Como você tem lidado com a gestão do tráfego de informações corporativas e segurança da informação nos celulares de propriedade dos colaboradores?
Todas as organizações que permitem – ou até estimulam – o BYOD (Bring Your Own Device) economizam nos custos iniciais de dispositivos móveis, mas os colaboradores de sua empresa não necessariamente estão mais reunidos no mesmo local. E com os funcionários se conectando a partir de qualquer lugar através dos seus próprios dispositivos – e utilizando uma variedade de devices diferentes – pode ser a porta de entrada para consequências indesejadas. Problemas de compliance e segurança da informação são alguns exemplos.
“Bring your own device” ou em português – traga seu próprio dispositivo, é uma política de TI que permite que os colaboradores utilizem os seus próprios smartphones, tablets, notebooks ou outros dispositivos para trabalhar. Para manter a segurança, as organizações devem equilibrar as restrições aos dados confidenciais da empresa com a produtividade do usuário, onde o real valor é identificado: quando o usuário utiliza o dispositivo que ele já conhece e produz melhor.
Mesmo “sem saber”, de certa forma, muitas empresas já “permitem” que os colaboradores utilizem os próprios smartphones ou notebooks, por exemplo, para o trabalho. Por exemplo, quando um colaborador de sua empresa envia uma planilha financeira – com dados de clientes e faturamento – para um colega da área a partir do WhatsApp, o receptor envia este documento para contabilidade, também pelo WhatsApp pessoal dele. Pronto! Já está acontecendo um tráfego de informações corporativas em dispositivos pessoais não homologados.
O processo orgânico – e possivelmente não intencional – pode abrir brechas para vulnerabilidades de proteção de dados, porque normalmente os dispositivos pessoais não possuem todas os recursos de segurança que um aparelho empresarial pode ser habilitado para ter. No caso da perda ou roubo desse dispositivo, nas mãos de quem esses dados podem parar?
Por isso, com o BYOD vem as responsabilidades – a sua empresa está cumprindo? Saiba formas de proteger sua empresa no artigo de hoje. Confira!
O que é o Bring Your Own Device (BYOD)?
Possibilidade de escolher o dispositivo e o sistema operacional para o dia a dia de trabalho. É uma das características mais marcantes do Bring Your Own Device. A prática torna as atividades profissionais mais produtivas, dinâmicas e rápidas para os colaboradores. Oferecer as equipes a oportunidade de operarem nos sistemas que já lhe são familiares resulta em entregas finais mais rápida e na conclusão de tarefas mais assertivas. Apesar disso, o BYOD cria para as empresas alguns desafios, pois elas precisam garantir que os colaboradores tenham acesso aos arquivos e aplicações profissionais a partir de dispositivos pessoais e garantir que eles estejam protegidos.
Quais os riscos do BYOD?
Deixados por conta própria – aqui está a origem do problema relacionado a segurança quando os usuários são colocados para trabalhar com os próprios dispositivos. Lá em 2020, a prática ajudou as empresas a continuarem operando e prestando serviços, mas à medida que as fronteiras entre trabalho e casa ficaram mais “incompreensíveis”, os colaboradores precisam acessar os recursos de trabalho, sem perder a segurança.
E a utilização de dispositivos pessoais para o trabalho – seja em conjunto com os dispositivos da empresa ou unicamente com os equipamentos do colaborador – traz riscos de segurança cibernética, caso não sejam apoiados por práticas de proteção de dados.
Conheça alguns riscos:
Shadow IT
Quando os colaboradores utilizam os próprios dispositivos – sem uma prática de segurança de dados corporativos – os aplicativos corporativos e pessoas ficam todos misturados em um único ambiente. Um dado corporativo pode ser importado em qualquer aplicação sem a certeza de que se trata de um software legítimo. Por exemplo, a sua empresa pode oferecer uma solução de conversão de PDFs oficial e autenticada para os colaboradores, mas, sem o conhecimento, o usuário em home office precisa converter um contrato com o cliente e recorre a um software paralelo para isso. Ou seja, dados confidenciais são importados em soluções desconhecidas da TI.
Ampla superfície de ataque
Mais uma vez: se não houver conhecimento da TI, não há como proteger. Por exemplo, se o seu colaborador puder usar qualquer dispositivo pessoal – sem um mínimo de exigências de versão do sistema operacional, sem definição de senhas fortes ou separação de ambientes – pode ser que ele vá, de fato, usar qualquer dispositivo para trabalhar. O que eu quero dizer é: se o usuário tiver um problema com a máquina que ele costuma trabalhar, ele pede a máquina de um colega ou familiar – ou seja, ele está trafegando todos os dados corporativos para uma máquina terceira – e consegue se logar nos sistemas sem resistências, isso é um risco. Quando ele não precisar mais do dispositivo emprestado, qual a certeza que ele deslogou dos sistemas corporativos e não deixou nada aberto? Aqui uma política de autenticação se torna indispensável.
Por isso também: Inventário de Ativos. A TI precisa saber quais são todos os dispositivos que acessam a rede, bem como definir padrões e configurações de segurança que os dispositivos devam atender.
Atualização de softwares e sistemas operacionais
Você deve simples manter a responsabilidade pela atualização dos softwares corporativos e SOs com os colaboradores? A resposta simples é não. Manter tudo atualizado é fundamental para garantir que as vulnerabilidades conhecidas sejam mitigadas – já que é muito comuns notícias de descobertas de novas vulnerabilidades em softwares bastante conhecidos de mercado.
Como minimizar os riscos à segurança de dados?
Embora seja fácil de se deixar levas pelos aspectos positivos que cercam o “Traga seu Próprio disposto”, as organizações precisam analisar, de forma centralizada, todos os riscos associados e definir as abordagens para gerenciá-los. E uma das maneiras mais eficientes de proteger os dados corporativos é utilizando uma ferramenta de MDM (mobile device management).
A partir delas, é possível ter total controle sobre todos os ativos, mesmo que a distância. Uma possibilidade muito utilizada nesses casos é a separação de ambientes dentro do mesmo dispositivo, em que cada compartimento fica separadas as aplicações de trabalho e uso pessoal. Outras possibilidades são a definição senhas fortes e capacidade de atualização de softwares de forma remota.
Políticas necessárias para um BYOD seguro
Estabeleça requisitos mínimos para os dispositivos
Para uma abordagem de BYOD funcionar, é necessário haver um alinhamento entre a empresa e o colaborador em relação aos requisitos mínimos do dispositivo, conforme a necessidade da função que ele irá exercer. Por exemplo, um analista financeiro que utiliza apenas o pacote Office 365 (Word, Excel, Powerpoint) não precisa necessariamente de um dispositivo de alto desempenho. Por outro lado, um desenvolvedor full stack necessita de uma máquina mais robusta.
Ofereça suporte técnico aos colaboradores
Pelo fato de os dispositivos serem pessoais, muitas vezes os colaboradores preferem resolver os problemas técnicos sozinhos, mas isso com certeza deve demorar mais do que um suporte técnico adequado. É importante que as empresas apoiem os funcionários com suporte especializado.
Desenhe e execute uma política de offboarding
Caso os colaboradores de sua empresa sejam desligados, eles ainda continuam tendo acesso aos dados e sistemas corporativos? Uma política de offboarding bem desenhada e implantada garante que os ex-colaboradores não tenham mais os acessos.
Como a SAFIRA pode apoiar sua empresa?
A SAFIRA é integradora de soluções de MDM e revendedora autorizada de licenças de MDM de diversos provedores. Inclusive, somos MSP (Managed Services Provider) da SOTI, um dos maiores provedores globais de software para mobilidade corporativa. Com isso, provemos a nossos clientes uma experiência ainda mais integrada e eficiente no gerenciamento de dispositivos móveis e IoT, impulsionando a transformação digital e promovendo um ambiente de negócios mais eficiente e conectado.
