattare i laptop come materiali di consumo che verranno inevitabilmente dimenticati in un bar, in un hotel o in un aeroporto. Ci sono prove che negli stessi aeroporti statunitensi ogni settimana, di cui almeno la metà contengono informazioni riservate senza alcuna protezione.
Tutto ciò ha aggiunto un bel po’ di capelli grigi ai professionisti della sicurezza e ha portato allo sviluppo iniziale di MDM (Mobile Device Management). Poi è nata la necessità di gestire il ciclo di vita delle applicazioni mobili sui dispositivi controllati e sono apparse le soluzioni MAM (Mobile Application Management). Diversi anni fa hanno iniziato a unirsi sotto il nome comune EMM (Enterprise Mobility Management), un unico sistema per la gestione dei dispositivi mobili. L’apogeo di tutta questa centralizzazione sono le soluzioni UEM (Unified Endpoint Management).
Tesoro, abbiamo comprato uno zoo
I primi ad apparire sono stati i fornitori che offrivano soluzioni per la gestione centralizzata dei dispositivi mobili. Una delle aziende più famose, Blackberry, è ancora viva e sta andando bene. Anche in Russia è presente e vende i suoi prodotti, principalmente per il settore bancario. In questo mercato sono entrate anche SAP e varie aziende più piccole come Good Technology, successivamente acquisita dallo stesso Blackberry. Allo stesso tempo, il concetto BYOD stava guadagnando popolarità, quando le aziende cercavano di risparmiare sul fatto che i dipendenti portassero con sé i propri dispositivi personali al lavoro.
È vero, è diventato subito chiaro che il supporto tecnico e la sicurezza delle informazioni stavano già sussultando di fronte a richieste come “Come posso configurare MS Exchange sul mio Arch Linux” e “Ho bisogno di una VPN diretta per un repository Git privato e un database di prodotti dal mio MacBook. " Senza soluzioni centralizzate, tutti i risparmi sul BYOD si sono trasformati in un incubo in termini di manutenzione dell'intero zoo. Le aziende avevano bisogno che tutta la gestione fosse automatica, flessibile e sicura.
Nella vendita al dettaglio, la storia si è svolta in modo leggermente diverso. Circa 10 anni fa, le aziende si resero improvvisamente conto che stavano arrivando i dispositivi mobili. Un tempo i dipendenti sedevano dietro i monitor delle lampade calde e da qualche parte nelle vicinanze era invisibilmente presente il proprietario barbuto del maglione, che faceva funzionare tutto. Con l'avvento degli smartphone a tutti gli effetti, le funzioni di rari PDA specializzati possono ora essere trasferite a un normale dispositivo seriale economico. Allo stesso tempo, si è capito che questo zoo doveva essere gestito in qualche modo, poiché ci sono molte piattaforme e sono tutte diverse: Blackberry, iOS, Android, poi Windows Phone. Nella scala di una grande azienda, qualsiasi movimento manuale è una zappa sui piedi. Questo processo consumerà risorse IT preziose e supporterà ore di lavoro.
All'inizio i fornitori offrivano prodotti MDM separati per ciascuna piattaforma. La situazione era abbastanza tipica quando venivano controllati solo gli smartphone su iOS o Android. Quando gli smartphone furono più o meno sistemati, si scoprì che anche i terminali di raccolta dati nel magazzino dovevano essere gestiti in qualche modo. Allo stesso tempo, devi davvero inviare un nuovo dipendente al magazzino in modo che possa semplicemente scansionare i codici a barre sulle scatole richieste e inserire questi dati nel database. Se hai magazzini in tutto il paese, il supporto diventa molto difficile. È necessario connettere ciascun dispositivo al Wi-Fi, installare l'applicazione e fornire l'accesso al database. Con il moderno MDM, o più precisamente, EMM, prendi un amministratore, gli fornisci una console di gestione e configuri migliaia di dispositivi con script modello da un unico posto.
Terminali di McDonald's
C'è una tendenza interessante nel commercio al dettaglio: l'abbandono dei registratori di cassa e delle casse fissi. Se prima nello stesso M.Video ti piaceva un bollitore, allora dovevi chiamare il venditore e camminare con lui attraverso l'intero corridoio fino al terminale fisso. Lungo la strada, il cliente è riuscito a dimenticare dieci volte il motivo per cui stava andando e a cambiare idea. Si perdeva lo stesso effetto dell'acquisto impulsivo. Ora le soluzioni MDM consentono al venditore di dotarsi immediatamente di un terminale POS ed effettuare un pagamento. Il sistema integra e configura i terminali del magazzino e del venditore da un'unica console di gestione. Un tempo, una delle prime aziende che iniziò a cambiare il modello tradizionale di registratore di cassa fu McDonald's con i suoi pannelli self-service interattivi e le ragazze con terminali mobili che prendevano gli ordini proprio in mezzo alla fila.
Anche Burger King ha iniziato a sviluppare il suo ecosistema, aggiungendo un'applicazione che permetteva di ordinare a distanza e di farlo preparare in anticipo. Tutto questo è stato combinato in una rete armoniosa con stand interattivi controllati e terminali mobili per i dipendenti.
Tu stesso un cassiere
Molti ipermercati di generi alimentari riducono il carico sui cassieri installando casse self-service. Globus è andato oltre. All'ingresso offrono di prendere un terminale Scan&Go con scanner integrato, con il quale è sufficiente scansionare tutta la merce sul posto, impacchettarla in sacchetti e partire dopo aver pagato. Non è necessario sventrare il cibo confezionato in sacchetti alla cassa. Tutti i terminali sono inoltre gestiti centralmente e integrati sia con i magazzini che con altri sistemi. Alcune aziende stanno provando soluzioni simili integrate nel carrello.
Mille gusti
Una questione a parte riguarda i distributori automatici. Allo stesso modo, è necessario aggiornare il firmware su di essi, monitorare i resti di caffè bruciato e latte in polvere. Inoltre, sincronizzando tutto questo con i terminali del personale di servizio. Tra le grandi aziende, Coca-Cola si è distinta in questo senso, annunciando un premio di 10 dollari per la ricetta della bevanda più originale. Nel senso, ha permesso agli utenti di mescolare le combinazioni più avvincenti nei dispositivi di marca. Di conseguenza, apparvero versioni di cola allo zenzero e limone senza zucchero e Sprite alla vaniglia e pesca. Non hanno ancora raggiunto il sapore del cerume, come in Every Flavor Beans di Bertie Bott, ma sono molto determinati. Tutta la telemetria e la popolarità di ciascuna combinazione vengono attentamente monitorate. Tutto questo si integra anche con le applicazioni mobili degli utenti.
Aspettiamo nuovi gusti.
Vendiamo torte
Il bello dei sistemi MDM/UEM è che puoi espandere rapidamente la tua attività collegando nuovi dipendenti in remoto. Puoi facilmente organizzare la vendita di torte condizionali in un'altra città con piena integrazione con i tuoi sistemi in due clic. Sembrerà qualcosa del genere.
Un nuovo dispositivo viene consegnato a un dipendente. Nella scatola c'è un pezzo di carta con un codice a barre. Eseguiamo la scansione: il dispositivo viene attivato, registrato in MDM, prende il firmware, lo applica e si riavvia. L'utente inserisce i suoi dati o un token monouso. Tutto. Ora hai un nuovo dipendente che ha accesso alla posta aziendale, ai dati sui saldi di magazzino, alle applicazioni necessarie e all'integrazione con un terminale di pagamento mobile. Una persona arriva al magazzino, ritira la merce e la consegna ai clienti diretti, accettando il pagamento tramite lo stesso dispositivo. Quasi come nelle strategie per assumere un paio di nuove unità.
Che aspetto ha
Uno dei sistemi UEM più potenti sul mercato è VMware Workspace ONE UEM (precedentemente AirWatch). Ti permette di integrarti con quasi e con ChromeOS. Anche Symbian esisteva fino a poco tempo fa. Workspace ONE supporta anche Apple TV.
Un altro vantaggio importante. Apple consente solo a due MDM, incluso Workspace ONE, di armeggiare con l'API prima di rilasciare una nuova versione di iOS. Per tutti, nella migliore delle ipotesi, tra un mese, e per loro, in due.
Basta impostare gli scenari di utilizzo necessari, connettere il dispositivo e poi funzionerà, come si suol dire, automaticamente. Arrivano policy e restrizioni, viene fornito l'accesso necessario alle risorse di rete interne, vengono caricate le chiavi e installati i certificati. In pochi minuti il nuovo dipendente dispone di un dispositivo completamente pronto per il lavoro, da cui fluisce continuamente la telemetria necessaria. Il numero di scenari è enorme, dal blocco della fotocamera del telefono in una geolocalizzazione specifica all’SSO utilizzando un’impronta digitale o un volto.
L'amministratore configura il launcher con tutte le applicazioni che arriveranno all'utente.
Anche tutti i parametri possibili e impossibili sono configurati in modo flessibile, come la dimensione delle icone, il divieto del loro movimento, il divieto delle icone di chiamata e di contatto. Questa funzionalità è utile quando si utilizza la piattaforma Android come menu interattivo in un ristorante e attività simili.
Dal lato dell'utente assomiglia a questo
Anche altri fornitori offrono soluzioni interessanti. Ad esempio, EMM SafePhone dell'Istituto di ricerca scientifica SOKB offre soluzioni certificate per la trasmissione sicura di voce e messaggi con funzionalità di crittografia e registrazione.
Telefoni rootati
Un grattacapo per la sicurezza delle informazioni sono i telefoni rooted, dove l'utente ha i massimi diritti. No, puramente soggettivamente questa è un'opzione ideale. Il tuo dispositivo deve concederti diritti di controllo completi. Sfortunatamente, questo va contro gli obiettivi aziendali, che richiedono che l’utente non abbia alcuna influenza sul software aziendale. Ad esempio, non dovrebbe poter entrare in una sezione di memoria protetta con file o infilare un falso GPS.
Pertanto, tutti i fornitori, in un modo o nell'altro, cercano di rilevare qualsiasi attività sospetta su un dispositivo gestito e bloccano l'accesso se vengono rilevati diritti di root o firmware non standard.
Android di solito fa affidamento su . Di tanto in tanto Magisk ti consente di aggirare i suoi controlli, ma, di norma, Google risolve questo problema molto rapidamente. Per quanto ne so, lo stesso Google Pay non ha mai più ripreso a funzionare sui dispositivi rootati dopo l'aggiornamento di primavera.
Invece di output
Se sei una grande azienda, dovresti pensare all’implementazione di UEM/EMM/MDM. Le tendenze attuali indicano che tali sistemi stanno trovando un utilizzo sempre più ampio: dagli iPad bloccati come terminali in una pasticceria alle grandi integrazioni con magazzini e terminali di corrieri. Un unico punto di controllo e una rapida integrazione o cambiamento dei ruoli dei dipendenti offrono vantaggi enormi.
La mia posta - [email protected]
Fonte: habr.com