BYOD e armazenamento na nuvem: como minimizar os riscos

O Dropbox conquistou manchetes em todo o mundo quando o site Gawker.com relatou que um hacker não identificado entrou na conta do Hotmail de Mitt Romney, empresário e político norte-americano. Ele acessava o Dropbox com a mesma senha, com associações ao candidato à presidência do Partido Republicano nos Estados Unidos.

O acontecimento reforçou decisão tomada pela IBM no mês passado de adotar uma política de BYOD (traga seu próprio dispositivo), que proíbe o uso do DropBox. A CIO da IBM, Jeanette Horan, teme que o serviço baseado em nuvem seja terreno fértil para a exposição de informação confidencial da empresa.

Exemplos como esses mostram possíveis riscos associados ao BYOD e ao armazenamento de serviços em nuvem e que podem levar a uma potencial perda de dados da empresa. E não apenas o DropBox tem essa fragilidade, segundo os especialistas. Há um número crescente de serviços de cloud computing em que é possível filtrar os dados, como Box.net, Carbonite, Google Drive, Mozy, SugarSync, YouSendIt e iCloud, da Apple.

“A IBM tem um programa global de BYOD e somente bloqueou o Evernote e o DropBox, já que descobriu que dados sensíveis estavam sendo enviados para esses serviços”, afirma Dion Hinchcliffe, vice-presidente-executivo de estratégia da consultoria Dachis Group. “Então, eles decidiram bloquear o acesso a aplicações de armazenamento na nuvem.”

Hinchcliffe acrescenta que o uso de aplicações móveis é outro grande desafio no mundo dos negócios, mas as empresas estão atentas a questão. Ele sugere que todas as companhias tenham uma política de “ponto de ônibus”. Ele explica. Se um funcionário não se sente confortável em deixar as informações da empresa no “ponto de ônibus” não estaria disposto a armazená-las em uma nuvem pública não autorizada. O executivo reforça que embora a maioria das empresas tenha uma política de BYOD, esquece das aplicações que estão nos dispositivos móveis.

“Data centers que oferecem serviços de cloud estão se tornando alvos de ataques de alto valor”, diz Hinchliffe. “Lembre-se:  90% dos roubos de dados são causados por alguém de dentro da empresa. Portanto, é um ambiente tentador”, afirma. 

David Malcolm, chefe de segurança da informação da rede de hotéis Hyatt, diz que está ciente de que os funcionários usam serviços de armazenamento em nuvem nos dispositivos móveis.

Ele aponta, por exemplo, que os funcionários costumam usar as mesmas senhas para vários sistemas, incluindo seus próprios dispositivos e serviços baseados web. Isso significa que se um serviço online de armazenamento em nuvem é hackeado, o sistema de e-mail do Hyatt também pode estar em risco.

A rede hoteleira está sondando as estações de trabalho de empregados para ver se eles contam com aplicações em nuvem, como o DropBox, e que tipo de informação é armazenada lá. “Estamos começando a lidar com esse cenário para dar a eles um serviço corporativo adequado para armazenamento na nuvem”, assinala.
 
O serviço de troca de conteúdo SkyDox divulgou uma pesquisa mostrando que mais da metade de todos os empregados não informam aos departamentos de TI sobre o uso de plataformas para armazenar documentos corporativos. A pesquisa realizada com mais de 4 mil profissionais mostrou que 77%  fs precisam de acesso aos documentos de trabalho fora do escritório, especialmente aqueles que atuam em setores financeiro (89%), serviços profissionais (96%) e saúde (70%).

Para garantir o acesso, 66% dos funcionários estão usando uma plataforma de compartilhamento de arquivos gratuito, a fim de armazenar ou compartilhar documentos da empresa. Essa porcentagem aumenta para 87% no setor de serviços profissionais e 84% em serviços financeiros. Daqueles que usam plataformas de compartilhamento de arquivos, 55% não notificam o departamento de TI.
 
A pesquisa também revelou que 80% dos entrevistados usam seus próprios dispositivos móveis para trabalhar. Aqueles que atuam em serviços profissionais (92%), serviços financeiros (86%) e saúde (84%) são mais propensos a adotar o BYOD. Um dos motivos que faz o funcionários usar serviços para armazenar dados de negócios na nuvem é porque a companhia não oferece outra alternativa.

“A companhia pode usar plataforma de gerenciamento de dispositivos móveis para ajudar a bloquear essas aplicações”, ensina Hinchcliffe. “Outra ação mais eficaz é dar aos funcionários as aplicações de que eles precisam. Algumas organizações são agressivas na implementação do Box.net para que as pessoas não usem Evernote e DropBox, que são considerados menos seguros” .

Sobre o BYOD, o Hyatt tem políticas rígidas. A empresa exige, por exemplo, que todos os funcionários registrem seus dispositivos móveis, e não esconde o fato de que apagará remotamente todos os dados a partir de qualquer dispositivo se ele tiver sido perdido ou roubado. Além disso, o empregado não pode armazenar qualquer informação confidencial fora do firewall corporativo. “Nós não somos tão ingênuos a ponto de acreditar que a política é a única resposta e não precisa de tecnologia por trás para nos ajudar a aplicá-las”, acrescenta Malcolm.

O executivo espera impulsionar o uso corporativo do Microsoft SharePoint para compartilhamento de conteúdo, mas reconhece que o sistema não é o mais fácil de usar em um iPad. “É por isso que eles ficam tentados em usar o DropBox, que é totalmente fácil e acessível para o consumidor”, diz. “Se conseguirmos encontrar um serviço como o Box.net que ajude a reduzir alguma responsabilidade com termos termos contratuais adequados, gostaríamos de oferecer aos nossos usuários.”

Malcolm acredita que os tempos de uma senha composta por apenas uma palavra acabaram. Ele espera criar uma política em que os funcionários usem frases secretas e frases que sejam fáceis de lembrar. “Então, em vez de alterá-las a cada 90 dias, talvez eles possam mudá-las a cada seis meses ou ano”, observa. “Em última análise, gostaria de ter cartões RFID ou biometria, com apenas um PIN de quatro dígitos, que possam ser combinados aos cartões de impressões digitais para possibilitar acesso aos nossos sistemas.”