Enquanto os dispositivos móveis se integram cada vez mais com os diferentes sistemas corporativos, as organizações se veem forçadas a dar um passo à reengenharia de suas próprias políticas de segurança para incluir novos cenários de compromisso e estratégias de contingência.
Contudo, muitas empresas – especialmente aquelas de pequeno e médio porte – podem não conhecer por onde começar com essa migração. Quando o ponto crucial do dia a dia se concentra em manter funcionando as unidades de negócio que permitem a rentabilidade, a segurança pode ser vista em segundo plano.
Para aquelas empresas que querem começar a desenvolver uma boa política de segurança móvel que seja multiplataforma, reunimos algumas dicas que geralmente são esquecidas.
1. Não exclua BYOD da sua política de segurança
Quando as organizações entendem a dimensão do desafio escondido na gestão dos dispositivos portáteis dos funcionários, a solução mais tentadora seria negar a existência desses canais de comunicação e continuar com as políticas tradicionais.
A postura citada acima é arriscada por duas razões fundamentais: em primeiro lugar, essa filosofia retira a capacidade dos dispositivos modernos para atuarem apenas como simples computadores de mesa; ou seja, a falta de suporte para tecnologias móveis do sistema necessariamente não indica que essas possam acessá-lo.
Em segundo lugar, essa ideia diminui a importância dos dispositivos móveis para os usuários corporativos e as formar que podem escolher para transferir informações delicadas com eles, inclusive por meio de metodologias não aprovadas pelo departamento de TI. É melhor oferecer procedimentos seguros que deixar que os inventem como queiram.
2. Identifique onde os dados são guardados
Os aplicativos web conectados por meio de navegadores normalmente oferecem a sensação de que nada é armazenado localmente. No entanto, isso não é verdade: os sistemas operativos móveis guardam na memória grande quantidade de cache de dados necessários para o funcionamento dos aplicativos.
Para estabelecer que ações são determinantes para a proteção dos dados, primeiro é indispensável saber quais e onde são armazenados. Caso o sistema empresarial necessite guardar dados no equipamento móvel, é fundamental disseminar políticas pertinentes para que os dados sejam criptografados e, posteriormente, eliminados (quando não forem mais necessários).
O link que comunica os aplicativos no equipamento e os serviços na nuvem também pode ser protegido. Se outros sistemas atuarão como armazém de dados entre os extremos da comunicação, é muito importante que se avalie políticas de segurança implementadas em cada ponto.
3. Nem todos os dispositivos móveis são iguais
Embora pareça uma afirmação do óbvio, muitas políticas de segurança não têm em conta que nem todo dispositivo móvel se assemelha em termos de uso a um telefone inteligente. Por exemplo, os tablets inteligentes podem ser compartilhados entre diferentes pessoas e utilizados como um organizador portátil, enquanto que os smartphones são equipamentos muito mais pessoais e, portanto, privados.
Tecnicamente, os dispositivos móveis possuem sistemas operativos que oferecem diversas características de segurança, o que implica a necessidade de utilizar diferentes aplicativos de MDM (em inglês Mobile Device Management) para cada tipo de dispositivo. A medida que são encontradas novas maneiras de uso para os equipamentos, a política de segurança deve evoluir de forma conjunta.
4. Não tente entender paradigmas tradicionais de defesa
A característica mais surpreendente quando se trata de tecnologias móveis é a extensão do próprio impacto: é muito complicado traçar os limites do mundo corporativo. Neste contexto, as tecnologias tradicionais que baseiam eficiência no fortalecimento de um perímetro bem delineado podem não ser a melhor opção para ambientes móveis ou talvez requerem um redesenho estrutural para que se mantenham vigentes.
Os esquemas tradicionais de proteção baseiam-se na noção de proteger o dispositivo. No entanto, isso pode não ser totalmente viável quando o aparelho também é utilizado para fins pessoais ou quando o usuário ignora procedimentos básicos de segurança.
Ao invés disso, adotar um esquema de proteção do dado em si, além da proteção tradicional do dispositivo, é mais natural para ambientes com essas restrições.
5. As soluções MDM não são infalíveis
As soluções MDM concedem visibilidade sobre os dispositivos, mas não foram projetadas como soluções integradas de segurança. Além disso, baseiam a proteção no monitoramento do próprio equipamento, abordagem que certamente não é suficiente por si só.
Estas soluções não se enfocam em garantir a segurança inerente dos dados, muito menos em esquemas envolvidos com serviços na nuvem. Embora possam ser muito boas em seu propósito (a administração de equipamento) devem ser compreendidas como uma estratégia integral que abrange também aplicativos, servidores, links de rede, entre outros elementos.
6. Existem muitas ameaças além do malware
Quando as empresas se voltam para identificar as ameaças que podem pôr em risco a segurança das informações, imediatamente tendem a concentrar-se na noção de “vírus informático”, esquecendo intermináveis vetores de compromisso que não estão necessariamente ligados a códigos maliciosos.
Embora a taxa de crescimento do malware móvel não dê sinais de queda em um futuro próximo, é um risco que deve ser levado em conta. Ou seja, uma política de segurança fracassará se for sustentada unicamente em prevenir essas infecções.
Existem outros perigos, além dos códigos maliciosos. Assim, os dados da companhia também podem ser envolvidos em incidentes de vazamento de informação por escutas não autorizadas mediante a exploração de vulnerabilidades no dispositivo ou envolvidas por meio de danos ou extravio do equipamento no qual se encontram.
Neste sentido devem implantar algumas medidas de prevenção: sistemas de autenticação robustos que impedem ao atacante roubar a identidade de usuários legítimos, mecanismos de criptografia que protegem a confidencialidade dos dados armazenados ou em vias de transmissão e políticas de backup que protejam cópias da informação armazenada nos equipamentos para recuperar os dados embora o telefone extraviado tenha voltado ao estado de fábrica.
É muita coisa para assimilar?
Às vezes as organizações não são maduras o suficiente para lidar com a épica de gerir sua própria segurança. Em tais casos, a terceirização dessa atividade pode acabar sendo a melhor escolha. Em caso de dúvida, nunca é demais para pedir a ajuda de um auditor ou delegar a tarefa a especialistas na área.
Infelizmente, o estabelecimento de barreiras de proteção pode ser uma tarefa árdua para quem ainda luta para manter o funcionamento das operações transacionais do negócio. Ainda mais qualquer falha no projeto de segurança pode deixar os dados expostos e os atacantes só devem acertar apenas uma vez.
Em algumas ocasiões as organizações não se encontram suficientemente maduras para lidar com a épica de gerir sua segurança. Em tais casos, a terceirização desta atividade pode acabar sendo a melhor opção do repertório. Se existem dívidas, nunca é demais pedir a ajudar de um auditor ou delegar a tarefa a um especialista na área.
Autor: Denise Giusto Bilić, da ESET
Adaptação: Francico de Assis Camurça, da ESET