Aplicativos no ambiente corporativo. O que fazer?

aplicativosCada vez mais a tecnologia mobile se encontra dentro das empresas, dentro dos escritórios.

Todos tem smartphones, muitos se conectam as redes wifi, outros tem permissão até para acessar os servidores através de seu celular ou tablet.

E a tão falada segurança?

Divido inicialmente um artigo da CIO:

 

(…)

A verdade é que ninguém pode de fato impedir que um vazamento de informação aconteça. Ameaças internas sempre existiram, mas a tecnologia digital de consumo e a cloud computing apresentam riscos mais urgentes que os CIOs precisam minimizar. Gerentes, de negócios e de TI envolvidos com o projeto de aplicações móveis devem se certificar, principalmente, de que os dados dos clientes não estarão vulneráveis a ataques externos. 

Para isso precisam levar em consideração sete questões centrais.  A saber:

1 – Como os aplicativos móveis interagem com os servidores internos?
Muita da atenção e até da cobertura jornalística em se tratando de mobilidade é a segurança focada no dispositivo. Na verdade, a maior parte do risco reside na interação entre os dispositivos com servidores internos e externos. Um aparelho desbloqueado pode ajudar um criminoso virtual a identificar para quais servidores ele envia resposta. Com isso, o servidor na ponta do processo de mobilidade deve estar preparado para resistir a esses ataques.

2 – Há talentos internos para gerenciar esse risco?
Desenvolvedores de software para mobilidade, mesmo com pouca experiência, são muito procurados por líderes empresariais interessados em montar uma boa equipe na área de desenvolvimento para dispositivos móveis. As empresas devem se preocupar mais em quantificar o conjunto de habilidades que a equipe reúne e buscar profissionais nas comunidades que reúnem especialistas em software móvel para contar com um desenvolvimento seguro.

3 – Os desenvolvedores de código para mobilidade entendem os conceitos de segurança mais ou menos do que os outros desenvolvedores?
Infelizmente, para muitos casos a resposta é que os especialistas em software móvel entendem menos de segurança. Muitos dos talentos desse mercado emergente vêm de ambientes móveis e não estão acostumados com a forte segurança dos que constroem softwares tradicionais. A situação pode piorar com desenvolvedores que não têm familiaridade com ambientes móveis, aumentando as chances de erros.

4 – Há a certeza de que informações confidenciais do cliente não permanecerão no dispositivo após o fim da sessão?
Os desenvolvedores de softwares devem escrever códigos que impedem a permanência de dados confidenciais no equipamento após o encerramento de um aplicativo ou browser. A organização, por sua vez, deve se acostumar a manter conhecimento sobre sistemas operacionais e browsers, conhecendo suas fraquezas e pontos fortes.

5 – Com quais processos a empresa conta para responder uma situação de crise, na qual haja vazamento de dados associado a uma aplicação móvel?
A empresa deve ter planos para responder a esse tipo de questão associado a dispositivos móveis. É recomendável fazer um estudo para comparar condutas de concorrentes, avaliar casos e se preparar para o pior. Cabe também outra pergunta: a empresa está preparada para puxar a tomada da infraestrutura para mobilidade se uma vulnerabilidade vier à luz?

6 – Que organização (companhia, provedor de serviços, fornecedor de sistema operacional móvel) está à frente da segurança?
Dadas as diversas questões relacionadas à arquitetura, se uma brecha ocorre quem é responsável por qual aspecto do ambiente, seja dispositivo, sistema operacional ou aplicação? Entender esse ecossistema ajuda na melhor gestão de incidentes de segurança com aplicativos móveis.

7 – Quais são as abordagens estruturadas de desenvolvimento para a criação de aplicações mais seguras?
As abordagens para a construção de aplicações móveis mudaram, dada a fraqueza do ambiente móvel? Quais são os padrões que a empresa possui para os códigos? Como se garante esses padrões e como eles são conferidos? Eles são checados sempre ou em somente em determinadas versões?  O desenvolvimento de software deve estar dentro de padrões muito bem controlados, além de sofrerem atualizações constantes, em razão da crescente complexidade das ameaças associadas com aplicações móveis.

Fonte: http://cio.com.br/gestao/2014/02/13/aplicativos-moveis-7-questoes-de-seguranca-que-a-ti-precisa-responder/

 

Se você nunca pensou nestas possibilidades, cuidado… Seus dados podem ir direto para um celular, que é um passo das redes sociais.

E nestes quesitos, divido outro artigo sobre a segurança com exemplos práticos:

A verdade universal sobre a mobilidade é que uma solução única não satisfaz todos os conjuntos de necessidades. Muitas empresas determinarão os recursos de segurança a partir de uma matriz  que divide as necessidades endereçadas pelo BYOD nesses quatro grupos descritos abaixo.

Categoria 1: engloba informações comerciais de rotina
Motoristas de caminhões, representantes de vendas, funcionários de vendas, designers gráficos, programadores de aplicações, pessoal de manutenção, restauradores – as pessoas com essas profissões raramente lidam com informação muito sensíveis do ponto de vista pessoal ou legal. Se um smartphone usado por um desses profissionais for perdido ou roubado, o impacto passa apenas pela necessidade de reconstrução de alguns dados, e de garantir que o serviço de comunicações seja suspenso.

Há também o risco de o ladrão ter acesso à conta de e-mail do funcionário, e por isso torna-se necessário mudar imediatamente os dados de autenticação no servidor. Os mecanismos de segurança recomendáveis incluem o uso de um PIN para uso o dispositivo e o uso de uma senha.

Boas, mas não essenciais, as práticas de segurança e de gestão de capacidades englobam processos de expiração de senhas e requisitos complexos para obtenção das mesmas.

É importante garantir também a possibilidade de apagar os dados do dispositivo, remotamente, associada a uma política de eliminação de dados após certo número de tentativas.

Categoria 2: informações importantes de negócios
Gestores de vendas, assistentes pessoais, consultores, professores, editores, operadores de vídeo, programadores, gestores de nível médio – pessoas com estas funções ou profissões têm acesso a alguma informação pessoal e financeira que não vai destruir a empresa se for roubada. Mas que pode causar danos financeiros e de imagem que é importante  prevenir.

Também têm acesso a alguns sistemas internos através de senhas que poderão ser usadas por pessoas mal intencionadas. Se o dispositivo móvel for perdido ou roubado, o esforço para evitar as falhas de segurança vão além da eliminação de informação e exigem alteração de senhas partilhadas.

Podem exigir também informar os parceiros de negócios sobre o sucedido, e perder vantagens competitivas no curto prazo.

As capacidades necessárias de segurança e gestão incluem o uso de uma senha complexa para usar no dispositivo, processos de expiração dessas senhas, a possibilidade de eliminação de dados por via remota, e encriptação SSL de e-mail e outros dados.

A eliminação de dados após certo número de tentativas de autenticação falhas também é uma política importante. Não é essencial que sejam usadas redes VPN, e/ou a autenticação por dois fatores para acesso a dados e sistemas de armazenamento. Mas tal como a criptogtafia no próprio dispositivo, técnicas de criptografia dos dados serão muito úteis se disponíveis.

Categoria 3: informações comerciais confidenciais
Funcionários financeiros, auditores, banqueiros, médicos, pessoal de RH, advogados, agentes reguladores, gestores de produto, investigadores, gerentes de divisões, altos executivos de TI, gestores de marketing e chefes de vendas, executivos na maioria das empresas, e todos os seus assistentes – estes profissionais trabalham com informações muito sigilosas (legais, financeiras, de produtos e de RH).

E geralmente têm acesso aos principais sistemas internos de armazenamento de dados. Se os seus dispositivos forem perdidos ou roubados, pode haver sérias consequências financeiras devido e perdas competitivas se detalhes sobre as negociações comerciais, de salários ou dados semelhantes forem revelados.

As capacidades necessárias de segurança e gestão incluem a exigência de senhas complexas para uso no dispositivo móvel, um sistema de expiração de senhas e a capacidade de eliminar dados por via remota conjugada com limites de tentativas de autenticação. Envolve também a utilização de criptografia SSL de e-mail e de outros, além do uso de redes VPN e, ou, sistemas de autenticação de dois fatores para acesso aos sistemas e dados sensíveis. O uso de criptografia no dispositivo também é essencial. Menos importante, mas útil, é o controle de acesso a redes específicas, ou a capacidade de desligar a câmara, e o controlo sobre a instalação de aplicações.

Categoria 4: fornecer informações altamente sigilosas
Fornecedores da defesa, espiões, policiais, diplomatas, militares, responsáveis políticos e assistentes – pessoas com essas profissões e funções trabalham com informações confidenciais cuja exposição pode colocar vidas em risco.

Os seus dispositivos devem suportar a utilização de senhas complexas, sistemas de senhas expiráveis, a eliminação remota de informação, criptografia com nível militar de dados de email e outros. Os processos de eliminação de informação depois de seguidas tentativas de autenticação falhas devem ser de nível militar.

E os dispositivos devem usar redes de acesso por VPN a sistemas internos, além de suportarem autenticação de dois fatores físicos. O dispositivo também deve suportar encriptação de grau militar no próprio equipamento e as normas MIME e FIPS 140.

Deve possibilitar também o controle e bloqueio discreto sobre o acesso a redes e a instalação de aplicações.

Fonte: http://cio.com.br/tecnologia/2014/02/03/ios-vs-android-qual-e-o-sistema-mais-seguro/

 

E você? Até onde pensou em segurança na era da mobiildade?

____________________________________________________

Article by Gustavo Rocha

GestãoAdvBr CEO – Consultancy on Strategic Management and Technology

Bruke Investimentos CEO – Business, Valuation, M&A, Opportunities, Market Business and more.

Mobile: [51] 8163.3333 |

Contact: gustavo@gestao.adv.br [Mail, Skype, HangOut, Twitter, LinkedIn, Facebook, Instagram, Youtube]  |

Web: www.gestao.adv.br | www.bruke.com.br |

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s