Gartner recomenda práticas de segurança em dispositivos móveis

Os usuários de dispositivos móveis não são tão tolerantes com o uso de mecanismos de proteção e segurança de dados em comparação com seu comportamento em PCs. E desde que o BYOD deixou de ser uma tendência e passou a ser uma realidade corporativa, criou-se uma preocupação ainda maior para os CIOs. As ameaças a smartphones e tablets aumentaram e, com elas, a vulnerabilidade de dados e informações importantes.

E para barrar essa falha na segurança, cerca de 30% das organizações vão recorrer à autenticação biométrica em dispositivos móveis até 2016, estima o Gartner. Atualmente, apenas 5% utilizam o mecanismo para proteger informações em smartphones e tablets.

Por isso, os especialistas da consultoria apontam algumas recomendações para reforçar a proteção desses dispositivos:

– Adoção de uma política de senha eficaz: a profusão de um número maior de dispositivos agravou a exposição de informações, uma vez que notebooks, tablets e smatphones acabam acessando as mesmas aplicações e dados críticos, no entanto, sem os mesmos níveis de segurança. Segundo o Gartner, a implementação políticas padrão de senhas ?power-on? tornou-se mais complexa para que o BYOD fosse aceito nas empresas.

Por outro lado, exigir senhas mais complexas pode ser um problema na hora em que o usuário vai digitar os caracteres no dispositivo. Mesmo assim, considerando que esses equipamentos possuem acesso a fontes de informações como o email corporativo, implementar o uso de uma senha de quatro caracteres apenas não é o suficiente. O Gartner recomenda, no mínimo, uma política de senha que exija pelo menos seis caracteres alfanuméricos, proibindo o uso de palavras do dicionário, seja aplicada em dispositivos com acesso a informações corporativas via ferramentas gerenciamento de dispositivos móveis (MDM).

– Método de autenticação somado a técnicas para ?limpar? o dispositivo: é comum organizações utilizarem controles que possibilitem ?limpar? um dispositivo após um número limitado de tentativas de entradas de senhas incorretas quando o mesmo é roubado ou perdido. Essa prática, contudo, não combate todos os riscos, explica John Girard, vice-presidente e analista do Gartner, pois “não mitiga totalmente o risco porque a memória de estado sólido é quase impossível de ser substituída”.

A recomendação é usar a criptografia que não está vinculada à autenticação power-on primária, ou seja, a senha não pode ser recuperada a partir do dispositivo após a operação que ?limpou? o aparelho, ressalta o especialista. Ele também recomenda que um novo método de autenticação ? no mínimo, uma outra senha ? seja usada para acessar aplicativos corporativos e dados sensíveis. Assim, mesmo que um hacker viole as defesas power-on, cada app adicional ou armazenamento de dados apresentará um desafio diferente que, em conjunto, representa outro obstáculo.

– Opções biométricas e conscientização: o Gartner também recomenda que os gestores de segurança avaliem bem os métodos de autenticação biométrica que exigem autenticação de segurança mais elevada, como interatividade com interface, reconhecimento de voz, topografia facial e estrutura da íris. Utilizados em conjunto com senhas eles são capazes de proporcionar a autenticação de confiabilidade mais elevada, sem que seja necessária qualquer alteração significativa no comportamento do usuário.

Considerando que o próprio dispositivo móvel oferece grande quantidade de dados contextuais relevantes sobre a identidade dos usuários, essa informação também pode ser aproveitada para aumentar a confiança na identidade reivindicada. A combinação entre autenticação biométrica e autenticação contextual provê garantias suficientes em cenários de médio risco, sem que seja necessário instaurar eventos de autenticação de porta de entrada usando senhas ou tokens.

Ao planejar uma política de autenticação para dispositivos móveis é fundamental considerar a responsabilidade da organização e seus usuários. O analista avalia que adotar diferentes métodos de autenticação não contribui para que a política seja sustentável. “Métodos de autenticação aptos ao mobile também devem ser aptos aos PCs. Combinações de credenciais X.509 no ponto final, modos de autenticação biométricos de baixo atrito e autenticação contextual provavelmente vão dar conta”, recomenda.