decifra-me ou te devoro: mobilidade e a segurança da informação

Virtù Tecnológica | www.virtutecnologica.com.br [email protected] | +5511 2659 1394

1 | P á g i n a

DECIFRA-ME OU TE DEVORO1: MOBILIDADE E A SEGURANÇA DA INFORMAÇÃO

por Alê Almeida2.

Dois temas têm norteado o debate sobre Tecnologia da Informação: Mobilidade e

Segurança. Estes temas, de um lado, são complementares e de outro, são dependentes,

de modo que não seria possível analisá-los isoladamente.

Grosso modo, podemos entender a práxis das transformações sociais como

precedentes às políticas e regulamentações, ou seja, primeiro ocorreriam as

transformações de conduta para depois haver um posicionamento regulamentar ou

político a fim de “controlar” tais comportamentos. O cenário da Tecnologia da

Informação proporcionou uma avalanche de informações e ampliou o seu acesso.

Podemos supor que os indivíduos ampliaram seus horizontes e tornaram-se mais

independentes em suas vidas e essa independência parece estar se refletindo no

ambiente profissional.

O Jornal Valor Econômico publicou a matéria “Aumenta a flexibilidade no

trabalho nos Estados Unidos3”, essa “flexibilidade” pode estar relacionada à

independência alcançada pelos indivíduos, ora viabilizada pela Tecnologia da

Informação. Aqui, a hipótese é que a independência alcançada se amplia para todos os

segmentos da vida, inclusive para o trabalho profissional. A Symantec entende que

“mobilidade não é tendência, é demanda4”, ou seja, a mobilidade está intrinsecamente

ligada à flexibilidade do trabalho.

Sabemos que não há ações sem reações, é um ciclo infinito. Seja pelo esgotamento

do formato tradicional de trabalho, seja pelo volume de informações ou pela “facilidade”

ao acesso, a questão é que as transformações sociais têm ocorrido demasiadamente

rápidas, assim como as informações, e em contrapartida os processos políticos ou

1 Enigma da Esfinge. 2 Alê Almeida é diretora de marketing da Virtù Tecnológica, graduada em Publicidade e Gestão de Marketing e graduanda em Sociologia e Política. [email protected]. 3 Disponível em http://www.valor.com.br/carreira/2653514/aumenta-flexibilidade-no-trabalho-nos-estados-unidos. Acesso em 11/05/2012. 4 Disponível em http://www.tiinside.com.br/News.aspx?C=264. Acesso em 09/05/2012.


2 | P á g i n a

regulamentares precisam de um maior tempo de maturação, pois antes de se

posicionarem efetivamente, precisam primeiro interpretar tais transformações, ou seja,

é como se estivessem sempre a um passo atrás.

Muito bem. Temos aqui um empasse, de um lado a mobilidade é uma realidade

sem volta e de outro, não há o controle necessário a fim de assegurar as informações

corporativas. O que se faz? “Acesso à rede corporativa via dispositivo pessoal ainda é

para poucos5” esse é o título de uma matéria que apresenta o resultado de uma pesquisa,

onde foi diagnosticado que

apenas um terço das empresas americanas permite que

funcionários acessem a rede da companhia por meio de

dispositivos pessoais como smartphones e tablets. De acordo com

uma pesquisa da Robert Half com 1.400 executivos de tecnologia

americanos, o principal desafio são os riscos de segurança6.

No Brasil, 56% do acesso à Internet é através de smartphones e tablets7, vale

lembrar que a aquisição de tecnologia com um bem, também está facilitada em razão do

acesso ao crédito pessoal, outra questão importante é que os jovens entre 18 e 24 anos8

se interessam mais por equipamentos tecnológicos do que por carros9, aqui o nosso

impasse se reforça, ou seja, proibir o acesso às redes corporativas não é a melhor saída.

5 Disponível em http://www.valor.com.br/carreira/2649352/acesso-rede-corporativa-dispositivo-pessoal-ainda-e-para-poucos. Acesso em 10/05/2012. 6 Idem. 7 Disponível em http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=30382&sid=8. Acesso em 11/05/2012. 8 Disponível em http://www.putsgrilo.com/texticulos/sobre-carros-meio-ambiente-mentiras-e-transporte-coletivo/. Acesso em 08/05/2012. 9 Esse recorte se justifica porque é esta faixa-etária que está no mercado de TI e porque a substituição do carro, em tempos passados idealizado como sinônimo de liberdade e mobilidade, foi substituído por dispositivos de tecnologia da informação.


3 | P á g i n a

NA MÍDIA

AUMENTA A PRESSÃO DO USUÁRIO PELA

CONSUMERIZAÇÃO, AFIRMA A IDC10 Consultoria aconselha que empresas tirem

proveito desse novo universo e criem

políticas adequadas para gerenciar o mar de

dispositivos pessoais no ambiente

corporativo.

O mundo vive a terceira onda de tecnologia, afirma a consultoria IDC, e no centro

está a mobilidade, que tem sido impulsionada pela consumerização, um caminho sem

volta, diz Luciano Crippa, gerente de pesquisas da IDC. “A movimentação de levar

dispositivos pessoais para uso no ambiente corporativo não é nova, mas a pressão dos

usuários para ampliar sua aceitação aumentou”, resume.

De acordo com Crippa, até pouco tempo o CIO conhecia a tecnologia, entendia sua

aplicação nos negócios e a levava para dentro de casa. Agora, o quadro mudou. “O

funcionário passa a inserir a TI na empresa com o objetivo de tornar o dia a dia mais

produtivo”, assinala. “O usuário foi promovido a CIO e cada um tem seu micro ambiente

tecnológico”, brinca.

Pesquisa da IDC conduzida com 3 mil profissionais em todo o mundo indica que

em 2010, 30,7% dos dispositivos que circulavam na organização e acessavam a rede

eram pessoais e 69,3% corporativos. Em 2011, os pessoais saltaram para 40,7%. Na

América Latina, aponta o levantamento, 43% dos profissionais estão autorizados a

acessar dados da empresa, seja e-mail ou qualquer outro tipo de aplicação, por meio de

aparelhos pessoais. 10 Disponível em http://computerworld.uol.com.br/tecnologia/2012/04/10/aumenta-a-pressao-do-usuario-pela-consumerizacao-afirma-a-idc/. Acesso em 11/04/2012.


4 | P á g i n a

“Cada vez mais os executivos vão migrar do simples uso do correio eletrônico

para BI, CRM e ERP, fazendo com que esse número cresça”, projeta. Em 2016, a

consultoria estima que mais de 50 milhões de smartphones serão vendidos no Brasil o

que reforça a ideia de que consumerização será uma realidade, diz.

Apesar disso, poucas organizações [de variados setores] desenvolvem políticas

para regular o uso ou então permitem utilização dos dispositivos. Parte desse bloqueio

acontece porque a TI, muitas vezes, não tem real dimensão do que os funcionários

utilizam.

Identificou-se que TI acredita que 34% da força de trabalho usa devices pessoais

na empresa. Enquanto isso, 69% dos profissionais disseram que têm acesso a

dispositivos inteligentes na organização. Para ele, o CIO está reativo, mas o primeiro

passo para mudar essa postura é ter uma visão 360 graus das tecnologias presentes na

empresa.

Segundo Crippa, o mercado, e especialmente a mão de obra, está mudando mais

rápido e a inflexibilidade para aceitar esse universo é um risco. “É precisos tirar proveito

e envolver os executivos de negócios. O custo de perder oportunidades pode ser alto”,

alerta.

Mas, assim como qualquer conceito emergente, alguns gargalos e preocupações

são identificados, observa, como compliance, segurança, custo e cultura. “Algumas

questão não resolvidas podem frear a adoção, como quem é o responsável pela

segurança e privacidade dos dados? E se o usuário tiver uma aplicação pirata no

aparelho, de quem é a responsabilidade?”, questiona.

Para lidar com a consumerização, Crippa aconselha que as organizações invistam

em tecnologias ou serviços que possibilitem segurança nos dispositivos, virtualização de

desktops para permitir o acesso das informações em qualquer device, backup online e

gerenciamento centralizado.

A criação de políticas também faz parte da lista. “É necessário estabelecer quem

pode acessar a rede e as informações corporativas por meio de aparelhos pessoais, quais

dispositivos estão habilitados etc”, recomenda.


5 | P á g i n a

De acordo com ele, também é importante que os usuários concordem com a

criptografia de dados, estabelecimento de senhas fortes e autotravamento do aparelho,

bloqueamento remoto, monitoramento, acordo de suporte, entre outros.

Ao criar um ambiente em que a consumerização é permitida e gerenciada de

forma adequada, Crippa afirma que diversos benefícios podem ser conquistados.

“Contratar e reter melhores talentos, registrar menores custos para entregar acesso à

rede corporativa, aumento da vantagem competitiva, espalhar a inovação pela

companhia e atender às mudanças nas preferências dos funcionários são alguns”,

detalha.


6 | P á g i n a

BYOD RESGATA CONCEITO DE CONTROLE

DE ACESSO À REDE11

Necessidade de gerenciar os dispositivos

móveis pessoais no ambiente corporativo

provoca ressurgimento do NAC, que as

empresas tentaram emplacar há dez anos

O crescimento do movimento BYOD (do inglês Bring Your Own Device), que

permite que funcionários levem dispositivos móveis pessoais para o ambiente

corporativo, promete reativar o NAC (Network-Acess Control) ou controle de rede de

acesso baseado em políticas de segurança que surgiu há dez anos, mas que não pegou

porque os sistemas de gerenciamento dos terminais não estavam tão avançados.

Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones e

smartphones Android para fins comerciais, vai estimular o renascimento do NAC.

Segundo a consultoria, o momento é ideal para o resurgimento desse conceito por causa

da necessidade de abraçar a consumerização com medidas de segurança.

Quando o NAC surgiu lá atrás, ele deveria ser amplamente adotado pelos

empregados e visitantes cada vez que precisassem acessar à rede corporativa. Seu papel

era verificar se o equipamento do usuário estava protegido e checar se antivírus e

patches de segurança estavam atualizados antes de permitir a entrada no ambiente. Mas

apesar de ter se apresentado como uma tecnologia respeitada, o conceito não ganhou

muita adesão.

Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC

começou há cerca de 10 anos, com aprovação modesta, principalmente por instituições

financeiras e universidades para garantir a segurança de sistemas críticos. Agora o NAC

promete deslanchar casado com outra sigla que está se tornando conhecida no mundo

11 Disponível em http://computerworld.uol.com.br/tecnologia/2012/05/09/byod-resgata-conceito-de-controle-de-acesso-a-rede/. Acesso em 10/05/2012.


7 | P á g i n a

corporativo: Mobile Device Managment (MDM), que é o gerenciamento de dispositivos

móveis dentro das companhias.

Orans afirma que o NAC está recebendo uma segunda chance, pegando uma

carona em BYOD. Ele acredita que desta vez o conceito vai ganhar popularidade por

causa do aumento do movimento sem volta da consumerização e que aumenta as

exigências de segurança dos dispositivos móveis.

A indústria de software aposta nessa tendência. Prova disso foi o anúncio esta

semana da primeira integradora de NAC/MDM que é a FiberLink, que vai prover o

gerenciamento de dispositivos na nuvem em parceria com a ForeScout, baseadas nas

duas tecnologias.

De acordo com Scott Gordon, vice-presidente de marketing mundial da

ForeScout, qualquer pessoa com a solução MDM FiberLink será capaz de exercer

controles NAC para a Apple iOS ou dispositivos Android da Google.

A consultoria Ovum estima existir atualmente cerca de 70 fornecedores de

soluções de MDM de diferentes tipos que estão olhando para NAC. A união das duas

tecnologias oferece algumas vantagens, diz Orans, pois permite que gerentes de TI

estabeleçam políticas de controles para BYOD.

A FiberLink e ForeScout afirmam que sua abordagem para BYOD permite uma

política de que isola os dispositivos de propriedade pessoal em uma zona de acesso

restrito, onde os usuários podem acessar um conjunto de dados e aplicativos de forma

segura.

Os funcionários podem encontrar vantagens nos controles NAC/MDM, completa

Neil Florio, vice-presidente de marketing da FiberLink. Ambos permitem configurações

de privacidade. "Hoje os empregados têm medo de que a gestão de dispositivos permita

visualizar informações pessoais de seus aparelhos. Mas uma organização de TI pode

estabelecer políticas de não olhar para os dados pessoais”, afirma.


8 | P á g i n a

UMA EM CADA QUATRO EMPRESAS TEVE

DISPOSITIVOS MÓVEIS INFECTADOS EM

201112 Índice praticamente triplicou em relação ao

ano anterior, o que indica que companhias

não estão cuidando da segurança de

smartphones como deveriam.

Pela redução de gastos, empresas são tentadas a admitir que funcionários tragam

seus próprios smartphones para a rede corporativa, assumindo riscos que não toleram

com aparelhos convencionais, como notebooks.

A conclusão parte do instituto Goode Intelligence, que em seu estudo também

confirmou a liderança do iPhone nas companhias, superando o BlackBerry no segmento

que até pouco tempo atrás dominava. O produto da Apple está em 77% das corporações,

à frente do dispositivo da RIM, com 70%, e dos smarthpones com Android, que

atingiram 65% e continuam crescendo.

Quando perguntadas se adotavam o conceito “traga seu próprio dispositivo”

(BYOD, na sigla em inglês), 71% responderam afirmativamente, e 47% admitiram que

informações sigilosos eram armazenadas neles.

Muitos dos smartphone utilizados não foram adaptados para funcionarem

seguindo as normas de segurança, apenas um em cada cinco tem softwares antivírus e

só metade criptografa os dados trocados.

Está longe de ser uma coincidência, portanto, a alta nos incidentes de

contaminação, que estavam em 7% em 2009, subiram para 9% em 2010 e alcançaram

24% ano passado.

“Os últimos três anos foram extraordinários para os dispositivos móveis e não há

sinais de arrefecimento. Smartphones e tablets estão transformando o modo como as

12 Disponível em http://idgnow.uol.com.br/ti-corporativa/2012/04/23/uma-em-cada-quatro-empresas-teve-dispositivos-moveis-infectados-em-2011/#. Acesso em 23/04/2012.


9 | P á g i n a

organizações fazem negócios e gerenciam informações”, disse Alan Goode, autor do

estudo.

É preciso ressaltar o pequeno universo aferido pela Goode Intelligence, que ouviu

apenas 130 profissionais de TI de três continentes. No entanto, tem a vantagem de se

basear nas respostas das próprias empresas em vez de fazer uma analogia com o

número de malwares identificados.

“Há uma grande questão em relação à velocidade com que os profissionais

conseguirão se capacitar para manterem-se atualizados a segurança necessária nos

dispositivos móveis e os riscos associados a eles.”

Também é difícil inferir se a alta na quantidade de pragas para smartpohnes pode

ser atribuída à pratica do BYOD, embora a pesquisa da Goode sugira uma conexão, dada

a natureza desprotegida dos sistemas móveis envolvidos.


10 | P á g i n a

ANÁLISE

Nos termos de Charles Darwin “não é o mais forte que sobrevive, nem o mais

inteligente, mas o que melhor se adapta às mudanças”, do nosso ponto vista este é o plano

de fundo que as fábricas de software devem ter quando buscarem soluções para este

cenário móvel dos indivíduos. São eles, os indivíduos, os “objetos” principais a serem

analisados quando da reflexão sobre como deverão ser as ferramentas de segurança, a

engenharia e a base técnico-teórica são posteriores.

Nossa contemporaneidade solicita um novo ponto de vista da Tecnologia da

Informação, é preciso agora se descolar do “tecnês” e aproximar-se dos comportamentos

humanos. O que esse novo homem quer? Ou melhor, o que esse novo homem sabe sobre

as possibilidades do seu querer?

Com um olhar superficial podemos arriscar que a TI rompeu as fronteiras do

acesso à informação. No que tange ao ambiente corporativo e confirmado em matéria

citada neste artigo “O usuário foi promovido a CIO e cada um tem seu micro ambiente

tecnológico”. Esse é um caminho sem volta, pois não há retrocessos na evolução das

espécies.

Tal como a Esfinge, a Mobilidade parece tomar feições de enigma por conta de

sua variabilidade e diversidade, aqui muito mais do que cabeça de mulher, corpo de leão

e asas de águia.

decifra-me ou te devoro: mobilidade e a segurança da informação

Documents