Mobilidade – Riscos e oportunidades no mundo corporativo

Originalmente publicado na Revista BPM Brasil em 09 de abril de 2013

Por: André Mazeron

O telefone celular completou 40 anos. De símbolo de status, passou a objeto cotidiano, e sua adoção supera hoje a dos telefones fixos. Neste tempo, foi ganhando funções, e se tornando cada vez mais presente dentro das empresas em papéis que vão muito além da voz. A onipresença de dispositivos móveis como smartphones e tablets torna inevitável seu uso corporativo, e abre novos riscos à informação que não podem ser ignorados.

Para que se tenha uma dimensão disto, veja o que a Forrester Research identificou em 2012: 53% das pessoas usam três ou mais dispositivos diferentes para acesso aos dados de trabalho. E alguns destes dispositivos irão pertencer ao próprio colaborador. Uma política corporativa para mobilidade, educação dos usuários e ferramental adequado são indispensáveis para que dispositivos móveis sejam aliados e não inimigos do negócio. Considere alguns cenários:

Mobilidade não traz só problemas, traz ganho de produtividade

O uso dos dispositivos móveis vem crescendo porque os mesmos podem ter impacto significativo na produtividade, então cada vez mais empresas permitem o uso de aplicações corporativas. A mesma facilidade de uso implica em facilidade de vazamento de informações, permitindo que um usuário mal intencionado copie dados ou e-mails corporativos para uma conta pessoal. É preciso criar barreiras para impedir esta migração de dados.

Em caso de desligamento do colaborador, é usual que exista algum mecanismo de “wipe” remoto do dispositivo para apagar todos os dados, evitando assim que os dados corporativos permaneçam acessíveis. Mas e os dados pessoais, serão apagados também? Isto pode expor à organização a um risco legal. E o próprio wipe não é garantia de eliminar os dados, já que muitos dispositivos suportam backup automático dos dados para a nuvem. Alguns países já se anteciparam a esta situação com legislação específica. Na Alemanha, por exemplo, é ilegal que a empresa apagar dados pessoais de um dispositivo do colaborador. A empresa só pode apagar os dados corporativos.

# de Malware para dispositivos móveis cresce ano a ano

Os dispositivos móveis também oferecem risco de exposição à código malicioso (malware). Estes dispositivos transitam dentro e fora do perímetro de segurança da corporação, de forma que é relativamente fácil um cenário onde o colaborador baixa sem saber um malware no seu dispositivo fora da empresa, e ao se conectar na rede corporativa, permite a disseminação do ataque internamente. Alguns destes softwares maliciosos podem transformar o celular ou tablet em um dispositivo espião, gravando conversas do ambiente.

Para demonstrar estas capacidades, pesquisadores já desenvolveram um aplicativo de Cavalo-de-Tróia capaz de tirar fotos sem o conhecimento e consentimento do usuário.
Viagens também impõe risco adicional aos dispositivos móveis. Alguns países com rigorosas políticas de monitoramento das comunicações possuem recursos para instalação remota de softwares de monitoramento. Conheci um analista de segurança que teve um software assim instalado no seu Blackberry quando em visita a um país do oriente médio.

A capacidade dos smartphones de atuarem como pontos de acesso à rede 3G põe em cheque controles tradicionais de segurança, como firewalls ou filtros de acesso à web. Um colaborador com pouco conhecimento pode facilmente usar o seu celular para permitir que seu PC ou notebook corporativo navegue livremente pela internet, abrindo às portas para a entrada de malware, saída de informação confidencial, ou simplesmente perda de produtividade nas redes sociais.

Frente a estes desafios, como lidar? O primeiro passo é estabelecer uma política para dispositivos móveis, comunicá-la formalmente aos usuários e implementar os controles administrativos e técnicos para garantir a sua efetiva aplicação. Dada a volatilidade do tema, é necessário o engajamento da área jurídica para garantir o alinhamento da política com a legislação vigente. Os controles de segurança implementados não devem apenas coibir o uso destes dispositivos, e sim permitir a sua utilização da forma autorizada com a organização, para que a empresa não deixe de usufruir os benefícios associados à mobilidade.