<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159528794088341&amp;ev=PageView&amp;noscript=1">

CANAL WESTCON
Toda informação da tecnologia está aqui.

Estratégias de segurança em BYOD: riscos e recompensas

Com as empresas passando por uma realidade em que há a utilização de disponíveis móveis pessoais dentro e fora do escritório, a pergunta que se faz é se há uma forma de utilização segura do BYOD.

Estratégias de segurança em BYOD: riscos e recompensas

 

Nunca foi tão fácil se conectar em qualquer lugar, a qualquer hora e usando dispositivos diversos, sejam tablets, smartphones ou notebooks.

 

Essa constatação é reforçada ao observar as implicações decorrentes da adoção do BYOD (traga seu próprio dispositivo), tais como a falta de controle da empresa sobre como esses equipamentos acessam a rede e a dificuldade de se estabelecer quais sistemas e dados estão sendo explorados por eles.


Imagine agora as empresas tendo que lidar com uma realidade em que há também a utilização de disponíveis móveis pessoais dentro e fora do escritório. A pergunta que se faz é se há uma forma de utilização segura de BYOD. Algumas empresas já adotaram quase que totalmente o BYOD, permitindo em sua utilização de rede dispositivos com sistemas iOS, Windows Mobile, Android.

Alguns analistas estimam que as taxas de adoção de BYOD em empresas atingiram de 40% a 75% e grande parte se deve ao uso de smartphones e tablets. É uma prática tão usual que ações que visam proibir BYOD no local de trabalho raramente surtem efeito, pois os usuários sempre encontram um caminho.

Os analistas recomendam, portanto, que é preferível lidar com os riscos e permitir o acesso aos dispositivos, permitindo rastreá-los do que tentar bloqueá-los e perder a visibilidade deles e nos subterrâneos da rede.

Sobre os riscos BYOD

Alguns riscos são bem conhecidos das empresas enquanto outros sequer são reconhecidos ou entendidos. Entre os mais conhecidos está o risco de dispositivos perdidos ou furtados, com a clara preocupação quanto aos dados confidenciais, uma vez que apenas um quarto deles podem ser limpos remotamente.

 

Em outros casos, muitas vezes não é possível sequer avaliar a exposição após uma violação de dados em BYODs que não são gerenciados.

Um outro comportamento de risco é que os dispositivos móveis podem contornar filtros de entrada aplicados por dispositivos corporativos e permitir vulnerabilidade a malwares, sobretudo em caso de sistema Android. Já quando conseguem contornar filtros de saída, eleva-se o risco de não conformidade com leis de privacidade e segurança.

A saída mais óbvia seria bloquear esses dispositivos, estabelecendo barreiras que envolvessem privacidade pessoal, o que deixaria os usuários preocupados com a alta exposição. A solução, portanto, deve envolver políticas de segurança que promovam o equilíbrio do risco BYOD e privacidade.

 

Equilibrando o risco BYOD X Privacidade

De acordo com recomendações do Conselho de Segurança para o Business Innovation, publicado pela RSA Security, há uma lista de itens BYOD para verificação que incluem:

  • Certificação de que os usuários finais são responsáveis por fazer o backup de dados pessoais;
  •  Esclarecer linhas de responsabilidade pela manutenção do dispositivo, suporte e custos;
  •  Exigência de que os empregados removam aplicativos a pedido da organização;
  • Desativar o acesso à rede, se um aplicativo na lista negra está instalado;
  • Especificar as consequências por quaisquer violações à política.


Muitos fornecedores de gerenciamento de dispositivos móveis (MDM), para atender a este cenário, optam pela a adição de mais políticas e ferramentas intermediárias, o que pode permitir que alguns produtos MDM possam ser configurados para coletar informações e local de exibição e verificar histórico de dispositivos corporativos.

 

Com BYOD é diferente, já que com os dispositivos móveis próprios dos colaboradores é necessário iniciar processos de inscrições que notificam os usuários sobre todos os recursos de MDM possíveis, seguido por "termos de serviço" sob medida que descrevem como o empregador tem a intenção de gerir as informações que serão coletadas, quais ações podem ser tomadas e todos os itens que os trabalhadores deverão obrigatoriamente concordar quando completarem suas inscrições para obterem acesso aos dados corporativos e sistemas.

 

Políticas trabalham para BYODs

Alguns softwares SaaS de produtos MDM atuam redirecionando dispositivos BYODs para um portal de inscrição, determinando usuário e dispositivo. Na sequência, os usuários devem aceitar algumas condições de controle que, caso o dispositivo não possa ser localizado, a limpeza do equipamento seja realizada.

Nos casos que envolvam restrições, é feita a criptografia total de dispositivos como iPhones, iPads, BlackBerrys, telefones novos com sistema Windows 8 e alguns subconjuntos dos aparelhos que utilizam a plataforma Android. A saída é permitir a utilização de aparelhos Androids não criptografados, mas compensar a falta de segurança através do armazenamento de documentos corporativos em um local seguro.

 

Armadilhas de gerenciamento de segurança

Perder a capacidade de controlar e informar sobre o acesso BYOD é um fator preocupante. Por isso, há a possibilidade de limpar apenas configurações corporativas, deixando dados e configurações pessoais intactas. É o caso de uso de listas negras, por exemplo, que podem detectar quando aplicativos não autorizados, como de compartilhamento de dados, são instalados. Pode-se conversar com os usuários, questionando qual o uso que está sendo feito e analisar se dados da empresa estão sendo compartilhados por esses mecanismos.

Por fim, para garantir uma utilização segura e eficaz de BYOD na empresa, especialistas recomendam que equipes de segurança devem trabalhar em parceria para avaliar ferramentas emergentes, como aplicativos de área restrita, e começar com controles básicos. Esses controles podem permitir a autorização menos arbitrária ou até mesmo negar decisões cada vez que um usuário carrega um novo tipo de dispositivo. E muitas dessas ferramentas possuem um custo x benefício bastante interessante frente aos riscos de não se fazer nada.

 

Conheça a ForeScout

Posts relacionados

Como escolher uma solução de segurança de endpoint?

A primeira etapa na escolha da melhor solução de segurança de endpoint é entender o que sua empresa precisa.

Inteligência de ameaças cibernéticas: o que é e qual a importância para empresas?

A inteligência de ameaças cibernéticas ajuda as organizações, dando-lhes insights sobre os mecanismos e implicações das ameaças.

O que considerar na segurança do servidor de uma empresa?

Para manter a disponibilidade e proteção dos dados corporativos é necessário assegurar que toda a infraestrutura esteja protegida contra as ciberameaças.

Escreva seu comentário