Os mensageiros, a criptografia e os riscos para as empresas

CIOs têm lutado contra a Shadow IT há anos, muito antes dos mensageiros como o WhatsApp e o Facebook Messenger invadirem as empresas. Agora dão dicas sobre como evitar problemas

Author Photo
9:11 am - 24 de setembro de 2016

Na luta contra a Shadow IT, os CIOs têm enfrentado os mais
significativos desafios. Entre eles, os problemas decorrentes do uso
intensivo dos modernos aplicativos de mensagens.A popularidade de
aplicativos como WhatsApp, Facebook Messenger, iMessage e Google
Hangouts tem, em muitos casos, levado a uma abordagem de TI mais abertas
a ferramentas de comunicação concebidas para uso no mercado de consumo
também no mundo corporativo.

Ao permitir o BYOD, é quase certo que vários aplicativos de mensagens
populares também entrem em jogo. E a responsabilidade pelo uso recai,
em parte, sobre o CIO e a equipe de TI. É deles a tarefa de mitigar
potenciais problemas gerados pelo uso descuidado de tais aplicativos de
trabalho, de acordo com Adam Preset, diretor de pesquisa do Gartner.
CIOs devem compreender que os aplicativos de mensagens podem aumentar a
eficiência da equipe, mas também ameácar suas organizações. Por isso
preciso orientar a escolha e o uso mais seguros, diz ele.

Felizmente para
os CIOs, a segurança tornou-se uma prioridade para muitas das empresas
que fazem uso intesivo desses aplicativos. O WhatsApp, que tem mais de
um bilhão de usuários ativos mensais (MAU), adotou a criptografia
ponta-a-ponta como padrão para as mensagens desde fevereiro deste ano, e
o Facebook Messenger, que superou um bilhão de MAUs no segundo
trimestre, diz já estar testando a criptografia pnta-a-ponta. O
Telegram, que tem cerca de 100 milhões de MAUs, gaba-se de ser uma
alternativa “mais segura” para “mensageiros do mercado de massa. E o
Google também adotou a criptografia ponta-a-ponta para seu aplicativo de
vídeo-chamada lançado recentemente, o Duo, bem como e planeja fazer o
mesmo para o próximo aplicativo de mensagens, o Allo.

Muitos CIOs reagiram favolravelmente ao uso dos protocolos de
criptografia nesses aplicativos de mensagens, mas suas preocupações não
deveriam se limitar ao  “envio” e “recebimento” de mensagens seguras.
“Os termos e condições dos aplicativos de consumo não favorecem o seu
uso por empresas. No melhor dos casos, a informação transmitida dentro
desses aplicativos é propriedade do indivíduo”, diz  Preset. Mas esses
CIos não podem esquecer que a ausência de ferramentas de controle os
torna “dependentes dos proprietários dos disporitivos para administrar
grupos, por exemplo. O que pode significar que dados sensíveis podem
estar  acessíveis a pessoas erradas.”

Lapsos de segurança e vulnerabilidades da rede são outras fontes de
preocupação quando se trata de aplicativos de mensagens criados para o
mercado de consumo, de acordo com Josh Lesavoy, CIO da Nextiva, um
fornecedor de VoIP. “Nós não temos controle sobre o que está sendo
discutido e compartilhado nesses aplicativos, bem como quem pode invadir
o dispositivo onde está instaldo e acessar as informações”, diz ele. “A
segurança será sempre uma preocupação enorme, mas temos tido uma
abordagem mais positiva para educar nossa equipe sobre o uso correto de
aplicativos de mensagens.”

appsmesnagens

Trabalhadores mais cautelosos
Lesavoy tenta limitar o
impacto negativo potencial dos mensageiros mais populares, reforçando a
necessidade dos funcionários estarem mais conscientes da importância da
informação que compartilham e armazenam usando esses aplicativos. Os
trabalhadores também tendem a ser mais cautelosos quando sabem que seus
departamentos de TI monitoram o uso de aplicativos de mensagens, diz
ele. “Quando [os funcionários] têm uma compreensão clara dos impactos
destas aplicações para toda a organização, descobrimos que eles são mais
cuidadosos.”

CIOs devem tentar avaliar a frequência com que aplicativos de
mensagens são usados ​​em suas organizações. “Mesmo um pouco de
informação quantitativa é melhor do que nenhuma informação e suposições
ruins”, diz ele.

Uma vez que os líderes de TI entendam os motivos que levam os
funcionários a usar determinadas aplicações, eles podem começar a
cultivar uma cultura organizacional baseada em diretrizes capazes de
promover um comportamento responsável. Entre outros pontos, é preciso
atualizar as políticas de comunicação,  lembrar os trabalhadores onde as
conversas confidenciais devem ocorrer e prestar especial atenção aos
grupos ou indivíduos que gerenciam informações críticas. “A comunicação é
como a água”, diz Preset. “Flui através do caminho de menor
resistência”.

Muitos dos clientes do Gartner usam aplicativos de mensagens
populares para comunicações comerciais internas. De acordo com uma
pesquisa recente da empresa, o WhatsApp é o mais popular na empresa.
Como tal, também é alvo da maior preocupação dos profissionais de TI.

Na Nextiva, Lesavoy sabe que muitos trabalhadores da empresa usam o
Facebook Messenger e o WhatsApp, e reconhece que a equipe de TI não pode
manter o controle sobre esses aplicativos em dispositivos pessoais.  Em
vez de bloquear esses aplicativos completamente, a melhor opção, na
opinião dele, é promover as melhores práticas capazes de mitigar o risco
associado.

Do ponto de vista estratégico, visando mobilidade e competitividade, a TI deve servir ao negócio, logo, a opção de permitir
o uso desses menageiros sob certas condições e com requisitos claros de conformidade legal e
segurança da informação, parece ser um caminho sustentável.

regrasseguranca

De fato, advogados e profissionais de segurança concordam que a
primeira coisa que deve ser feita é a definição clara do escopo
de uma norma interna sobre uso de aplicativos sociais. Ela deve conter
instruções sobre procedimento de backup (para não perder a documentação
da
comunicação corporativa), nível de segurança aplicável conforme a
classificação da informação (ex: se terá que usar codificação,
criptografia ou se há restrição para uso deste canal devido ao grau de
sigilo e confidencialidade), entre outros.

Uma das alternativas é prever que o uso destes recursos é uma
prerrogativa relacionada a determinados níveis hierárquicos ou funcionais, ou
ainda que depende de uma autorização prévia acompanhada da justificativa
do negócio.

Por último, deve-se sempre reforçar o dever de cautela e sigilo
profissional de todo equalquer colaborador, inclusive dos terceirizados. E deixar claro que quando o conteúdo tiver algum tipo
sigilo legal, seja ele bancário, fiscal, judicial ou de propriedade
industrial ou intelectual, deve-se buscar usar um canal mais seguro de
comunicação, sempre!

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.