BYOD: Bring Your Own Device ou Breaking Your Own Defenses?

O significado da sigla BYOD é Bring Your Own Device (traga o seu próprio dispositivo). Com a tendência da consumerização de TI, BYOD é um conceito que se adotou para se referir aos funcionários que trazem seus próprios dispositivos de computação – como smartphones, tablets e laptops – ao local de trabalho, com disponibilidade para uso e conectividade com a rede corporativa.

Mas nada é simples. Os smartphones podem ser convertidos em armas de propagação de malware, bem como de escuta e espionagem de usuários e o significado da sigla BYOD poderia muito bem ser Breaking Your Own Defenses. 

Vejamos alguns aspectos sobre os smartphones:

– São operados em ambos os lados do firewall

– Armazenam dados pessoais, bem como dados sensíveis da organização

– Geralmente estão fora do controle de IT Security

– Podem executar códigos não testados, de origem desconhecida

Diante de tais facilidades, ataques sofisticados tiram vantagens do quanto os dispositivos móveis estão integrados na vida das pessoas, bem como da combinação de recursos somente encontrados neles:

– Sempre conectados (Wi-Fi, 3G / 4G)

– Comunicação por voz

– Câmeras

– Envio e recebimento de mensagens

– GPS / Cell-ID

– Passwords

– Agenda, lista de contatos, fotos e vídeos

Sensores existentes nos dispositivos (microfones, câmeras e sinais – GPS, Wi-Fi e Bluetooth) oferecem acessos à realidade de operação da empresa, por meio da captura de imagens e sons de conversas entre executivos e outros colaboradores detentores de informações sensíveis:

– Microfones: garantem a escuta e compreensão do que está sendo verbalmente discutido, por exemplo, em reuniões do comitê executivo, da área jurídica, de estratégia de negócios e novos projetos, assuntos financeiros, etc.

– Câmeras: possibilitam a visualização e captura de imagens dos ambientes por onde circula o usuário (em ambos os lados dos firewalls), telas de computadores, senhas, listas de pessoas, etc.

– Sinais de GPS, Wi-Fi e Bluetooth: promovem o rastreamento da movimentação e da localização do usuário, podendo conhecer hábitos, estilo de vida, lugares de trabalho e de entretenimento, bem como relacionamentos – com base nas pessoas com quem o usuário se encontra.

Há grandes preocupações sobre as possibilidades de coleta de dados por meio desses sensores, até porque é difícil a detecção de ameaças em função da escassez de ferramentas que possam analisar e proteger os dispositivos em todos os níveis – chips, placas, firmware, sistemas operacionais e aplicativos. A exposição dos dados coletados através dos sensores pode levar a impactos significativos para a operação e gestão do negócio, com possíveis danos à credibilidade da organização.

Atualmente, há poucas tecnologias que fornecem segurança para todas as vulnerabilidades de dispositivos e redes móveis, sendo crítico para as organizações empregar medidas de segurança efetivas e eficazes nesse ambiente.

A espionagem pelos smartphones é algo para se preocupar, mais do que nunca. Há mais de 20 anos, não existiam smartphones. Em 2018, existem mais de 5 bilhões em todo o mundo. E, cada vez mais, os dispositivos móveis reúnem aplicações avançadas, assemelhando-se a computadores. Tanto é que vêm sendo utilizados em aplicações de negócios. Desta forma, espera-se que venham a ser os alvos de espionagem mais predominantes em um futuro bem próximo.

Essa perspectiva implica em uma série de modificações nunca pensadas antes. A preocupação com a segurança cresce entre as equipes de TI. Muitas organizações que permitem aos funcionários usarem seus próprios dispositivos móveis no trabalho implementam uma política de segurança para BYOD, especificando claramente a posição da empresa em relação ao tema e direcionando a área de TI para gerenciar esses dispositivos e garantir que a segurança da rede não seja comprometida.

Por exemplo: pode haver a exigência de que esses dispositivos sejam configurados com senhas, a proibição de que determinados tipos de aplicativos sejam instalados no dispositivo ou a exigência de que todos os dados no dispositivo sejam criptografados.

Outras iniciativas da política de segurança podem incluir atividades limitantes aos funcionários que estão autorizados a usar esses dispositivos no trabalho (ex: o uso de e-mail limitado a contas de e-mail corporativo apenas) e periódica auditoria para garantir que o dispositivo esteja em conformidade com a política de segurança BYOD da empresa. Por tanto, antes de levar seus próprios dispositivos de computação para o trabalho, esteja preparado!

(*) Celso Leite é consultor de Segurança da Arcon