A TI deve confiar nos dispositivos móveis?

A maioria das equipes de TI não está preparada para o desafio BYOD e, mais do que isso, não está lidando bem com esse conceito. Esta afirmação é corrobora com a nossa pesquisa de segurança móvel, que mostra que a educação e a segurança continuam a ser insuficiente e que ainda existe um descompasso permanente entre as características de gerenciamento de dispositivos móveis que considere importante e o que é de melhor interesse dos usuários finais.

Para ilustrar o quão pernicioso as políticas de BYOD podem estar erradas, aqui está uma hipotética: um trabalhador decide comprar um iPad para que, entre outras coisas, ele possa gravar e armazenar fotos e filmes de eventos importantes. Talvez ele consiga pegar os primeiros passos do seu bebê ou usar o iPad para armazenar centenas de fotos das férias da família.

Por ser um bom e pró-ativo empregado, ele resolve trazer o iPad para o trabalho com foco em utilizá-lo para apresentações de vendas e tal. A TI da empresa diz que antes de colocar todos os dados da empresa no dispositivo, mesmo que sejam informações gratuitas, ele vai precisar instalar algum software que irá impor senhas. O aplicativo irá também realizar bloqueio remoto e a limpeza do dispositivo, além de oferecer alguma proteção contra malware e fornecer atualizações de segurança.

O software vai exigir alterações de senha a cada poucos meses, fazer com que as normas mínimas para a extensão e complexidade de uso sejam cumpridas, bloquear o dispositivo após um determinado tempo e, se muitas tentativas fracassadas de senha ocorrer, limpará o dispositivo.

Agora, suponha que uma das crianças do empregado tem acesso a jogos no iPad, e acaba por exceder o número de tentativas de senhas, consequentemente todas as informações do dispositivo serão apagadas. Esqueça os primeiros passos do bebê, o recital de piano e as fotos de família. Tudo será apagado. O empregado teve a melhor das intenções de backups icloud, mas o empregado lívido fica com um dispositivo em branco.

Embora a tecnologia possa desempenhar um papel de proteção da empresa, deixando os funcionários usarem os seus próprios dispositivos para fins comerciais, a maioria das equipes de TI está criando um conjunto insano de regras para nenhuma razão aparente. Esse mesmo funcionário poderia ter enviado a apresentação de vendas, que provavelmente não são criptografadas ou protegidas por senha, a sua conta do Gmail, carregado algumas fotos de produtos para o Dropbox sem envolvimento de TI. E muitas vezes há incentivo para os funcionários fazer exatamente isso, porque as políticas são onerosas na melhor das hipóteses, e na pior das hipóteses absolutamente contrárias aos interesses do empregado. Se o software não pode dizer a diferença entre os dados da empresa e dados de funcionários, não tem lugar em um dispositivo de propriedade pessoal.

Além disso, o gerenciamento de dispositivos móveis como um caminho para a segurança é uma estratégia fundamentalmente falha. Você deve gerir os dados. Os dados são o que a empresa possui e são os valores da empresa. Mas, claro, gerenciamento de dados envolve o treinamento dos usuários e classificação e alguma segurança. Para muitas equipes de TI, é mais fácil usar um instrumento contundente.

Há um pouco de boas notícias em nossa pesquisa: enquanto apenas 32% dos entrevistados tiveram um programa de conscientização de segurança no local por dois ou mais anos, 18% foram recentemente adicionados um, e um adicional de 25% dizem que vai ter um no lugar nos próximos 12 meses. Abundância de serviços baseados em nuvem de backup pode adicionar uma camada de proteção tanto para a empresa quanto para os dados pessoais; fizemos recentemente um apanhado de 13 fornecedores.

Nenhum usuário dúvida representa um risco de segurança, mas eles também são a sua primeira linha de defesa. Explicar como proteger os dados corporativos pode ajudar a protegê-los, bem como, se seu smartphone é roubado, eles podem querer a bombardeá-lo. Mas pelo amor de Deus, não coloque bombas-relógio no sistema de seus dispositivos.