Além de muito apelativas, dispositivos como o iPhone e o iPad são também cada vez mais capazes de responder às necessidades de segurança e gestão nas empresas. A revolução dos PCs, há 25 anos, obscureceu a distinção entre “trabalho” e “ambiente pessoal”. Hoje, os aparelhos móveis tornaram essa distinção ainda mais tênue. É hora de pensar em como tirar partido da revolução da consumerização.
As questões de segurança são ainda uma preocupação central na maioria das organizações. Ela pode ser feita a partir de uma matriz que divide as necessidades endereçadas pelo BYOD em quatro grupos.
As obrigações de segurança podem variar, mas é possível ajustar a estratégia para dispositivos móveis de acordo com elas. É preciso ter em mente que a mobilidade está em mutação.
As recomendações são baseadas apenas no que está disponível hoje. Espera-se entretanto que os fabricantes continuem a melhorar os seus produtos.
Que categoria de segurança será mais adequada para sua empresa?
Muitas histórias assustadoras sobre a segurança dos smartphones e tablets assumem a necessidade de manter estes dispositivos sob normas quase militares. Mas a maioria das empresas não exige esses níveis de segurança para todos os usuários.
E muitas empresas dos setores da defesa e da área financeira já descobriram como dar suporte a esses aparelhos, apesar das suas maiores necessidades de segurança. O Bank of America e o Citigroup são exemplos disso.
Muitas companhias exigirão uma mistura das quatro categorias descritas abaixo. Afinal, as organizações tanto podem suportar funcionários que têm necessidade de acesso a dados sensíveis, como funcionários para os quais o acesso a esses mesmos dados empresariais vitais é desnecessário.
A estratégia de segurança deverá refletir essa diversidade interna. A verdade universal sobre a mobilidade é que uma solução única não satisfaz todos os conjuntos de necessidades.
Uma nota importante: alguma coisa está errada se trata o uso dos dispositivos pessoais, provisionados ou não pela empresa, com o mesmo nível de requisitos de segurança do que aqueles empregados aos PCs.
Fazer isso representa ter um potencial de vulnerabilidade para corrigir já no patamar dos PC.
Categoria 1: engloba informações comerciais de rotina
Motoristas de caminhões, representantes de vendas, funcionários de vendas, designers gráficos, programadores de aplicações, pessoal de manutenção, restauradores – as pessoas com essas profissões raramente lidam com informação muito sensíveis do ponto de vista pessoal ou legal. Se um smartphone usado por um desses profissionais for perdido ou roubado, o impacto passa apenas pela necessidade de reconstrução de alguns dados, e de garantir que o serviço de comunicações seja suspenso.
Há também o risco de o ladrão ter acesso à conta de e-mail do funcionário, e por isso torna-se necessário mudar imediatamente os dados de autenticação no servidor. Os mecanismos de segurança recomendáveis incluem o uso de um PIN para uso o dispositivo e o uso de uma senha.
Boas, mas não essenciais, as práticas de segurança e de gestão de capacidades englobam processos de expiração de senhas e requisitos complexos para obtenção das mesmas.
É importante garantir também a possibilidade de apagar os dados do dispositivo, remotamente, associada a uma política de eliminação de dados após certo número de tentativas.
Categoria 2: informações importantes de negócios
Gestores de vendas, assistentes pessoais, consultores, professores, editores, operadores de vídeo, programadores, gestores de nível médio – pessoas com estas funções ou profissões têm acesso a alguma informação pessoal e financeira que não vai destruir a empresa se for roubada. Mas que pode causar danos financeiros e de imagem que é importante prevenir.
Também têm acesso a alguns sistemas internos por meio de senhas que poderão ser usadas por pessoas mal intencionadas. Se o dispositivo móvel for perdido ou roubado, o esforço para evitar as falhas de segurança vão além da eliminação de informação e exigem alteração de senhas partilhadas.
Podem exigir também informar os parceiros de negócios sobre o sucedido, e perder vantagens competitivas no curto prazo.
As capacidades necessárias de segurança e gestão incluem o uso de uma senha complexa para usar no dispositivo, processos de expiração dessas senhas, a possibilidade de eliminação de dados por via remota, e encriptação SSL de e-mail e outros dados.
A eliminação de dados após certo número de tentativas de autenticação falhas também é uma política importante. Não é essencial que sejam usadas redes VPN, e/ou a autenticação por dois fatores para acesso a dados e sistemas de armazenamento. Mas tal como a criptogtafia no próprio dispositivo, técnicas de criptografia dos dados serão muito úteis se disponíveis.
Categoria 3: informações comerciais confidenciais
Funcionários financeiros, auditores, banqueiros, médicos, pessoal de RH, advogados, agentes reguladores, gestores de produto, investigadores, gerentes de divisões, altos executivos de TI, gestores de marketing e chefes de vendas, executivos na maioria das empresas, e todos os seus assistentes – estes profissionais trabalham com informações muito sigilosas [legais, financeiras, de produtos e de RH].
E geralmente têm acesso aos principais sistemas internos de armazenamento de dados. Se os seus dispositivos forem perdidos ou roubados, pode haver sérias consequências financeiras devido e perdas competitivas se detalhes sobre as negociações comerciais, de salários ou dados semelhantes forem revelados.
As capacidades necessárias de segurança e gestão incluem a exigência de senhas complexas para uso no dispositivo móvel, um sistema de expiração de senhas e a capacidade de eliminar dados por via remota conjugada com limites de tentativas de autenticação. Envolve também a utilização de criptografia SSL de e-mail e de outros, além do uso de redes VPN e, ou, sistemas de autenticação de dois fatores para acesso aos sistemas e dados sensíveis.O uso de criptografia no dispositivo também é essencial. Menos importante, mas útil, é o controle de acesso a redes específicas, ou a capacidade de desligar a câmara, e o controlo sobre a instalação de aplicações.
Categoria 4: fornecer informações altamente sigilosas
Fornecedores da defesa, espiões, policiais, diplomatas, militares, responsáveis políticos e assistentes – pessoas com essas profissões e funções trabalham com informações confidenciais cuja exposição pode colocar vidas em risco.
Os seus dispositivos devem suportar a utilização de senhas complexas, sistemas de senhas expiráveis, a eliminação remota de informação, criptografia com nível militar de dados de email e outros. Os processos de eliminação de informação depois de seguidas tentativas de autenticação falhas devem ser de nível militar.
E os dispositivos devem usar redes de acesso por VPN a sistemas internos, além de suportarem autenticação de dois fatores físicos. O dispositivo também deve suportar encriptação de grau militar no próprio equipamento e as normas MIME e FIPS 140.
Deve possibilitar também o controle e bloqueio discreto sobre o acesso a redes e a instalação de aplicações.
Fonte: Computer World
Nenhum comentário:
Postar um comentário