por Vinícius Boemeke
Mobilidade não é assunto novo, mas, como qualquer tendência, leva um tempo para ser maturada e completamente compreendida. Uma das principais preocupação dos CIOs em projetos do tipo é quanto à segurança das informações.
Recentemente, fui convidado por um grupo de profissionais de segurança da informação para comentar sobre o tema. Expliquei sobre quatro vulnerabilidades em potencial e pouco consideradas em projetos de mobilidade corporativa.
- Ataques externos: são, basicamente, tentativas de explorar vulnerabilidades por meio de aplicativos, e-mails, SMS, Bluetooth e outras fontes. Podem ser aplicações maliciosas que tentam se instalar nos dispositivos móveis ou invasores que acessam sistemas pessoais ou corporativos. É importante impedir que eles entrem no dispositivo, mas, caso consigam, que não acessem sistemas e informações da companhia.
- Vazamento de informações: os dados podem ser divulgados se o colaborador perder, abandonar ou ter seu dispositivo roubado. Neste caso, um terceiro compartilha as informações com o mercado por má-fé ou descuido. Para evitar esse problema, é essencial que haja senha na tela para desbloqueio das funções, que os dados possam ser apagados remotamente ou que o dispositivo seja inutilizado à distância.
- Usuários como inimigo: o vazamento de informações por parte do funcionário é muito mais comum do que se imagina. Já vi casos de clientes de serviços de nuvem que impedem que um arquivo seja anexado via dispositivo móvel, mas que permitem que qualquer pessoa acesse essa interface de um navegador mediante concessão de login e senha. Como cabe ao usuário a manipulação dos sistemas arquivos, ele, invariavelmente, é a principal fonte do escape de informações. Deve-se entender que tipo de informação ele tem acesso no dispositivo – se ela é estratégica ou não – e como ele se comporta para consumir, produzir e compartilhar esses documentos e dados.
- Comunicação entre dispositivos e sistemas corporativos: para que o dispositivo móvel seja integrado às rotinas da empresa, é preciso que ele esteja conectado à rede corporativa ou ao sistemas em cloud computing. E é nessa comunicação, de device/aplicação a servidor, que as portas para invasores normalmente ficam abertas. A transmissão de informações via aplicações deve ser criptografada e trafegar em uma rede segura. Não é difícil ver essa troca de dados ocorrer por meio de um protocolo HTTP, que pode ser facilmente interceptado, em vez de um HTTPS, que atende a padrões de segurança da informação.
Vale reforçar um ponto importante para os casos envolvendo erro humano: às vezes a má-fé é motivadora para criar vulnerabilidades; por outras, a ignorância do usuário é que abre brechas. Mais importante do que encontrar a causa da falha, contudo, é saber que ela vai existir e que deve ser administrada de forma inteligente, com políticas sólidas e soluções adequadas.
A proteção eficaz passa por uma série de estratégias, que vão desde as mais simples soluções de antivírus até os mais os mais robustos softwares de gerenciamentos de dispositivos e aplicações. Cada caso é um caso, mas dando atenção a pelo menos essas quatro vulnerabilidades em potencial, o risco de a mobilidade se tornar um vilão à segurança da informação diminui. E muito.
*Vinícius Boemeke é diretor de marketing e tecnologia da MDM Solutions
Saiba mais:
Planejar gerir e rezar: dois erros comuns em projetos de mobilidade