Quando se fala em MDM, que é Gerenciamento de Dispositivos Móveis, por algum motivo todos imediatamente imaginam um interruptor de interrupção, que detona remotamente um telefone perdido ao comando de um oficial de segurança da informação. Não, em geral isso também existe, só que sem os efeitos pirotécnicos. Mas há muitas outras tarefas rotineiras que podem ser realizadas de maneira muito mais fácil e indolor com o MDM.
As empresas se esforçam para otimizar e unificar processos. E se antes um novo funcionário tinha que ir para um porão misterioso com fios e lâmpadas, onde sábios anciãos de olhos vermelhos ajudavam a configurar a correspondência corporativa em seu Blackberry, agora o MDM cresceu em todo um ecossistema que permite que você execute essas tarefas em dois cliques. Falaremos sobre segurança, Coca-Cola de pepino e groselha e as diferenças entre MDM e MAM, EMM e UEM. E também sobre como conseguir um emprego vendendo tortas remotamente.
Sexta-feira no bar
Mesmo as pessoas mais responsáveis às vezes fazem uma pausa. E, como muitas vezes acontece, esquecem-se de mochilas, computadores portáteis e telemóveis em cafés e bares. O maior problema é que a perda desses dispositivos pode resultar em uma enorme dor de cabeça para o departamento de segurança da informação caso contenham informações sensíveis para a empresa. Funcionários da mesma Apple conseguiram fazer check-in pelo menos duas vezes, perdendo na primeira , e então - . Sim, agora a maioria dos telefones celulares vem com criptografia pronta para uso, mas os laptops corporativos nem sempre são configurados com criptografia de disco rígido por padrão.
Além disso, começaram a surgir ameaças como o roubo direcionado de dispositivos corporativos para extrair dados valiosos. O telefone é criptografado, tudo é o mais seguro possível e tudo mais. Mas você notou a câmera de vigilância com a qual desbloqueou seu telefone antes de ser roubado? Dado o valor potencial dos dados num dispositivo corporativo, esses modelos de ameaças tornaram-se muito reais.
Em geral, as pessoas ainda são escleróticas. Muitas empresas nos EUA foram forçadas a tratar os computadores portáteis como consumíveis que serão inevitavelmente esquecidos num bar, hotel ou aeroporto. Há evidências de que nos mesmos aeroportos dos EUA todas as semanas, dos quais pelo menos metade contém informações confidenciais sem qualquer proteção.
Tudo isso adicionou muitos cabelos grisalhos aos profissionais de segurança e levou ao desenvolvimento inicial do MDM (Mobile Device Management). Surgiu então a necessidade de gerenciamento do ciclo de vida de aplicativos móveis em dispositivos controlados e surgiram soluções MAM (Mobile Application Management). Há vários anos, eles começaram a se unir sob o nome comum EMM (Enterprise Mobility Management) - um sistema unificado para gerenciamento de dispositivos móveis. O apogeu de toda essa centralização são as soluções UEM (Unified Endpoint Management).
Querida, compramos um zoológico
Os primeiros a aparecer foram fornecedores que ofereciam soluções para gerenciamento centralizado de dispositivos móveis. Uma das empresas mais famosas, a Blackberry, ainda está viva e indo bem. Até na Rússia está presente e vende os seus produtos, principalmente para o setor bancário. A SAP e diversas empresas menores como a Good Technology, posteriormente adquirida pela mesma Blackberry, também entraram neste mercado. Ao mesmo tempo, o conceito BYOD estava ganhando popularidade, quando as empresas tentavam economizar no fato de os funcionários levarem seus dispositivos pessoais para o trabalho.
É verdade que rapidamente ficou claro que o suporte técnico e a segurança da informação já estavam estremecendo com solicitações como “Como posso configurar o MS Exchange no meu Arch Linux” e “Preciso de uma VPN direta para um repositório Git privado e banco de dados de produtos do meu MacBook. ” Sem soluções centralizadas, todas as poupanças no BYOD transformaram-se num pesadelo em termos de manutenção de todo o jardim zoológico. As empresas precisavam que toda a gestão fosse automática, flexível e segura.
No varejo, a história se desenrolou de forma um pouco diferente. Há cerca de 10 anos, as empresas perceberam repentinamente que os dispositivos móveis estavam chegando. Antigamente, os funcionários sentavam-se atrás de monitores com lâmpadas quentes e, em algum lugar próximo, o dono barbudo do suéter estava invisivelmente presente, fazendo tudo funcionar. Com o advento dos smartphones completos, as funções de raros PDAs especializados agora podem ser transferidas para um dispositivo serial comum e barato. Ao mesmo tempo, veio o entendimento de que esse zoológico precisava ser gerenciado de alguma forma, já que existem muitas plataformas, e são todas diferentes: Blackberry, iOS, Android, depois Windows Phone. Na escala de uma grande empresa, qualquer movimento manual é um tiro no pé. Esse processo consumirá TI valiosa e suportará horas de trabalho.
No início, os fornecedores ofereciam produtos MDM separados para cada plataforma. A situação era bastante típica quando apenas smartphones iOS ou Android eram controlados. Quando os smartphones foram mais ou menos resolvidos, descobriu-se que os terminais de coleta de dados no armazém também precisavam ser gerenciados de alguma forma. Ao mesmo tempo, é realmente necessário enviar um novo funcionário ao armazém para que ele possa simplesmente escanear os códigos de barras nas caixas necessárias e inserir esses dados no banco de dados. Se você tem armazéns espalhados por todo o país, o suporte fica muito difícil. Você precisa conectar cada dispositivo ao Wi-Fi, instalar o aplicativo e fornecer acesso ao banco de dados. Com o MDM moderno, ou mais precisamente, o EMM, você pega um administrador, dá a ele um console de gerenciamento e configura milhares de dispositivos com scripts de modelo em um só lugar.
Terminais no McDonald's
Há uma tendência interessante no varejo - um afastamento das caixas registradoras e dos caixas eletrônicos fixos. Se anteriormente no mesmo M.Video você gostasse de uma chaleira, teria que ligar para o vendedor e caminhar com ele por todo o corredor até o terminal estacionário. No caminho, o cliente conseguiu esquecer dez vezes o motivo de sua ida e mudou de ideia. O mesmo efeito de uma compra impulsiva foi perdido. Agora as soluções MDM permitem que o vendedor crie imediatamente um terminal POS e efetue um pagamento. O sistema integra e configura terminais de armazém e vendedores a partir de um console de gerenciamento. Ao mesmo tempo, uma das primeiras empresas que começou a mudar o modelo tradicional de caixa registradora foi o McDonald's com seus painéis interativos de autoatendimento e meninas com terminais móveis que atendiam os pedidos bem no meio da fila.
O Burger King também começou a desenvolver seu ecossistema, agregando um aplicativo que permitia fazer pedidos à distância e prepará-los com antecedência. Tudo isso foi combinado em uma rede harmoniosa com estandes interativos controlados e terminais móveis para funcionários.
Seu próprio caixa
Muitos hipermercados de mercearia reduzem a carga dos caixas instalando caixas de autoatendimento. Globus foi mais longe. Na entrada oferecem um terminal Scan&Go com scanner integrado, com o qual você simplesmente escaneia toda a mercadoria no local, embala em sacos e sai após o pagamento. Não há necessidade de estripar os alimentos embalados em sacos no caixa. Todos os terminais também são gerenciados centralmente e integrados aos armazéns e outros sistemas. Algumas empresas estão tentando soluções semelhantes integradas ao carrinho.
Mil sabores
Uma questão separada diz respeito às máquinas de venda automática. Da mesma forma, é necessário atualizar o firmware deles, monitorar os restos de café queimado e leite em pó. Além disso, sincronizando tudo isso com os terminais do pessoal de serviço. Das grandes empresas, a Coca-Cola se destacou nesse quesito, anunciando um prêmio de US$ 10 mil para a receita de bebida mais original. Nesse sentido, permitiu aos usuários misturar as combinações mais viciantes em dispositivos da marca. Como resultado, surgiram versões de cola de gengibre e limão sem açúcar e Sprite de baunilha e pêssego. Eles ainda não atingiram o gosto de cera de ouvido, como no Every Flavor Beans de Bertie Bott, mas estão muito determinados. Toda a telemetria e a popularidade de cada combinação são monitoradas cuidadosamente. Tudo isso também se integra aos aplicativos móveis dos usuários.
Estamos aguardando novos sabores.
Vendemos tortas
A beleza dos sistemas MDM/UEM é que você pode expandir rapidamente seus negócios conectando novos funcionários remotamente. Você pode organizar facilmente a venda de tortas condicionadas em outra cidade com total integração com seus sistemas em dois cliques. Vai parecer algo assim.
Um novo dispositivo é entregue a um funcionário. Na caixa há um pedaço de papel com um código de barras. Fazemos a varredura - o dispositivo é ativado, registrado no MDM, pega o firmware, aplica e reinicia. O usuário insere seus dados ou um token único. Todos. Agora você tem um novo funcionário que tem acesso ao correio corporativo, dados de saldos de armazém, aplicativos necessários e integração com terminal de pagamento móvel. Uma pessoa chega ao armazém, recolhe a mercadoria e entrega-a aos clientes diretos, aceitando o pagamento através do mesmo dispositivo. Quase como nas estratégias de contratação de algumas unidades novas.
O que parece
Um dos sistemas UEM mais capazes do mercado é o VMware Workspace ONE UEM (anteriormente AirWatch). Ele permite que você se integre com quase e com ChromeOS. Até o Symbian existia até recentemente. O Workspace ONE também oferece suporte à Apple TV.
Outra vantagem importante. A Apple permite apenas que dois MDMs, incluindo o Workspace ONE, mexam na API antes de lançar uma nova versão do iOS. Para todos, na melhor das hipóteses, em um mês, e para eles, em dois.
Basta definir os cenários de uso necessários, conectar o dispositivo e ele funciona, como dizem, automaticamente. Chegam políticas e restrições, é fornecido o acesso necessário aos recursos da rede interna, as chaves são carregadas e os certificados são instalados. Em poucos minutos, o novo funcionário tem um aparelho totalmente pronto para funcionar, do qual flui continuamente a telemetria necessária. O número de cenários é enorme, desde o bloqueio da câmera de um telefone em uma geolocalização específica até o SSO usando uma impressão digital ou rosto.
O administrador configura o launcher com todos os aplicativos que chegarão ao usuário.
Todos os parâmetros possíveis e impossíveis também são configurados de forma flexível, como o tamanho dos ícones, a proibição de sua movimentação, a proibição de ícones de chamada e contato. Esta funcionalidade é útil ao usar a plataforma Android como menu interativo em um restaurante e tarefas semelhantes.
Do lado do usuário é algo assim
Outros fornecedores também apresentam soluções interessantes. Por exemplo, o EMM SafePhone do Instituto de Pesquisa Científica SOKB fornece soluções certificadas para transmissão segura de voz e mensagens com recursos de criptografia e gravação.
Telefones enraizados
Uma dor de cabeça para a segurança da informação são os telefones com root, onde o usuário tem direitos máximos. Não, puramente subjetivamente, esta é uma opção ideal. Seu dispositivo deve fornecer direitos de controle totais. Infelizmente, isso vai contra os objetivos corporativos, que exigem que o usuário não tenha influência sobre o software corporativo. Por exemplo, ele não deveria ser capaz de entrar em uma seção de memória protegida com arquivos ou inserir um GPS falso.
Portanto, todos os fornecedores, de uma forma ou de outra, tentam detectar qualquer atividade suspeita em um dispositivo gerenciado e bloquear o acesso se forem detectados direitos de root ou firmware fora do padrão.
O Android geralmente depende de . De tempos em tempos, o Magisk permite que você ignore suas verificações, mas, via de regra, o Google corrige isso muito rapidamente. Pelo que eu sei, o mesmo Google Pay nunca mais começou a funcionar em dispositivos com acesso root após a atualização de primavera.
Em vez de saída
Se você é uma grande empresa, deve pensar em implementar UEM/EMM/MDM. As tendências atuais indicam que tais sistemas estão sendo cada vez mais utilizados - desde iPads bloqueados como terminais em confeitarias até grandes integrações com bases de armazéns e terminais de correio. Um único ponto de controle e uma rápida integração ou mudança de funções dos funcionários proporcionam grandes benefícios.
Meu e-mail - [email protegido]
Fonte: habr.com