Os Perigos da BYOD para a Segurança da sua Empresa
Nos últimos anos, o BYOD (Bring Your Own Device ou, no português, ‘Traga seu Próprio Aparelho’), tem feito muitos gestores de empresas permitirem o uso de dispositivos móveis pelos colaboradores no ambiente de trabalho. E há uma razão para eles tomarem essa decisão: quando a força de trabalho utiliza seus próprios dispositivos no trabalho, sua satisfação e produtividade são drasticamente aumentadas.
Isto é o que mostra uma pesquisa realizada pela consultoria Gartner. Já outro estudo feito pela IDC aponta que 77% das empresas sediadas na Europa e nos Estados Unidos já aderiram à tendência sem volta da BYOD e disponibilizam smartphones para os seus funcionários trabalharem. Embora proporcione inúmeros benefícios, o BYOD também pode gerar muitos malefícios para as empresas que o adotam.
Um deles refere-se à segurança da rede corporativa. Se a organização não tiver total controle dos dispositivos móveis dos colaboradores, então elas correm o risco de ser vítima de um vazamento de dados, caso algum dos aparelhos que acessam a rede corporativa seja infectado por um malware. No post de hoje, falaremos sobre os perigos da BYOD e daremos algumas dicas sobre como implantar essa tendência de maneira segura. Confira!
Como a BYOD afeta a segurança da rede corporativa das empresas
Para grande parte das empresas, a implantação da BYOD é inevitável. Mas o fato é que muitas delas colherão mais malefícios do que benefícios com essa tendência, já que nem todas têm total controle sobre os dispositivos móveis dos funcionários. E se não podem administrar a forma como eles acessam a rede corporativa, então acabarão ficando sujeitas às ações de cibercriminosos. Abaixo, citamos alguns casos de mau uso dos dispositivos:
- Se conectar à Wi-Fis públicas para acessar a rede corporativa da empresa, sem o uso de VPN (Virtual Private Network ou, no português, Rede Particular Virtual);
- Acessar caixas de e-mail sem autenticação de dois fatores;
- Instalar aplicativos desconhecidos sem a autorização da empresa;
- Perder o dispositivo móvel ou ser vítima de um roubo e não relatar o ocorrido aos responsáveis pelo departamento de TI.
Todas essas más práticas adotadas pelos colaboradores põe em risco não somente o seu aparelho, como também a rede corporativa da empresa. Para invadirem os dispositivos móveis, os cibercriminosos normalmente disponibilizam apps fraudulentos em lojas oficiais, como App Store e App Store, e enviam e-mails de phishing com links maliciosos. Na App Store, existem mais de 100 mil aplicativos maliciosos prontos para serem baixados.
O que fazer para se beneficiar da BYOD com total segurança
Por mais que existam incontáveis ameaças prontas para se infiltrarem nos dispositivos móveis dos colaboradores e invadirem a rede corporativa da empresa, os gestores não precisam desconsiderar a ideia de implantar o BYOD. Basta que eles sigam algumas recomendações de segurança para que a força de trabalho possa se beneficiar dos aparelhos. A seguir, listamos algumas medidas que devem ser tomadas pela empresa:
1. Criar uma política para o uso dos dispositivos
A primeira medida que os gestores precisam tomar é criar uma política clara e abrangente para o uso de dispositivos pessoais dentro da empresa. Uma política eficaz deve começar definindo claramente os tipos de dispositivos permitidos, detalhando os requisitos mínimos de segurança que eles devem atender, incluindo a instalação de aplicativos de segurança, como antivírus e firewalls (discutiremos mais sobre, posteriormente), e a configuração de senhas robustas e criptografia de dados. Também é importante estabelecer diretrizes claras sobre o acesso aos recursos da empresa a partir de dispositivos pessoais, definindo quais dados podem ser acessados e armazenados nos dispositivos e quais medidas de segurança devem ser implementadas ao lidar com informações confidenciais. A política deve definir claramente as responsabilidades do funcionário em relação à segurança do dispositivo, incluindo relatar perdas ou roubos imediatamente e manter o dispositivo protegido contra malwares. Além disso, deve abordar questões relacionadas à propriedade e privacidade dos dados, estabelecendo limites claros sobre o que é considerado propriedade da empresa e o que é considerado propriedade pessoal do funcionário. Por fim, a política deve ser revisada regularmente para garantir que permaneça relevante e eficaz diante das mudanças na tecnologia e nas ameaças de segurança, bem como, estabelecer consequências para o não cumprimento das diretrizes estabelecidas.
2. Educar os colaboradores
Para que os colaboradores sigam a política de uso de dispositivos pessoais, eles precisam ser treinados e educados. Em um treinamento sobre segurança, oriente-os a evitar o uso Wi-Fi públicos (os cibercriminosos podem facilmente usar o tráfico público para interceptarem dados não criptografados ou até mesmo invadir os aparelhos das vítimas), redes não seguras ou fazer download de aplicativos terceiros. Deve-se, ainda, abordar os temas de Phishing, salientando a importância de não abrir e-mails desconhecidos ou link suspeitos, e de Engenharia Social, demonstrando a importância de jamais deixar o aparelho sozinho, sem supervisão pessoal.
Muitos dos assuntos a serem abordados nesses treinamentos são vulnerabilidades que já foram usadas para sequestrar dados sensíveis de empresas. Por isso, deve-se apresentar casos reais de incidentes de segurança relacionados ao BYOD que resultam em perdas financeiras exacerbadas, e em alguns casos, até falência. Um vazamento de dados sensíveis resulta em custos substanciais para remediar o incidente, incluindo notificações de violação, investigações forenses e potenciais penalidades regulatórias. Casos reais ajudam a ilustrar os riscos envolvidos e destacar a importância de tomar medidas proativas para proteger a segurança da informação.
Além disso, incidentes de phishing direcionados a dispositivos BYOD têm sido cada vez mais comuns, com funcionários desavisados clicando em links maliciosos em e-mails pessoais ou acessando redes Wi-Fi não seguras, resultando em comprometimento de dados corporativos e sistemas. E são situações que são evitadas com a educação e ciência dos colaboradores de que ações tomar em prol da segurança da informação. Por isso, o treinamento da equipe é de extrema importância para lidar com o sistema BYOD em sua corporação.
Leia mais sobre Phishing.
3. Adotar ferramentas de segurança modernas
Os gestores também devem recorrer ao uso de ferramentas de segurança modernas, como firewalls, portais cativos, openVPNs e sistemas de gerenciamento de dispositivos móveis. O portal cativo é uma ferramenta de segurança de redes essencial em empresas atualmente, pois ele reforça as políticas de uso dos aparelhos e permite que os administradores bloqueiem o acesso à rede empresarial para usuários não identificados, evitando assim possíveis invasões.
É cabível a equipe de TI pensar na contratação de antivírus corporativo que inclua módulos mobile para a proteção de todos dispositivos da empresa, tal como a implementação de um projeto de infraestrutura, segurança e monitoramento de sua rede, incluindo um Firewall e soluções de monitoramento dos dispositivos. Boas alternativas nesse sentido são: Untangle Firewall, uma solução de segurança de rede abrangente que oferece proteção geral, filtragem da web, controle de aplicativos, proteção contra ameaças e muito mais em um único dispositivo (leia mais sobre os módulos Untangle); e o Zabbix, uma plataforma de monitoramento de redes e sistemas que oferece monitoramento em tempo real, alertas e geração de relatórios para ajudar a garantir o desempenho e a integridade da infraestrutura de TI (saiba mais como implementar Monitoramento de Redes Zabbix).
E a sua empresa, já implantou o BYOD? Que medidas de segurança já está implementando para manter a sua rede empresarial totalmente segura? Conte suas experiências para a gente nos comentários!
Aproveite para conhecer o Untangle, acessando o demo do produto: http://demo.untangle.com
Pontos Essenciais
O que é a política BYOD e por que ela se tornou popular nas empresas?
A política BYOD (Bring Your Own Device) permite que os funcionários usem seus próprios dispositivos pessoais, como smartphones e laptops, para acessar sistemas e dados corporativos. Ela se tornou popular porque pode aumentar a produtividade, reduzir custos com equipamentos e melhorar a satisfação dos funcionários ao permitir o uso de dispositivos com os quais já estão familiarizados.
Quais são os principais riscos de segurança associados à implementação de uma política BYOD?
Os principais riscos incluem a possibilidade de perda ou roubo de dispositivos contendo dados corporativos, a dificuldade de controlar o acesso a informações sensíveis, e a vulnerabilidade a malware e ataques cibernéticos devido à diversidade de dispositivos e sistemas operacionais.
Como a diversidade de dispositivos em uma política BYOD pode afetar a segurança da empresa?
A diversidade de dispositivos e sistemas operacionais torna mais difícil para as equipes de TI garantir que todos os dispositivos estejam adequadamente protegidos e atualizados. Isso pode criar brechas de segurança, pois nem todos os dispositivos podem suportar as mesmas medidas de segurança.
Quais medidas podem ser adotadas para mitigar os riscos de segurança associados ao BYOD?
Medidas incluem a implementação de soluções de gerenciamento de dispositivos móveis (MDM), a exigência de autenticação multifator, a criptografia de dados sensíveis, e a definição de políticas claras sobre o uso de dispositivos pessoais para acessar dados corporativos.
Qual é o papel das políticas de segurança da informação na gestão de dispositivos pessoais no ambiente de trabalho?
As políticas de segurança da informação estabelecem diretrizes e procedimentos para o uso seguro de dispositivos pessoais, incluindo requisitos de segurança, protocolos de acesso e medidas de resposta a incidentes. Elas ajudam a garantir que os dispositivos pessoais não comprometam a segurança da empresa.
Como o uso de dispositivos pessoais pode impactar a proteção de dados sensíveis da empresa?
O uso de dispositivos pessoais pode aumentar o risco de vazamento de dados, pois os dispositivos podem ser mais suscetíveis a perda, roubo ou acesso não autorizado. Sem controles adequados, dados sensíveis podem ser expostos ou comprometidos.
Quais são as melhores práticas para implementar uma política BYOD segura e eficaz?
As melhores práticas incluem a realização de avaliações de risco, a implementação de soluções de segurança robustas, a educação dos funcionários sobre segurança cibernética, e a revisão regular das políticas de BYOD para garantir que permaneçam eficazes diante de novas ameaças.
BYOD, cybersegurança, segurança, segurança em empresas, segurança TI