BYOD: como manter a segurança empresarial
Se você ainda não implementou um programa de traga seu próprio dispositivo (BYOD, na sigla em inglês), a probabilidade é de que você o faça em breve. Segundo estudo realizado pela Juniper Research, mais de um bilhão de trabalhadores irá utilizar seus próprios smartphones ou tablets para executar tarefas corporativas até 2018.
A tendência de empregados usando dispositivos pessoais no trabalho ganha popularidade por diversas razões, mas vamos focar em uma delas: consumidores tendem a atualizar seus dispositivos muito antes do que costuma fazer uma empresa. Por um lado, isso é bom porque os funcionários não estarão trabalhando com ferramentas e sistemas operacionais ultrapassados ou inseguros. Em geral, companhias que aderem à prática do BYOD estão reduzindo custos com ativos de TI, melhorando a produtividade e alegrando os funcionários.
Entretanto, conforme os dispositivos pessoais ganham mais acesso a dados corporativos, seja por meio de e-mails, software ou arquivos armazenados em nuvem, a segurança passa a ser uma preocupação relevante. Um exemplo são as trocas frequentes de smartphones, que demandam uma política de descarte de ativos (ITAD, na sigla em inglês), caso o dispositivo vá ser vendido, trocado ou inutilizado.
Os consumidores possuem uma série de opções para vender seus telefones ou tablets usados. Mas é responsabilidade empresarial garantir que o equipamento seja reutilizado, e ainda aproveitar a possibilidade de o funcionário abater o dinheiro utilizar eventual venda na compra de um aparelho mais atual.
Contudo, esse cenário pode não ser o melhor para os negócios. Robert Siciliano, consultor da McAfee e especialista em roubo de identidades, realizou um estudo em que 30 dispositivos foram comprados na internet, entre smartphones, tablets, laptops, desktops e netbooks, e foi constatado que, em mais da metade deles, continham informações pessoais, mesmo quando os vendedores acreditavam ter removido os dados. E se isso não fosse ruim o bastante, os relatórios mostram que um especialista demora menos de três minutos para extrair essas informações, realizando um esforço mínimo. Entre as diversas possibilidades de dados que podem ser recuperados estão senhas e logins de internet.
E os problemas não estão limitados à troca ou venda de um telefone. Também é provável que funcionários que estejam usando seus próprios dispositivos irão, em algum momento, arranjar um emprego na concorrência ou então perder o seu dispositivo. Neste caso, o que fazer?
Antes de assumir que você cobriu todas as suas bases, tenha certeza que a sua política de descarte de ativos previne estes problemas:
1 – Falta de claridade na política
É preciso educar os funcionários de acordo com a sua estratégia, política e procedimentos para usar o próprio dispositivo. Uma comunicação clara é essencial para a cooperação. Não apenas as pessoas que irão usar dispositivos pessoais precisam entender as restrições de uso, tal como usar um dispositivo jail-broken, mas elas também precisam saber o que se espera delas em várias circunstâncias como políticas de viagem, roubo, danos, trocas ou saída da companhia.
Listar todos os tipos de dispositivos cobertos e opções de descarte. Mesmo que restringir a lista de dispositivos cobertos possa facilitar para que o setor de TI forneça suporte, não seja tão restritivo. Isso vai contra tudo o que pede uma implantação de BYOD, que é oferecer conveniência e produtividade, e irá forçar os funcionários ludibriar o setor de TI. Um escopo muito estreito também poderia forçar você a sempre ‘pular de galho em galho’ para adicionar novos dispositivos cobertos à lista, resultando em uma política que estaria sendo ajustada constantemente.
2 – Falta de clareza nas opções de descarte
É preciso listar o contato dos vendedores e opções de descarte sobre cada dispositivo dentro da política empresarial para deixar as possibilidades claras para o funcionário.
Dois métodos de descarte comuns envolvem funcionários vendendo ou trocando os dispositivos por conta própria (seguindo instruções específicas de descarte do fornecedor) ou – quando políticas mais restritivas são aplicadas – os funcionários consultam seus departamentos de TI com um processo de descarte já em andamento. É altamente recomendado que alguém da TI pegue o telefone para descartar, assim eles podem inspecionar e instalar funções de segurança apropriadas no novo telefone. Esse processo não será apenas mais conveniente para o funcionário, mas poderá garantir complacência com os processos de segurança de dados interno.
3 – Falta de diligência adequada
Muitos requisitos de segurança focam em dispositivos em funcionamento, mas a segurança deve ser levada a sério independente do dispositivo estar em uso ou não. Opções de descarte nunca devem ser deixadas exclusivamente para o funcionário
Quando está decidindo com qual vendedor fazer uma parceria para um programa de descarte, use o mesmo nível de esforço que é usado na hora de escolher um fornecedor para gerenciar sua segurança na nuvem. Requisitos de segurança devem incluir destruição onsite e offsite, transporte seguro e outras opções para limpeza e/ou desmagnetização.
4 – Falta de políticas de aplicação
Os dois lados de possuir um plano forte de comunicação no lugar que transmite restrições está definindo as repercussões para aqueles que não seguem políticas. Um funcionário ignorando as regras BYOD pode levar a um dano corporativo devastador. As consequências por violar políticas precisam estar definidas de forma clara para todos os funcionários.
A chave para o sucesso com a segurança de dispositivos BYOD é identificar tendências e ‘pular da onda’ antes que o desastre aconteça. Você não irá lamentar por gastar um tempo extra para fazer a diligência apropriada.
