Quatro dicas para melhorar a segurança dos smartphones

Quatro dicas para melhorar a segurança dos smartphones

Muitos CIOs e CSOs já pararam de resistir ao uso dos dispositivos móveis nas organizações que gerenciam. Em vez disso estão empregando suas energias de outra forma: descobrir como aceitar que smartphones e tablets, iOS e Android, estão tornando-se rapidamente dispositivos de negócios.

Além de muito apelativos, aparelhos como o iPhone também são capazes cada vez mais de responder às necessidades de segurança e gestão nas empresas. A revolução dos PC, há 25 anos, obscureceu a distinção entre “trabalho” e “ambiente pessoal”. Hoje, os dispositivos móveis estão em linha com a TI empresarial, diluindo ainda mais essas fronteiras.

Mas questões de segurança são ainda uma preocupação central na maioria das organizações. A gestão de dispositivos móveis pode ser feita a partir de uma matriz de quatro classes em que são consideradas a maioria das necessidades de segurança empresariais.

É preciso ter em mente que a mobilidade está em mutação. As obrigações de segurança podem variar, mas é possível ajustar a estratégia para smartphones conforme essas categorias. As recomendações são baseadas apenas no que já está disponível hoje. Espera-se, entretanto, que os fabricantes continuem a melhorar os seus produtos.

Que categoria de segurança será mais adequada?

Muitas histórias assustadoras sobre a segurança dos smartphones assumem a necessidade de manter estes dispositivos sob normas quase militares. A maioria das empresas não exige níveis de segurança muito elevados para todos os usuários. Afinal, as empresas tanto podem suportar funcionários envolvidos em negociações sensíveis, como aqueles para os quais não há nenhuma necessidade de acesso a dados empresariais vitais.

Na prática, a estratégia de segurança dos dispositivos móveis deve refletir essa diversidade interna. A verdade universal sobre a mobilidade é que uma solução única não satisfaz todos os conjuntos de necessidades.

Empresas dos setores da defesa e da área financeira já descobriram como dar suporte a iPhones e a iPads, apesar das suas maiores necessidades de segurança. O Bank of America e o Citigroup são exemplos disso. Normalmente, exigem uma mistura das quatro categorias descritas abaixo.

Categoria 1: engloba informações comerciais de rotina
Motoristas de caminhões, representantes de vendas, funcionários de vendas, designers gráficos, programadores, pessoal de manutenção etc, raramente lidam com informação muito sensível do ponto de vista pessoal ou legal.

Se um smartphone usado por um desses profissionais for perdido ou roubado, o impacto passa apenas pela necessidade de reconstrução de alguns dados, e garantia de que os serviços de comunicação serão suspensos. Há também o risco do ladrão ter acesso à conta de e-mail do funcionário, razão pela qual é necessário mudar imediatamente os dados de autenticação no servidor. Os mecanismos de segurança recomendáveis incluem o uso de um PIN autorizar a utilização do dispositivo.

Boas, mas não essenciais, as práticas de segurança e de gestão de capacidades englobam a utilização de processos de expiração de passwords e requisitos complexos para obtenção das mesmas.

É importante garantir também a possibilidade de apagar os dados do dispositivo, remotamente, associada a uma política de eliminação de dados após certo número de tentativas.

Categoria 2: informações importantes ao negócio
Gestores de vendas, veterinários, assistentes pessoais, consultores de gestão, professores, editores, operadores de vídeo, programadores, gestores de nível médio – as pessoas com estas funções ou profissões têm acesso a alguma informação pessoal e financeira que não chega a destruir uma empresa se for roubada, mas pode causar danos financeiros e de imagem. Têm acesso também a alguns sistemas internos através de passwords que poderão ser usadas por pessoas mal intencionadas. Portanto, melhor prevenir que remediar.

Se o smartphone for perdido ou roubado, o esforço para minimizar as falhas de segurança vai além da eliminação de informação e exigem alteração das senhas usadas. Pode exigir também informar aos parceiros de negócios sobre o ocorrido, e perder vantagens competitivas no curto prazo.

As capacidades necessárias de segurança e gestão incluem o uso de uma senha forte para o dispositivo, processos de expiração deessas senhas, a possibilidade de eliminação de dados remotamente, e encriptação SSL de e-mail e outros dados. A eliminação de dados após certo número de tentativas de autenticação erradas também é uma política importante.

Não é essencial que sejam usadas redes VPN, e/ou a autenticação por dois fatores para acesso a dados e sistemas de armazenamento. Mas a criptografia no próprio dispositivo pode ser muito útil se disponível.

Categoria 3: informações comerciais confidenciais
Funcionários financeiros, auditores, banqueiros, médicos, pessoal de RH, advogados, agentes reguladores, gestores de produto, investigadores, gestores de divisões, altos gestores de TI, gestores de marketing e chefes de vendas, executivos na maioria das empresas, e todos os seus assistentes – estes profissionais trabalham com informações muito sigilosas (legais, financeiras, de produtos e de RH).

E geralmente têm acesso aos principais sistemas internos de armazenamento de dados. Se os seus dispositivos forem perdidos ou roubados, pode haver sérias consequências financeiras: devido a custos de notificação dos visados pela fuga de informação de identificação pessoal; e perdas competitivas se detalhes sobre as negociações comerciais, de salários dos RH, ou dados semelhantes forem revelados.

As capacidades necessárias de segurança e gestão incluem a exigência de senhas complexas para usar o dispositivo, um sistema de expiração de passwords, a capacidade de eliminar dados por via remota, conjugada com limites de tentativas de autenticação. Envolve também a utilização de encriptação SSL de e-mail e de outros, além do uso de redes VPN e, ou, sistemas de autenticação de dois factores para acesso aos sistemas e dados sensíveis.

A utilização da encriptação no dispositivo de criptografia, também é essencial. Menos importante, será o controlo de acesso a redes específicas, ou a capacidade de desligar a câmara, e o controlo sobre a instalação de aplicações.

Categoria 4: fornecer informações altamente sigilosas
Fornecedores da defesa, espiões, polícias, diplomatas, militares, responsáveis políticos e assistentes – as pessoas com essas profissões e funções trabalham com informações confidenciais, cuja exposição pode colocar vidas em risco.

Os seus dispositivos devem suportar a utilização de passwords complexas, sistemas de passwords expiráveis, a eliminação remota de informação, a encriptação com nível militar, de dados de email e outros. Os processos de eliminação de informação depois de falhadas as tentativas de autenticação devem ser de nível militar.

E os dispositivos devem usar redes de acesso por VPN a sistemas internos, além de suportarem autenticação de dois factores físicos. O dispositivo também deve suportar encriptação de grau militar no próprio equipamento e as normas MIME e FIPS 140. Deve possibilitar também o controle e o bloqueio discreto sobre o acesso à redes e a instalação de aplicações.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *