Bring Your On Device (BYOD) é um modelo de gestão em que os funcionários trabalham com seus próprios equipamentos, mas quais os problemas isso pode representar para a equipe de segurança da informação?
A ideia de traga seu dispositivo (BYOD – Bring yourself device) se tornou uma prática presente nas mais diversas organizações. Se por um lado essas práticas (dizem) traz mais produtividade, por outro pode existir uma perda nos processos de segurança da informação.
Esse é o temor de muitos gestores ao adotarem essa prática: as informações da sua rede podem tornar-se vulneráveis a um dispositivo desconhecido que não foi submetido a política de segurança da informação corporativa, estar infectado, ou ainda pode ser utilizado de forma maliciosa para o roubo de informações.
Ao mesmo tempo, a política de BYOD traz vantagens inegáveis como a redução de custo. Então, como lidar com os principais problemas encontrados na adoção deste método? A ideia é tentar se adiantar a esses problemas. Veja alguns dos mais comuns
Não implementar políticas de segurança
Sem dúvidas esse é um dos erros mais frequentes no que se refere a questão do BYOD. A criação de uma politica de segurança da informação é um processo que envolve análises de risco, definição de planos de contingência em caso de invasões e também orientações a respeito de normas sobre o uso dos dispositivos da empresa em prol da segurança de informação.
Uma vez que o funcionário decida levar seu dispositivo para a empresa, ele automaticamente se compromete manter esse dispositivo dentro das políticas.
As obrigações vindas disso devem ser redigidas em documento aonde se descrevem as regras sobre cópia de dados, arquivos e todo tipo de informação, bem como orientações a respeito da segurança do dispositivo como termos de monitoramento e sistema operacional recomendados.
Os funcionários devem ser treinados a lidar com essa realidade
Não basta que exista um excelente documento de política de segurança da informação, se os funcionários não estiverem capacitados a seguir as diretrizes. Tão importante quanto a redação desse documento é fornecer um treinamento que garanta que os colaboradores entendem todas as normas ali presentes e que os capacite as executar plenamente.
Para garantir esse entendimento o melhor caminho é a promoção de um treinamento a respeito da ideia de levar seu dispositivo (BYOD), suas vantagens e como isso deve se alinhar as políticas de segurança, além da conscientização sobre as responsabilidades que isso implica no contexto da organização.
Permissões de uso de sites para download
Embora a primeira ideia que vem a mente com o conceito de BYOD seja o uso de notebooks pessoais, incluem-se aí também smartphones e tablets. Uma vez que essa gama de dispositivos pessoais está sendo utilizada na empresa é necessário atenção quanto as lojas de aplicativos onde seus colaboradores realizam seus downloads.
Embora tanto o Android, quanto o IOS possuam suas próprias lojas oficiais de aplicativos, não é raro que eles sejam buscados em sites paralelos. Usuários do Iphone muitas vezes também escolhem por utilizar um sistema operacional adicional ao IOS nativo.
Essa prática é chamada de jailbreak e é uma excelente porta de entrada para vulnerabilidades que afetariam toda a rede corporativa. Com isso, todos os dados os quais aquele colaborador tem acesso podem ser perdidos.
O uso de versões obsoletas de sistemas operacionais
Independente de qual sistema, seja Windows em um computador portátil ou uma versão antiga do Android, um sistema desatualizado é um grande risco.
A atualização constante corrige as falhas e diminui consideravelmente o riso de um ataque zero-day. Por outro lado, as versões obsoletas abrem brechas para esse tipo de ataque.
Logo, todos os colaboradores adeptos do BYOD devem manter seus dispositivos sempre atualizados e realizarem os updates do sistema operacional de seus notebooks periodicamente.
Como os principais sistemas mantêm notificações a respeito de atualizações, não é uma tarefa difícil. Vale lembrar do ataque causado pela vulnerabilidade Wannacry, que afetou 150 países e só possui porque as máquinas afetadas estavam desatualizadas, sendo que a correção para tal vulnerabilidade já havia sido disponibilizada na versão mais recente
Dispositivos conectados a redes públicas e vetores de ataque
Dentro do ambiente da empresa, o uso de todos os dispositivos estará sujeito aos protocolos de seguranças definidos pela equipe de TI, o que deve garantir uma conexão segura.
Mas fora da empresa, onde a máquina será usada? Utilizar a máquina em redes públicas pode torna-la alvo de cibercriminosos e oportunistas que colocam em risco dados pessoais e possivelmente dados empresariais que ficarão salvos naquele dispositivo.
Além disso, no uso pessoal do colaborador ele pode terminar infectando a máquina com algum malware e ao conecta-la a rede da empresa esse malware pode se proliferar e infectar diversos dispositivos ou até mesmo tornar a rede refém um ransomware.
A melhor forma de evitar isso é realizando a adesão de todos os funcionários que utilizam o BYOD a algum software que mantenha seu acesso seguro em rede.
Mecanismos de controle de acesso ineficazes
O controle de acesso a informação é uma etapa fundamental na politica de segurança da informação. As informações passam a ser classificadas em níveis de sigilo, de modo que apenas os setores que de fato precisem acessa-la possam ter acesso.
Ao realizar essa etapa é preciso se fazer perguntas do tipo:
Quem realmente precisa de acesso a determinadas pastas? Quem precisa editar os arquivos e quem precisa apenas de visualizar? Existe necessidade de cópias offline dos arquivos ou eles podem se manter na nuvem?
Bloqueio por senha e ecriptação são indispensáveis nos equipamentos BYOD
Duas exigências que devem constar na política de segurança da informação para os equipamento BYOD são o uso de uma senha forte e manutenção das informações armazenadas em disco encriptadas.
Em dispositivos moveis o uso de senhas costuma ser eficaz por si só, porém notebooks podem ter seu HD retirado, daí a importância da criptografia
No fim das contas, adotando essas políticas a ideia de Bring Yoursel Own Device se mostra bastante vantajosa tanto para os colaboradores quanto para os empregadores.
No ínicio pode ser um pouco difícil a adaptação, mas a transição para o uso das políticas deve ser feita de qualquer maneira. A implementação do BYOD, visto neste contexto se torna apenas mais um passo da politica de segurança da informação.
