quinta-feira, 19 de julho de 2012

Como definir a segurança na estratégia de consumerização?

Muitos CIO e CSO já pararam de resistir à utilização dos dispositivos iOS e Android nas organizações que gerem. Em vez disso estão empregando as suas energias de outra forma: em descobrir como aceitar os aparelhos que estão transformando-se rapidamente em dispositivos de negócios.

Além de muito apelativas, dispositivos como o iPhone e o iPad são também cada vez mais capazes de responder às necessidades de segurança e gestão nas empresas. A revolução dos PCs, há 25 anos, obscureceu a distinção entre “trabalho” e “ambiente pessoal”. Hoje, os aparelhos móveis tornaram essa distinção ainda mais tênue. É hora de pensar em como tirar partido da revolução da consumerização.

As questões de segurança são ainda uma preocupação central na maioria das organizações. Ela pode ser feita a partir de uma matriz que divide as necessidades endereçadas pelo BYOD em quatro grupos.

As obrigações de segurança podem variar, mas é possível ajustar a estratégia para dispositivos móveis de acordo com elas. É preciso ter em mente que a mobilidade está em mutação.

As recomendações são baseadas apenas no que está disponível hoje. Espera-se entretanto que os fabricantes continuem a melhorar os seus produtos.

Que categoria de segurança será mais adequada para sua empresa?

Muitas histórias assustadoras sobre a segurança dos smartphones e tablets assumem a necessidade de manter estes dispositivos sob normas quase militares. Mas a maioria das empresas não exige esses níveis de segurança para todos os usuários.

E muitas empresas dos setores da defesa e da área financeira já descobriram como dar suporte a esses aparelhos, apesar das suas maiores necessidades de segurança. O Bank of America e o Citigroup são exemplos disso.

Muitas companhias exigirão uma mistura das quatro categorias descritas abaixo. Afinal, as organizações tanto podem suportar funcionários que têm necessidade de acesso a dados sensíveis, como funcionários para os quais o acesso a esses mesmos dados empresariais vitais é desnecessário.

A estratégia de segurança deverá refletir essa diversidade interna. A verdade universal sobre a mobilidade é que uma solução única não satisfaz todos os conjuntos de necessidades.

Uma nota importante: alguma coisa está errada se trata o uso dos dispositivos pessoais, provisionados ou não pela empresa, com o mesmo nível de requisitos de segurança do que aqueles empregados aos PCs.

Fazer isso representa ter um potencial de vulnerabilidade para corrigir já no patamar dos PC.

Categoria 1: engloba informações comerciais de rotina

Motoristas de caminhões, representantes de vendas, funcionários de vendas, designers gráficos, programadores de aplicações, pessoal de manutenção, restauradores – as pessoas com essas profissões raramente lidam com informação muito sensíveis do ponto de vista pessoal ou legal. Se um smartphone usado por um desses profissionais for perdido ou roubado, o impacto passa apenas pela necessidade de reconstrução de alguns dados, e de garantir que o serviço de comunicações seja suspenso.

Há também o risco de o ladrão ter acesso à conta de e-mail do funcionário, e por isso torna-se necessário mudar imediatamente os dados de autenticação no servidor. Os mecanismos de segurança recomendáveis incluem o uso de um PIN para uso o dispositivo e o uso de uma senha.

Boas, mas não essenciais, as práticas de segurança e de gestão de capacidades englobam processos de expiração de senhas e requisitos complexos para obtenção das mesmas.

É importante garantir também a possibilidade de apagar os dados do dispositivo, remotamente, associada a uma política de eliminação de dados após certo número de tentativas.

Categoria 2: informações importantes de negócios

Gestores de vendas, assistentes pessoais, consultores, professores, editores, operadores de vídeo, programadores, gestores de nível médio – pessoas com estas funções ou profissões têm acesso a alguma informação pessoal e financeira que não vai destruir a empresa se for roubada. Mas que pode causar danos financeiros e de imagem que é importante  prevenir.

Também têm acesso a alguns sistemas internos por meio de senhas que poderão ser usadas por pessoas mal intencionadas. Se o dispositivo móvel for perdido ou roubado, o esforço para evitar as falhas de segurança vão além da eliminação de informação e exigem alteração de senhas partilhadas.

Podem exigir também informar os parceiros de negócios sobre o sucedido, e perder vantagens competitivas no curto prazo.

As capacidades necessárias de segurança e gestão incluem o uso de uma senha complexa para usar no dispositivo, processos de expiração dessas senhas, a possibilidade de eliminação de dados por via remota, e encriptação SSL de e-mail e outros dados.

A eliminação de dados após certo número de tentativas de autenticação falhas também é uma política importante. Não é essencial que sejam usadas redes VPN, e/ou a autenticação por dois fatores para acesso a dados e sistemas de armazenamento. Mas tal como a criptogtafia no próprio dispositivo, técnicas de criptografia dos dados serão muito úteis se disponíveis.

Categoria 3: informações comerciais confidenciais

Funcionários financeiros, auditores, banqueiros, médicos, pessoal de RH, advogados, agentes reguladores, gestores de produto, investigadores, gerentes de divisões, altos executivos de TI, gestores de marketing e chefes de vendas, executivos na maioria das empresas, e todos os seus assistentes – estes profissionais trabalham com informações muito sigilosas [legais, financeiras, de produtos e de RH].

E geralmente têm acesso aos principais sistemas internos de armazenamento de dados. Se os seus dispositivos forem perdidos ou roubados, pode haver sérias consequências financeiras devido e perdas competitivas se detalhes sobre as negociações comerciais, de salários ou dados semelhantes forem revelados.

As capacidades necessárias de segurança e gestão incluem a exigência de senhas complexas para uso no dispositivo móvel, um sistema de expiração de senhas e a capacidade de eliminar dados por via remota conjugada com limites de tentativas de autenticação. Envolve também a utilização de criptografia SSL de e-mail e de outros, além do uso de redes VPN e, ou, sistemas de autenticação de dois fatores para acesso aos sistemas e dados sensíveis.O uso de criptografia no dispositivo também é essencial. Menos importante, mas útil, é o controle de acesso a redes específicas, ou a capacidade de desligar a câmara, e o controlo sobre a instalação de aplicações.

Categoria 4: fornecer informações altamente sigilosas

Fornecedores da defesa, espiões, policiais, diplomatas, militares, responsáveis políticos e assistentes – pessoas com essas profissões e funções trabalham com informações confidenciais cuja exposição pode colocar vidas em risco.

Os seus dispositivos devem suportar a utilização de senhas complexas, sistemas de senhas expiráveis, a eliminação remota de informação, criptografia com nível militar de dados de email e outros. Os processos de eliminação de informação depois de seguidas tentativas de autenticação falhas devem ser de nível militar.

E os dispositivos devem usar redes de acesso por VPN a sistemas internos, além de suportarem autenticação de dois fatores físicos. O dispositivo também deve suportar encriptação de grau militar no próprio equipamento e as normas MIME e FIPS 140.

Deve possibilitar também o controle e bloqueio discreto sobre o acesso a redes e a instalação de aplicações.

Nenhum comentário: