A maneira padrão de tratar o risco – seja ele apps móveis maliciosos ou como o arquivamento por meio de rede sem fio pode roubar seus dados – é começar com uma avaliação. Como avaliar os riscos em uma tecnologia que muda toda semana e que você talvez nem tenha? Muitas empresas estão aderindo ao modelo “bring your own device” (use seu próprio dispositivo), o que adiciona riscos ainda maiores.
Nesse texto, vamos nos focar na segurança de dados e não na miríade de riscos apresentada por dispositivos móveis, tais como escuta, disponibilidade e confiabilidade de cobertura, etc.
Segurança móvel: cinco dicas essenciais
A primeira questão: não possuímos dados concretos sobre como reduzir melhor os riscos porque a segurança móvel é uma disciplina que ainda não está no mercado há tempo suficiente para provar sua eficácia – ou ineficácia. A resposta no momento é olhar para si mesmo. Se focar na eficácia do controle dentro de seu ambiente e a probabilidade que seus usuários a cumprirão. Esteja preparado para responder várias questões e testar suas teorias antes de atribuir um risco para uma ameaça específica ou cenário.
É altamente recomendável a divisão da avaliação de risco de segurança móvel em quatro categorias: acesso a dados sensíveis, risco do dispositivo, gerenciamento de risco e conscientização. Para cada área, é necessário o desenvolvimento de perguntas para conseguir as respostas dos funcionários. Misture as questões. Vá além do sim/ não e inclua formatos de probabilidade – por exemplo: “Em uma escala de 1 a 5, com 1 sendo nunca e 5 sendo frequentemente, com qual frequência você permite que seu filho baixe apps?”
Uma técnica que costumo usar é o exercício de “11 questões”. Quando pedir uma lista para as pessoas, peça 11 questões que eles gostariam de fazer se estivessem em seu lugar. Esse exercício fica difícil após a quinta ou sexta questão, mas é surpreendente quantas vezes surgem riscos que você não suspeitava existir. Documente-os e use essa informação para guiar o resto do seu processo de entrevista de avalição de risco. Uma das minhas questões preferidas que consegui a partir de uma entrevista de avalição de risco: “como faço para que meu marido pare de acessar sites impróprios em meu iPad?”
Boa pergunta.
1. Acesso a dados sensíveis
A maior preocupação com os dispositivos móveis é que eles podem acessar dados sensíveis e causar brechas ou vazamentos desses dados. Mas isso é realmente possível? Por exemplo: uma empresa na qual forneci a avaliação de risco nem mesmo sabia o que são considerados dados sensíveis. Assim que foi identificado (nesse caso, eram os financeiros), foi possível observar que o software de contabilidade da empresa só é executado no Windows, e portanto, não era acessível por meio de dispositivos móveis, e apenas seis dos 400 funcionários tinham direito de acesso. O risco real eram os relatórios com dados financeiros que eram gerados e enviados por e-mail.
Para documentar quais informações sensíveis seu dispositivo móvel possui acesso, comece construindo fluxos de dados com base em classificações de dados e documente quem acessa o que e quando. Em grandes organizações, verifique se há fluxo de trabalho documentado que você pode reavaliar. Para cada local onde os dados sensíveis “mudam de mãos” (tanto por meio de pessoas quanto do sistema), entreviste as pessoas envolvidas para discutir se e como esses dados podem acabar sendo usados em dispositivos móveis.
Nossa experiência comprova que a maioria dos dispositivos móveis não tem acesso direto aos dados sensíveis. Em vez disso, eles têm acesso periférico (como o exemplo do e-mail, acima), e os sistemas de segurança existentes – tais como prevenção de perda de dados, gerenciamento de identidade e controle de acesso – geralmente podem lidar com essas fontes.
2. Risco do dispositivo
O risco do dispositivo é onde a maioria da mídia espalha o terror: 200% de aumento em malware móvel! Menos de 50% dos usuários de dispositivos móveis usam senhas! Apesar de estatísticas como essas serem divertidas em um bate-papo e de fácil de fazer sensacionalismo, avaliar os riscos não é tão simples. Cada sistema operacional tem suas próprias vulnerabilidades e controles de compensação.
Recomendo que você gaste menos tempo se preocupando com vírus e cavalos de Troia e mais tempo se preocupando com a codificação dos dados sensíveis, proteção contra roubo do dispositivo, ensinar o help-desk e estender o alcance de suas tecnologias de segurança móvel. Ao analisar a cobertura da maioria dos suítes de gerenciamento de dispositivos móveis, os clientes ficam surpresos ao ver que existem dispositivos que ignoram o software MDM e vão direto ao ActiveSync, usam o legado IMAP ou POP3 ou têm acesso VPN dentro da rede e seus usuários nem ao menos percebem que seus aparelhos estão conectados. Às vezes não é possível prever a próxima ameaça, o melhor a fazer é focar todos os esforços em garantir o maior número de capacidades para segurar o maior número de tipos de dispositivos móveis e de plataformas.
3. Gerenciamento de Risco
A segurança móvel é complicada por conta dos milhares de dispositivos que são negociados, perdidos, roubados e atualizados com novos apps e firmware todos os dias. Sempre será difícil se manter atualizado com as mudanças, mas é necessário assegurar que o processo rápido de análise de risco a qualquer possível ameaça móvel a seus dados e avaliar constantemente novos sistemas operacionais e dispositivos. Você possui uma equipe responsável para monitorar as últimas notificações de malware ou avaliar as novas plataformas para vulnerabilidades? A discussão recente das implicações de segurança do Kindle Fire é um grande exemplo. No dia em que o Fire foi lançado, ele começou a acessar e-mail corporativos e redes wi-fi. Como lidar com 20% de seus funcionários logando e usando um novo dispositivo móvel com uma versão do Android não testada? Também, como mencionamos há pouco, os dispositivos móveis são negociados, danificados e roubados. Você possui uma política para garantir que os dados nesses dispositivos sejam deletados?
Analise os processos que você usa para lidar com alertas de malwares e os problemas com usuários finais. Qual é a probabilidade da constante execução desses processos? Seja honesto – seus recursos estão alocados corretamente? Você possui mecanismo de aplicação de política de segurança móvel?
4. Conscientização
A primeira e última linha de defesa para dispositivos móveis é o usuário. Os usuários têm o papel de administradores e possuem a habilidade de instalar e deletar aplicativos, reconfigurar configurações, realizar – ou não – backup de dados. Como os riscos são informados a eles? Eles precisam saber exatamente o que fazer quando veem algo suspeito em seus dispositivos. O treinamento de conscientização é uma maneira efetiva de reduzir os riscos. Acredito que seja a maneira de controle de segurança mais forte, além da tecnologia MDM, mas muitas empresas não se preparam para conversar com seus funcionários sobre esses riscos de uma maneira constante.
A avaliação de risco de segurança fornece uma visão de onde a empresa não tem sucesso na implementação de segurança móvel e enfrenta os riscos, enquanto trabalha com o conselho de segurança móvel para determinar quais tipo de controle irão efetivamente reduzir os riscos. Uma vez avaliado sobre o que fazer para reduzir os riscos, não tema realizar algumas tentativas. Obter a mistura correta de redução de riscos e uma boa experiência móvel é vital para o sucesso de um programa de segurança móvel.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
O que o Chromebook pode nos ensinar sobre segurança móvel?
Segurança Móvel: telefone deles, problema seu
Segurança Móvel: 4 abordagens para redução de riscos
