Com as empresas passando por uma realidade em que há a utilização de disponíveis móveis pessoais dentro e fora do escritório, a pergunta que se faz é se há uma forma de utilização segura do BYOD.
Nunca foi tão fácil se conectar em qualquer lugar, a qualquer hora e usando dispositivos diversos, sejam tablets, smartphones ou notebooks.
Essa constatação é reforçada ao observar as implicações decorrentes da adoção do BYOD (traga seu próprio dispositivo), tais como a falta de controle da empresa sobre como esses equipamentos acessam a rede e a dificuldade de se estabelecer quais sistemas e dados estão sendo explorados por eles.
Imagine agora as empresas tendo que lidar com uma realidade em que há também a utilização de disponíveis móveis pessoais dentro e fora do escritório. A pergunta que se faz é se há uma forma de utilização segura de BYOD. Algumas empresas já adotaram quase que totalmente o BYOD, permitindo em sua utilização de rede dispositivos com sistemas iOS, Windows Mobile, Android.
Alguns analistas estimam que as taxas de adoção de BYOD em empresas atingiram de 40% a 75% e grande parte se deve ao uso de smartphones e tablets. É uma prática tão usual que ações que visam proibir BYOD no local de trabalho raramente surtem efeito, pois os usuários sempre encontram um caminho.
Os analistas recomendam, portanto, que é preferível lidar com os riscos e permitir o acesso aos dispositivos, permitindo rastreá-los do que tentar bloqueá-los e perder a visibilidade deles e nos subterrâneos da rede.
Sobre os riscos BYOD
Alguns riscos são bem conhecidos das empresas enquanto outros sequer são reconhecidos ou entendidos. Entre os mais conhecidos está o risco de dispositivos perdidos ou furtados, com a clara preocupação quanto aos dados confidenciais, uma vez que apenas um quarto deles podem ser limpos remotamente.
Em outros casos, muitas vezes não é possível sequer avaliar a exposição após uma violação de dados em BYODs que não são gerenciados.
Um outro comportamento de risco é que os dispositivos móveis podem contornar filtros de entrada aplicados por dispositivos corporativos e permitir vulnerabilidade a malwares, sobretudo em caso de sistema Android. Já quando conseguem contornar filtros de saída, eleva-se o risco de não conformidade com leis de privacidade e segurança.
A saída mais óbvia seria bloquear esses dispositivos, estabelecendo barreiras que envolvessem privacidade pessoal, o que deixaria os usuários preocupados com a alta exposição. A solução, portanto, deve envolver políticas de segurança que promovam o equilíbrio do risco BYOD e privacidade.
Equilibrando o risco BYOD X Privacidade
De acordo com recomendações do Conselho de Segurança para o Business Innovation, publicado pela RSA Security, há uma lista de itens BYOD para verificação que incluem:
- Certificação de que os usuários finais são responsáveis por fazer o backup de dados pessoais;
- Esclarecer linhas de responsabilidade pela manutenção do dispositivo, suporte e custos;
- Exigência de que os empregados removam aplicativos a pedido da organização;
- Desativar o acesso à rede, se um aplicativo na lista negra está instalado;
- Especificar as consequências por quaisquer violações à política.
Muitos fornecedores de gerenciamento de dispositivos móveis (MDM), para atender a este cenário, optam pela a adição de mais políticas e ferramentas intermediárias, o que pode permitir que alguns produtos MDM possam ser configurados para coletar informações e local de exibição e verificar histórico de dispositivos corporativos.
Com BYOD é diferente, já que com os dispositivos móveis próprios dos colaboradores é necessário iniciar processos de inscrições que notificam os usuários sobre todos os recursos de MDM possíveis, seguido por "termos de serviço" sob medida que descrevem como o empregador tem a intenção de gerir as informações que serão coletadas, quais ações podem ser tomadas e todos os itens que os trabalhadores deverão obrigatoriamente concordar quando completarem suas inscrições para obterem acesso aos dados corporativos e sistemas.
Políticas trabalham para BYODs
Alguns softwares SaaS de produtos MDM atuam redirecionando dispositivos BYODs para um portal de inscrição, determinando usuário e dispositivo. Na sequência, os usuários devem aceitar algumas condições de controle que, caso o dispositivo não possa ser localizado, a limpeza do equipamento seja realizada.
Nos casos que envolvam restrições, é feita a criptografia total de dispositivos como iPhones, iPads, BlackBerrys, telefones novos com sistema Windows 8 e alguns subconjuntos dos aparelhos que utilizam a plataforma Android. A saída é permitir a utilização de aparelhos Androids não criptografados, mas compensar a falta de segurança através do armazenamento de documentos corporativos em um local seguro.
Armadilhas de gerenciamento de segurança
Perder a capacidade de controlar e informar sobre o acesso BYOD é um fator preocupante. Por isso, há a possibilidade de limpar apenas configurações corporativas, deixando dados e configurações pessoais intactas. É o caso de uso de listas negras, por exemplo, que podem detectar quando aplicativos não autorizados, como de compartilhamento de dados, são instalados. Pode-se conversar com os usuários, questionando qual o uso que está sendo feito e analisar se dados da empresa estão sendo compartilhados por esses mecanismos.
Por fim, para garantir uma utilização segura e eficaz de BYOD na empresa, especialistas recomendam que equipes de segurança devem trabalhar em parceria para avaliar ferramentas emergentes, como aplicativos de área restrita, e começar com controles básicos. Esses controles podem permitir a autorização menos arbitrária ou até mesmo negar decisões cada vez que um usuário carrega um novo tipo de dispositivo. E muitas dessas ferramentas possuem um custo x benefício bastante interessante frente aos riscos de não se fazer nada.
Escreva seu comentário