Política de Segurança para Aplicação BYOD

AGRADEÇA AO AUTOR COMPARTILHE!

Introdução

No ranking de investimento em novas tecnologias quem sai na frente é o consumidor final, uma vez que ele possui acesso fácil a essas mudanças e faz questão de possuir as mais atuais novidades do ramo tecnológico. Já para as corporações, devido a esta instabilidade e variedade que o mercado oferece, torna-se difícil prover uma tecnologia de ponta e atualizada. Elementos estes, determinantes na expansão da consumerização em TI, são que incentivaram o movimento Bring Your Own Device (BYOD), ou seja, “traga seu próprio dispositivo”.

seguranca-informacao-byod-dispositivos

O BYOD prega uma maior flexibilidade aos profissionais para que possam utilizar seus dispositivos móveis pessoais também no ambiente de trabalho.

Fator que possui seus prós e contras, afinal, para a empresa é viável não ter que gastar com um grande número de equipamentos e ainda ter que mantê-los atualizados. Para o funcionário seria uma inovação pode utilizar dispositivos atuais e com as mais novas tecnologias de software e hardware do mercado também no ambiente corporativo. Contudo, isso traz o grande desafio do controle de acesso aos sistemas e as informações confidenciais da organização.

Em vista destas circunstancias, verifica-se a necessidade da elaboração de uma Política de Segurança para Aplicação BYOD, de modo que seja possível aproveitar os benefícios que este fenômeno pode proporcionar sem expor a rede da organização ou a privacidade do usuário.

Conhecendo o fenômeno BYOD

De acordo com o editor executivo da InfoWorld, poucas tendências tecnológicas impuseram o seu caminho para o mundo empresarial tão rapidamente quanto o BYOD.

O movimento começou timidamente em 2007 com o lançamento do iPhone mas ganhou força em meados de 2010, quando a Apple adicionou funcionalidades corporativas e de gestão e recursos de segurança no iOS 4. Um ano mais tarde, as políticas nas TIs de não autorizar a conexão dos dispositivos na rede da empresa estavam em frangalhos, com a maioria das empresas adotando o BYOD para uma parte dos seus empregados e para os dispositivos iOS (GRUMAN, 2012).

Segundo o Olhar Digital (2012), o BYOD “tem sido visto com bons olhos pelos recrutadores”. O mesmo ainda cita um relatório da Cisco Horizons IBSG, que contou com mais de 600 líderes do mercado de TI e de negócios dos Estados Unidos, onde foi observado que 95% das organizações já concedem aos colaboradores levarem seus dispositivos ao local de trabalho.

Bradley (2011), colunista na Revista PC World/EUA e autor do blog Net Work, afirma que “há uma variedade de benefícios em permitir que os usuários forneçam seu próprio PC e dispositivos móveis, mas há também algumas preocupações”.

De acordo com ele o aspecto financeiro tem sido bastante atraente, afinal “com o trabalhador pagando a maioria dos custos de aquisição do hardware, e dos serviços de voz e dados, além de outras despesas associadas, as empresas economizam muito dinheiro” (BRADLEY, 2011). O colunista diz que segundo estudos, nos Estados Unidos, as empresas estimam uma economia de 80 dólares mensais por usuário.

Em contrapartida, Crippa (2012) apud Olhar Digital (2012), lembra algumas preocupações por parte de muitos líderes, tais como o aumento de distração, devido os profissionais poderem “jogar apps ou checar redes sociais enquanto trabalham”, além de questões de segurança, onde a pesquisa aponta que “83% dos profissionais temem a falta de segurança da informação nestes dispositivos e 56% se preocupam com vírus que podem ser adquiridos nas redes sociais” (OLHAR DIGITAL, 2012).

Diante destas circunstancias, há o grande desafio de como o administrador de TI irá salvaguardar os sistemas e manter o controle da sua rede.

Vale lembrar que a TI deve repensar suas políticas de adoção de novas tecnologias, sem ignorar o fato de que o BYOD já é uma realidade. Recomenda-se  buscar uma relação harmônica entre as partes, implementando o controle de acesso em uma Política de Segurança para Aplicação BYOD, de forma a garantir o resguardo do usuário (empresa/ funcionário) desta tecnologia.

Como gerenciar essa tendência?

À cerca de cinco anos atrás, o que se via era alguns poucos profissionais acessarem seus e-mails através de seus iPhones. Contudo, hoje é cada vez mais comum ver os colaboradores acessando a rede corporativa através de seus vários dispositivos móveis, o que vem causando grandes preocupações aos CIOs (Chief Information Officer – tomadores de decisão em TI) em todo o mundo.

Fato que tem causado grandes expectativas e controvérsias entre os profissionais de TI, pois por ser um conceito inovador o BYOD ainda não deixou uma ideia clara de até onde pode ser considerado positivo ou negativo.

Todavia, sabe-se que chegou para ficar e tentar bloqueá-lo não é a melhor opção. Em vista destas circunstancias, Ferreira e Araújo (2008, p.103), ressaltam algumas questões que devem ser consideradas:

  • Como se conectar remotamente de forma segura?
  • Como assegurar que o usuário correto está acessando a informação correta?
  • Como controlar o uso indiscriminado de eventuais dispositivos para o acesso remoto?

Santos (2012) lembra que, de acordo com a ISO/ IEC 27001:2005, que salienta técnicas de segurança da informação, deve-se tratar os riscos através de controles visando reduzir as chances da ocorrência de um impacto danoso. Para isso é fundamental a empresa obter um controle de acesso efetivo dos dados corporativos que os profissionais estão manuseando em seus dispositivos.

Como regra geral, o acesso deve ser concedido levando em conta a função desempenhada pelo colaborador. As autorizações e aprovações necessárias para o cumprimento dos procedimentos e instruções de trabalho devem ser fornecidas conforme a hierarquia de responsabilidades (FERREIRA; ARAÚJO, 2008, p.90).

O gerente de desenvolvimento de negócios da Multirede (2012) lembra que há instrumentos de controle de acesso que detectam quem está acessando a rede, onde e qual o tipo de computador esta sendo utilizado. E fala sobre alternativas de MDM (Mobile Device Management), que é um meio de controle focado em dispositivos móveis.

Segundo Gartner (2012) apud Messmer (2012), a difusão do BYOD vai impulsionar o resurgimento do NAC (Network-Acess Control), controle de acesso baseado em política de segurança que ocorreu há dez anos, contudo, na época o gerenciamento dos terminais não eram tão desenvolvidos, o que fez com que ele não fosse tão apreciado (MESSMER, 2012). No entanto, Orans (2012) apud Olhar Digital (2012), afirma que, agora, o NAC junto com o MDM devem ganhar popularidade devido o aumento da consumerização que passa a exigir mais segurança para os dispositivos móveis.

A partir da análise desses dados percebe-se a grande importância de estabelecer um meio de gerenciamento dos profissionais que acessam a rede e os sistemas corporativos através de seus dispositivos, visando garantir a segurança da informação. Afinal, a “solução está na rede, e não no dispositivo” (JUNIOR, 2012 apud OLHAR DIGITAL, 2012).

Política de Segurança para Aplicação BYOD

Sabe-se que a consumerização é uma realidade e tentar proibir o fenômeno BYOD não é a melhor opção, afinal, com ou sem a permissão da empresa, os usuários descobrirão um meio de acessar o sistema através de seus próprios aparelhos. Sendo assim, esta questão deve ser administrada de forma sensata. A área de TI deve desenhar estratégias de convivência, que permitam ao mesmo tempo oferecer dentro das empresas experiências similares a que os funcionários têm em casa, mas que garantam um nível de segurança adequado aos seus requisitos de compliance e auditoria corporativos (Taurion, 2012).

Para isso, uma Política de Segurança para Aplicação BYOD deve ser estabelecida, onde será definido critérios de aceitação para o uso de dispositivos móveis particulares no ambiente corporativo. É importante elaborar esta Política de forma que ela seja completa sem ser complexa, ou seja, ela “deve ser simples o bastante para que todos na organização compreendam o porquê  e a forma de conduzir suas atividades do dia-a-dia, alinhadas às práticas seguras e sintonizadas com a proteção das informações da organização” (FÁVERO, 2008 apud FERREIRA; ARAÚJO, 2008, p. XVI).

As áreas de gestão de risco, jurídicas e de recursos humanos também devem ser envolvidas neste processo, afinal aspectos legais e trabalhistas estarão inclusos neste meio (TAURION, 2012).

Vale lembrar que a Política de Segurança para Aplicação BYOD é um meio da empresa e do profissional responsável pelo gerenciamento de TI estarem se resguardando, caso o usuário faça mal uso de suas permissões, infringindo as regras propostas. Mas para isso, é necessário que os funcionários assinem um termo de ciência da Política aplicada, se comprometendo a cumprí-la. Para que ela seja bem sucedida, Ferreira e Araújo (2008, p. 44), citam alguns itens muito relevantes:

  • Formalização dos processos e instruções de trabalho;
  • Utilização de tecnologias capazes de prover segurança;
  • Atribuição formal das responsabilidades e das respectivas penalidades;
  • Classificação das informações;
  • Treinamento e conscientização constantes.

Para definir uma Política de Segurança para Aplicação BYOD, deve-se estabelecer alguns critérios. Segundo o gerente de novas tecnologias da IBM Brasil, o primeiro passo é definir a estatégia: valide se existem restrições legais, implicações nos aspectos relacionados com remuneração dos funcionários e obtenha aval da auditoria e da área de gestão de riscos. Uma empresa global tem que entender que uma política única nem sempre poderá ser aplicada, uma vez que as legislações e as culturas são diferentes entre os países que atua (TAURION, 2012).

Para evitar possíveis problemas futuros, deve-se deixar bem claro na Política de Segurança para Aplicação BYOD:

  • Objetivo do Programa BYOD;
  • Amplitude do Programa;
  • A propriedade do equipamento;
  • Quem vai arcar com os custos das ligações;
  • Os requitos de segurança que devem ser cumpridos;
  • Permissões de acesso;
  • Questões jurídicas;

De acordo com Taurion (2012), após estabelecer todos estes critérios, deve-se começar a executar o projeto BYOD.

Isto envolve um planejamento detalhado das etapas a serem cumpridas, o processo de educação, a criação e formalização da política de uso, o treinamento e operação das novas atividades dos funcionarios do help desk e a aquisição e instalação das tecnologias necessárias à gestão dos processos (TAURION, 2012).

É importante lembrar que um fator determinante para o sucesso dessa medida é manter a Política sempre válida e atualizada (IBM, 2012).

Conclusão

Diante do exposto acima, conclui-se que a Política de Segurança para Aplicação BYOD é essencial para que a empresa estabeleça de modo formal as condições para que os profissionais possam utilizar seus equipamentos móveis no ambiente corporativo sem comprometer a segurança da informação.


Orientador: Eduardo Alves Moraes – FATEC – Campus Ourinhos/SP
Artigo acadêmico completo disponível aqui.

Imagem via Shutterstock

AGRADEÇA AO AUTOR COMPARTILHE!

2 Comentários

Diógenes Torres
2

É uma realidade que chegou para ficar. A questão é, as aplicações para este tipo de dispositivos devem ser revistas e repensadas, pois pelos mesmos fatos que podem ser benéficos poderão gerar problemas com acessos indevidos , instabilidades e devidos de funções de profissionais como falta de atenção e improdutividade. Estes tipos de dispositivos estão substituindo os laptops/notebook e com isso os dominantes OS como Microsoft Windows, Linux estão sendo substituídos por Android – Google, iOS – Apple, BlackBerry – BlackBerry, Windows Phone – Microsoft, Symbian – Nokia, Ubuntu – Canonical, Tizen – Samsung, Firefox OS – Mozilla.
O certo é que não há montanha intransponível, se crer é ver a transformação!

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">