A consumerização é uma fato cada vez mais recorrente: funcionários levam para o ambiente de trabalho dispositivos móveis pessoais, que não necessariamente são tolerados ou geridos pela TI das companhias. Que estratégias de segurança devem ser adotadas para garantir a segurança dos sistemas e dados das empresas, nestes casos?
A preocupação em monitorar e gerenciar dispositivos móveis já existia antes do surgimentos destes últimos modelos de dispositivos, os dispositivos que operam no sistema operacional iOS, Android Blackberry Symbian e outros só aumentaram a preocupação dos gestores de TI, pois muitos destes dispositivos, são de uso pessoal e muitas vezes são utilizados dentro da corporação, dada a facilidade de uso.
Atualmente existem diversas soluções em software que ajudam no monitoramento, gerenciamento e até bloqueio do uso de produtos nas empresas, por exemplo no caso do IOS, caso o proprietário tenha feito “jailbreak”(desbloqueio que permite utilização de produtos pirateados) do produto é possível identificar a prática de suposto uso ilegal de software e bloquear o uso na rede corporativa da empresa neste caso.
As empresas que já possuíam uma política de gerenciamento de notebooks envolvendo segurança e proteções dos dados, devem buscar nos seus fornecedores qual solução possuem para os novos dispositivos, as empresas que não possuem política nem para o notebook devem buscar ajuda com as consultorias, pois não vai adiantar muito ter todo um aparato para controle de Ipad, Iphone e Android se os notebooks continuam sem gerenciamento da segurança, por exemplo.
Na sua opinião, a proibição da consumerização é viável?
Não acho viável, pois isso afeta o clima organizacional negativamente. As pessoas querem utilizar os produtos na empresas. As empresas precisam se adequar a isso, utilizando tecnologia para ter o controle da situação.
Os colaboradores também usam cada vez mais serviços baseados em nuvem para armazenar, gerenciar e compartilhar arquivos relacionados ao trabalho. Como isso afeta a segurança das empresas? Quais os maiores riscos desta prática? E como garantir a segurança, neste caso?
As empresas podem ter vazamento de informações confidenciais caso arquivos sejam enviados para armazenagem na nuvem, pois estes serviços permitem compartilhamento das informações.
Porém, este mesmo problema existia caso esta informação fosse anexado a um e-mail e enviado para fora da empresa também.
Para diminuir este risco é importante possuir uma solução de proteção contra perda de informações, bem como a prática de classificação das informações das empresas para saber o que precisa ser protegido.
Com a oferta crescente de cloud computing e a consumerização, a linha que separa os profissionais do acesso aos dados corporativos está ficando gradativamente mais tênue. O senhor acredita que esta "linha imaginária" tenda a se romper por completo? Há como as empresas restringirem este acesso sem adotarem medidas que acabem por comprometer também a integridade e liberdade profissional dos colaboradores?
A maioria das providencias tomadas em prol da segurança sempre ameaçam alguma liberdade, por exemplo, hoje em dia nos aeroportos todos sofremos com algum tipo de restrição ou mesmo constrangimento por conta da segurança.
No mundo da informática acontece a mesma coisa. As adequações serão impostas, mas todas as iniciativas sempre estarão voltadas a uma disponibilidade da informação onde quer que esta informação esteja caso contrário não fará sentido.
Em se tratando de controle do tratamento de dados compartilhados online, entram em questão também as redes sociais, cada vez mais populares também no meio corporativo. Como controlar a segurança da informação nestes ambientes, sem intervir na aspecto "pessoal", uma vez que muitos dos riscos nas redes se referem ao próprio comportamento dos funcionários?
Aqui existe um potencial perigo, pois as empresas não podem controlar a vida privada das pessoas nas redes sociais, porém pode orientá-las e sugerir que evitem divulgar informações corporativas importantes.
Novamente este problema já existia antes das redes sociais, porém com abrangência muito menor...
Muitos especialistas em segurança da informação são unânimes em afirmar que, atualmente, a cultura é a maior ferramenta de segurança de uma empresa, e que uma cultura organizacional que valorize as práticas de segurança é mais eficaz que regulamentos no papel. Como implementar esta "cultura organizacional"? Esta função cabe aos executivos de segurança da informação ou à própria gestão/RH das companhais?
Os executivos da área de segurança devem estar envolvidos, porém acredito que a área de recursos humanos pode ajudar muito em promover uma cultura voltada a segurança, inclusive adotando como política nas novas contratações, buscar talentos já familiarizados com práticas que visam preservar e manter a segurança da informação das empresas.
Como se pode trabalhar para efetuar mudanças culturais nas empresas, visando a introdução de medidas de proteção aos dados?
A empresa tem que investir em um programa extenso de treinamento dos colaboradores, publicar índices que mostram a evolução e promovam está mudança de comportamento no seu dia a dia.
No caso de constatação de desrespeito à segurança da informação por parte de um colaborador, que tipo de medidas, na sua opinião, a empresa deve tomar? O senhor acredita no modelo tratado por diversos especialistas de que é preciso incumbir os colaboradores de responsabilidade pessoal sobre o tema?
O não cumprimento das regras corporativas adotada por uma empresa pode causar danos, não só no que tange a segurança.
A segurança hoje em dia é só mais uma das exigências e deve ser tratada.
Como toda a violação, precisa ser analisada por pessoas competentes, departamento jurídico e RH que precisam avaliar a intenção e o prejuízo causado para responsabilizar os envolvidos.
Há, ainda, entre os especialistas em segurança da informação, a máxima de que o melhor é "gerenciar dados, e não dispositivos". Na sua opinião, esta é uma afirmação válida? E como fazer isso?
Eu ainda não tinha ouvido esta frase.
De qualquer forma se os dados forem tratados visando à segurança os dispositivos não apresentam uma ameaça muito grande caso sejam extraviados, de fato o que vale hoje em dia é o dado.
Como já foi mencionado anteriormente é importante possuir políticas que visam classificar e tratar a informação dentro das corporações, possuírem política de gerenciamento dos dispositivos que de alguma forma acessarão estas informações, por exemplo, se um equipamento móvel vai acessar informações confidenciais, este equipamento precisa possuir entre outras tecnologias a criptografia para garantir preservação das informações caso o equipamento seja extraviado.
Existe, se sabe, um "mercado de informações ilícitas", que atrai por converter o repasse de dados corporativos em dinheiro. Como conter e educar colaboradores contra esta "tentaçao"?
Roubo, venda e receptação de informação de outra empresa é um crime passível de punição segundo a lei.
Acredito que a orientação seja a melhor iniciativa que a empresa possa adotar para tentar prevenir um processo que vai certamente abalar a reputação das pessoas envolvidas e da marca.
Versão para impressão
