Home  >  Plataformas

BYOD: quatro formas para proteger as aplicações corporativas

Para prover a segurança necessária, empresas que pretendem abraçar esse movimento devem revisar as políticas e traçar um plano estratégico para mobilidade.

Eric Vanderburg

09/05/2014 às 9h23

Foto:

O fenômeno BYOD (Bring Your Own Device) obriga a TI a garantir postos de
trabalho com um nível aceitável de segurança. Mas como cobrir a maioria dos
riscos, dada a vasta gama de dispositivos utilizados e ao fato de você não
ter controle da ponta, onde os acessos iniciam?

Para prover a segurança necessária, empresas que pretendem abraçar uma estratégia
de BYOD precisam abordar quatro áreas principais: 1) a normalização do serviço,
e não do dispositivo, 2 ) métodos comuns de entrega, 3) controles de acesso
inteligentes e 4) contenção de dados.

1. Padronização de serviço
A padronização é necessária para que seja possível implementar um conjunto de
controles de segurança consistente em diferentes plataformas, proporcionando o
mesmo nível de serviço. A falta de compatibilidade com os controles de
segurança pode negar acesso a usuários legítimos e prejudicar a produtividade.
Resolver esse problema adicionando mais métodos de acesso pode resultar em um
nível de segurança mais fraco e tornar o ambiente mais difícil de gerir. Em vez
disso, as empresas podem dar aos usuários o serviço que esperam através de
tecnologias de virtualização de desktop, de aplicações, e conexões do tipo
terminal service.

Os desktops virtuais estão hospedados em servidores remotos, emulando um
desktop para fornecer acesso a serviços de TI, incluindo aplicações e
ferramentas que os usuários precisam para fazer o seu trabalho. Enquanto
puderem se conectar ao servidor, os usuários poderão acessar sua área de
trabalho virtual.

Através da virtualização da aplicação, o software é transmitido de um
servidor para o dispositivo do usuário final, permitindo que ele acesse seus
principais aplicativos de negócios a partir de uma ampla variedade de
dispositivos. A virtualização da aplicação não requer instalação de software e
aplicativos podem ser atualizados a partir do servidor. Em alguns casos, a
aplicação pode ser armazenada no dispositivo, de modo a funcionar mesmo sem a
conexão ao servidor.

As duas opções de virtualização usam conexões do tipo terminal service para
acessar o desktop remoto virtual ou a aplicação, mas o terminal service também
pode ser usado sozinho para fornecer acesso consistente aos serviços de TI como na virtualização de desktops. Ela difere de virtualização de
desktops, no entanto, já  que os aplicativos são executados no sistema
operacional do servidor em vez de em um ambiente virtualizado. Terminal
Services são limitados nos serviços que podem oferecer, porque nem todas as
aplicações suportam o acesso e algumas podem se comportar de forma diferente em
um terminal e em um desktop virtual.

Todas essas soluções têm modelos de segurança maduros o suficiente para
serem usadas a contento. De alguma forma, essas ferramentas devolvem o controle
dos dispositivos dos usuários finais para os profissionais de segurança.
Restrições podem ser colocados nos sistemas dos dispositivos móveis para que os
usuários não possam instalar outras aplicações, nem mudar o sistema para
introduzir vulnerabilidades. Uma vez que toda a atividade é realizada
remotamente, não importa o que os funcionários possam fazer no dispositivo. E
tanto a solução terminal service quanto as ferramentas de virtualização tornam
mais fácil restaurar a máquina do usuário, resultando em menor impacto sobre a
produtividade e em redução dos custos de suporte.

Advertências: a adoção de virtualização e/ou de terminal service desloca uma
parte das despesas com o equipamento do usuário final para o data center,
reduzindo as economias atribuídas ao BYOD. E as duas soluções aumentam o
impacto da perda de link, com perda de conectividade impedindo grandemente a
produtividade dos funcionários.

Portanto, essas soluções podem ter custo proibitivo para pequenas empresas.
No entanto, o modelo de cloud computing pode oferecer a essas pequenas empresas
a oportunidade de usar tais serviços. Mas a segurança dessas soluções exige uma
fiscalização séria.

2. Métodos comuns de entrega
Um método de entrega comum pode ajudar muito a levar conteúdo para uma
infinidade de dispositivos, evitando o custo de suporte para vários serviços
sob medida, dependendo do dispositivo. Uma coisa que a maioria dos dispositivos
tem em comum é o seu suporte a HTTP e SSL. Aplicativos baseados na Web estão
sendo usados ​​para levar o conteúdo para os empregados, não importa o sistema
que usem. Além disso, regras de firewall podem ser simplificadas quando os serviços
são executados através de SSL.

Por exemplo, L2TP, PPTP ou IPSec VPNs podem ser substituídos pelo protocolo
SSTP (Secure Sockets Tunneling Protocol). Telefones, tablets, PCs e Macs podem
usar SSTP para ter um acesso garantido e auditado, economizando dinheiro e
reduzindo possíveis vetores de ataque. Se soluções de virtualização ou de
terminal service forem utilizadas, o tráfego pode ser encapsulado em SSL.

O conceito de entrega comum pode ser estendido para compartilhamentos de
rede através de repositórios na Web, que podem ser acessados ​​de qualquer
lugar. Além de sua acessibilidade, os repositórios Web oferecerem recursos de
auditoria adicionais sobre compartilhamentos de rede e capacidade de utilizar
metadados para pesquisa, mineração de dados e inteligência de negócios.

Da mesma forma, outras aplicações baseadas na Web, como Salesforce ou
Outlook Web Access, tornam ferramentas chave de negócios disponíveis, quando e
onde forem necessárias, até mesmo em dispositivos pessoais. A experiência do
usuário pode variar dependendo do navegador utilizado, especialmente para
usuários de dispositivos móveis com telas menores ou usuários de tablet, para
os quais faltam recursos como o Flash, mas aplicativos baseados na Web já estão
acessíveis a partir da grande maioria de dispositivos móveis.

3. Controles de acesso inteligentes
O uso de métodos de entrega comuns torna os dados, anteriormente escondidos
atrás de muitas camadas de segurança, mais acessíveis aos usuários e apetitosos
para os atacantes. É necessário, portanto, o uso de controles de acesso mais
inteligentes.

Normalmente, decisões de controle de acesso são baseadas em função do
usuário ou, em alguns casos, em função do tempo de acesso ou de designações de
máquinas. As funções que os usuários podem executar são mapeadas e definidas
para grupos com permissão a determinados recursos. Assim, um contador pode ter
acesso a dados financeiros, mas não aos dados dos clientes. Controles baseados
no tempo podem restringir o acesso a esses dados financeiros apenas durante o
horário comercial e a designação de máquinas listar os dispositivos que terão
acesso permitido ou negado.

Fatores adicionais de controle de acesso, incluindo o tipo do dispositivo, o
perfil de NAC, e até dados de geolocalização podem ser usados para tomar
decisões mais informadas de controle de acesso em um ambiente BYOD. Com
restrições do tipo de dispositivo, alguns dados podem ser acessados ​​apenas em
dispositivos aprovados, tais como laptops fornecidos pela empresa e terem
acesso restrito em telefones celulares. O perfil de NAC pode também desempenhar
um papel nas decisões de acesso. O acesso pode ser negado a dispositivos que
não tenham as últimas definições de vírus ou níveis de patch.

Por último, os recursos de geolocalização que relatam posição global de um
dispositivo estão disponíveis em muitos dispositivos novos e isso permite que
os sistemas de controle de acesso concedam ou neguem acesso com base no local
onde o dispositivo está sendo usado. Isto é especialmente importante no
cumprimento dos regulamentos que estipulam dados que podem ser acessados fora
do país ou serem tratados de maneira diferente para determinados países ou
estados. No entanto, não é totalmente confiável, pois os dados de
geolocalização podem ser modificados pelo usuário em seu dispositivo.

Se BYOD está em seus planos, considere a adoção de aplicações que suportam
alguns desses controles de acesso.

4. Contenção de dados
É quase certo que existam dados corporativos em dispositivos pessoais em uso nas
organizações que já adotaram o BYOD. Esta é uma preocupação para as empresas e
para os indivíduos. E determina a importância do uso de sistemas de contenção
de dados.

As empresas correm o risco de perda ou vazamento de dados se os dispositivos
pessoais forem compartilhados, comprometidos ou roubados e indivíduos se
preocupam com o fato de a presença de dados corporativos confidenciais em seus
dispositivos resultarem em delitos involuntários, se esses dados tiverem algum
tipo de proteção legal.

O melhor método é assegurar que os dados da empresa não
residam no equipamento pessoal.

Defensores da virtualização de servidores argumentam que a contenção de
dados é gerida de forma eficaz quando o acesso é através de um servidor ou de
um terminal virtual porque os dados acessados pelo usuário ficam em uma máquina
que reside dentro da rede corporativa. No entanto, mesmo com desktops virtuais,
os dados são, por vezes, acessados através de outros canais, como telefones
móveis e aplicações web.

A combinação de criptografia no dispositivo e de tecnologias de limpeza
remota fornece um nível de segurança que assegura que os dados sejam apagados
antes de serem roubados. Dispositivos criptografados aumentam a quantidade de
tempo e esforço necessário para obter as informações armazenadas no dispositivo,
dando às organizações tempo para apagar dados remotamente. Os dispositivos
podem também ser configurados para apagar todos os dados se uma senha incorreta
for usada muitas vezes.

O DRM (digital rights management), por sua vez, descobriu um novo mercado no
ambiente BYOD, permitindo que os proprietários de dados especifiquem ações
aceitáveis ​​para cada tipo de dado. Por exemplo, os dados podem expirar após
24 horas após o download para o dispositivo ou podem ser lidos, mas não
modificados ou impressos, podem ou não ser copiados ou removidos.

Agora, quando a política de BYOD cruzar a sua mesa você saberá que o desafio
não é insuperável.

Deixe uma resposta