Muitos CIO e CSO já pararam de resistir à
utilização dos dispositivos iOS e Android nas organizações que gerem. Em vez
disso estão empregando as suas energias de outra forma: em descobrir
como aceitar os aparelhos que estão transformando-se rapidamente em dispositivos
de negócios.
Além de muito apelativas, dispositivos como o iPhone e o iPad são
também cada vez mais capazes de responder às necessidades de segurança e
gestão nas empresas. A revolução dos PCs, há 25 anos, obscureceu a
distinção entre “trabalho” e “ambiente pessoal”. Hoje, os aparelhos
móveis tornaram essa distinção ainda mais tênue. É hora de pensar em
como tirar partido da revolução da
consumerização.
As questões de segurança são ainda uma preocupação central na maioria
das organizações. Ela pode ser feita a partir de
uma matriz que divide as necessidades endereçadas pelo
BYOD em quatro grupos.
As obrigações de segurança podem variar, mas é possível ajustar a
estratégia para dispositivos móveis de acordo com elas. É preciso ter em mente que a
mobilidade está em mutação.
As recomendações são baseadas apenas no que está disponível hoje.
Espera-se entretanto que os fabricantes continuem a melhorar os seus
produtos.
Que categoria de segurança será mais adequada para sua empresa?
Muitas histórias assustadoras sobre a segurança dos smartphones e tablets assumem a
necessidade de manter estes dispositivos sob normas quase militares.
Mas a maioria das empresas não exige esses níveis de segurança para
todos os usuários.
E muitas empresas dos setores da defesa e da área financeira já
descobriram como dar suporte a esses aparelhos, apesar das suas
maiores necessidades de segurança. O Bank of America e o Citigroup são exemplos disso.
Muitas companhias exigirão uma mistura das quatro categorias
descritas abaixo. Afinal, as organizações tanto podem suportar
funcionários que têm necessidade de acesso a dados
sensíveis, como funcionários para os quais o acesso a esses mesmos dados
empresariais vitais é
desnecessário.
A estratégia de segurança deverá refletir essa diversidade interna. A
verdade universal sobre a mobilidade é que uma solução única não
satisfaz todos os conjuntos de necessidades.
Uma nota importante: alguma coisa está errada se trata o uso dos dispositivos pessoais, provisionados ou não pela empresa, com o
mesmo nível de requisitos de segurança do que aqueles empregados aos PCs.
Fazer isso representa ter um potencial de vulnerabilidade para corrigir já no patamar dos PC.
Categoria 1: engloba informações comerciais de rotina
Motoristas de caminhões, representantes de vendas, funcionários
de vendas, designers gráficos, programadores de aplicações, pessoal de manutenção, restauradores – as pessoas
com essas profissões raramente lidam com informação muito sensíveis do
ponto de vista pessoal ou legal. Se um smartphone usado por um desses
profissionais for perdido ou roubado, o impacto passa apenas pela
necessidade de reconstrução de alguns dados, e de garantir que o
serviço de comunicações seja suspenso.
Há também o risco de o ladrão ter acesso à conta de e-mail do funcionário, e
por isso torna-se necessário mudar imediatamente os dados de
autenticação no servidor. Os mecanismos de segurança recomendáveis
incluem o uso de um PIN para uso o dispositivo e o uso de uma senha.
Boas, mas não essenciais, as práticas de segurança e de gestão de
capacidades englobam processos de expiração de senhas
e requisitos complexos para obtenção das mesmas.
É importante garantir
também a possibilidade de apagar os dados do dispositivo, remotamente,
associada a uma política de eliminação de dados após certo número de
tentativas.
Categoria 2: informações importantes de negócios
Gestores de vendas, assistentes
pessoais, consultores, professores, editores, operadores de
vídeo, programadores, gestores de nível médio – pessoas com estas
funções ou profissões têm acesso a alguma informação pessoal e
financeira que não vai destruir a empresa se for roubada. Mas que pode
causar danos financeiros e de imagem que é importante prevenir.
Também têm acesso a alguns sistemas internos por meio de senhas que
poderão ser usadas por pessoas mal intencionadas. Se o dispositivo móvel for
perdido ou roubado, o esforço para evitar as falhas de segurança vão além da
eliminação de informação e exigem alteração de senhas partilhadas.
Podem exigir também informar os parceiros de negócios sobre o sucedido, e
perder vantagens competitivas no curto prazo.
As capacidades
necessárias de segurança e gestão incluem o uso de uma senha complexa
para usar no dispositivo, processos de expiração dessas senhas, a
possibilidade de eliminação de dados por via remota, e encriptação SSL
de e-mail e outros dados.
A eliminação de dados após certo número de tentativas de autenticação
falhas também é uma política importante. Não é essencial que sejam
usadas
redes VPN, e/ou a autenticação por dois fatores para acesso a dados e
sistemas de armazenamento. Mas tal como a criptogtafia no próprio
dispositivo, técnicas de criptografia dos dados serão muito úteis se
disponíveis.
Categoria 3: informações comerciais confidenciais
Funcionários financeiros, auditores, banqueiros, médicos,
pessoal de RH, advogados, agentes reguladores, gestores de produto,
investigadores, gerentes de divisões, altos executivos de TI, gestores de
marketing e chefes de vendas, executivos na maioria das empresas, e
todos os seus assistentes – estes profissionais trabalham com
informações muito sigilosas [legais, financeiras, de produtos e de RH].
E geralmente têm acesso aos principais sistemas internos de
armazenamento de dados. Se os seus dispositivos forem perdidos ou
roubados, pode haver sérias consequências financeiras devido e perdas competitivas se detalhes sobre as negociações
comerciais, de salários ou dados semelhantes forem revelados.
As capacidades necessárias de segurança e gestão incluem a exigência
de senhas complexas para uso no dispositivo móvel, um sistema de
expiração de senhas e a capacidade de eliminar dados por via remota
conjugada com
limites de tentativas de autenticação. Envolve também a utilização de
criptografia SSL de e-mail e de outros, além do uso de redes VPN e, ou,
sistemas de autenticação de dois fatores para acesso aos sistemas e
dados sensíveis.O uso de criptografia no dispositivo também é
essencial. Menos importante, mas útil, é o controle de acesso a redes
específicas, ou a capacidade de desligar a câmara, e o controlo sobre a
instalação de aplicações.
Categoria 4: fornecer informações altamente sigilosas
Fornecedores da defesa, espiões, policiais, diplomatas,
militares, responsáveis políticos e assistentes – pessoas com essas
profissões e funções trabalham com informações confidenciais cuja
exposição pode colocar vidas em risco.
Os seus dispositivos devem suportar a utilização de senhas complexas,
sistemas de senhas expiráveis, a eliminação remota de informação,
criptografia com nível militar de dados de email e outros. Os processos
de eliminação de informação depois de seguidas tentativas de
autenticação falhas devem ser de nível militar.
E os dispositivos devem usar redes de acesso por VPN a sistemas
internos, além de suportarem autenticação de dois fatores físicos. O
dispositivo também deve suportar encriptação de grau militar no próprio
equipamento e as normas MIME e FIPS 140.
Deve possibilitar também o controle e bloqueio discreto sobre o acesso a redes e a instalação de aplicações.