A nova regulação da União Europeia responsabiliza qualquer empresa ou indivíduo pela proteção dos dados guardados do usuário, incluindo terceiros, tais como fornecedores de serviços em nuvem. Enquanto espera-se que seja implementada em 2017, vários países estão saindo na frente e já estão emitindo seus próprios regulamentos. A Federal German Data Protection Act, por sua vez, também aprovou diretrizes sobre como os dados da empresa devem ser armazenados, utilizados ??e acessados ??a partir de dispositivos privados.

Como os dispositivos móveis são muito vulneráveis, adotar uma única abordagem de segurança não é o suficiente. Especialistas discutem se estas medidas devem ser aplicadas no nível do dispositivo, do aplicativo ou dos dados, mas, no entanto, uma abordagem prudente e aconselhável é aplicar uma combinação de técnicas em todos os três níveis para manter os dados seguros.

Aqui incluímos oito procedimentos para manter seus dados móveis corporativos seguros:

1 - Autenticação multifator – O uso de uma combinação entre nome de usuário e senha é considerado uma autenticação de um único fator e não é suficientemente forte. A autenticação de múltiplos fatores envolve três fatores comuns de autenticação: algo que você sabe (por exemplo, senha, PIN), algo que você tem (por exemplo, cartão inteligente, certificado digital), e algo que você é (por exemplo, impressão digital, padrão de retina).

2 - Direitos de usuário baseados no tempo e na  localização – Podem ser definidos com base no dia da semana, ou na hora baseada em horários de trabalho estabelecidos. Quanto mais específicas forem as autorizações de segurança menor será a probabilidade de que um hacker obtenha acesso. E nos casos em que ocorre uma invasão, o dano pode ser limitado. As autorizações de usuário devem variar dependendo de onde os dados aparecem. Por exemplo, um vendedor pode ter permissão para editar a descrição do produto em uma fatura para seu cliente, mas não em um catálogo de produtos online usado por todos os funcionários.

3 - Criar repositório de apps – Os repositórios de aplicativos aprimoram significativamente a segurança ao criar um espaço de trabalho corporativo no dispositivo móvel, independentemente de ser de propriedade da empresa ou do funcionário, e para todas as plataformas móveis suportadas. Os usuários autorizados obtêm acesso aos dados e aplicativos corporativos com segurança empresarial e integração profunda com o gerenciamento de direitos de usuário, incluindo as tecnologias de autenticação de usuários incorporadas.

4 - Criptografar dados em stand-by e dados em trânsito – Os aplicativos off-line geralmente armazenam os dados necessários no dispositivo, deixando informações em stand-by expostas a invasores. Criptografar esses dados pode minimizar o risco. Pessoas mal-intencionadas podem interceptar e monitorar dados expostos através da Internet. Ao proteger a transmissão online de dados, recomenda-se usar mais de um tipo de algoritmo de criptografia. A criptografia simétrica é rápida e fácil de usar e consome muito pouco processador, enquanto a criptografia assimétrica é computacionalmente muito mais cara e, no entanto, mais lenta. Ao combinar o uso de criptografia assimétrica para criptografar a chave e enviá-la ao longo das extremidades e, então, descriptografar o resto dos dados usando a eficiência de chaves simétricas rápidas e fáceis, os níveis de alta segurança são alcançados.

5 - Implementar o Gerenciamento de Dispositivos Móveis (MDM) – Uma plataforma de MDM protege a entrega e o acesso ao conteúdo corporativo; define e reforça a política de TI; aplica limites geográficos virtuais para dispositivos; e aproveita poderosos recursos de autenticação, gerenciamento de certificados e criptografia de dados. Os recursos de monitoramento de uma solução MDM geralmente incluem monitoramento remoto, relatórios de uso e recursos que permitem rastrear e relatar qualquer parâmetro do dispositivo em tempo real e obter informações analíticas úteis sobre o uso de dispositivos móveis em toda a empresa.

O MDM possibilita o controle de dispositivos corporativos habilitados como pessoais (COPE) e dispositivos Bring Your Own Device (BYOD). Por esse motivo, o MDM precisa ser multi-plataforma. Devido à diversidade de fabricantes no mercado Android, uma solução MDM deve suportar a interoperabilidade entre fabricantes.

6 - Implementar o Gerenciamento de Aplicativos Móveis (MAM) – O recurso capacita os administradores de TI a distribuir, atualizar, gerenciar e proteger aplicativos em celulares e smartphones compartilhados, pessoais e corporativos. Um console centralizado permite gerenciar o ciclo de vida de implantação dos aplicativos no ambiente corporativo, de ponta a ponta. Os administradores podem definir políticas de privacidade e segurança com base em configurações de direitos de grupo e individuais, autenticar o acesso e impor conformidade. O MAM também permite habilitar, desativar ou restringir aplicativos de acordo com as políticas de segurança.

7 - Proteger contra vírus e ameaças – Em julho de 2014, o chefe de segurança do Google afirmou que os efeitos do malware do Android são exagerados, e que a maioria dos usuários não deve se preocupar com ele e que 99% dos usuários não se prejudicarão por ele. Em agosto de 2015 foi noticiada a  vulnerabilidade Stagefright, que permite a propagação de malware através de MMS (multimedia messaging service) não abertos no Android. Isso levou o chefe de segurança do Google a anunciar que a empresa estava providenciando a maior atualização de software coordenada da história para solucionar esses problemas de segurança.

O Android não possui autenticação de aplicativo de nível de firmware, permitindo que ocorram táticas como colisão de hash, falsificação de certificado e abuso de comunicação entre processos. Mesmo que o Google alegue que o malware no Android não seja eficaz, a maioria dos gerentes de segurança de TI ainda irão querer tomar medidas para proteger a rede contra o malware Android, mesmo se os vírus próprios possam ser raros. As soluções MDM e MAM devem instalar proteção contra malware no dispositivo que verifica e monitora o sistema de arquivos do dispositivo e os aplicativos instalados para detectar malware e vírus conhecidos. Se encontrado, o software precisa colocar em quarentena os aplicativos e arquivos infectados ou mal-intencionados no dispositivo. Os recursos básicos devem incluir a capacidade de agendar a verificação de antivírus, fazer download de atualizações de definições de vírus, configurar “listas brancas” de antivírus e executar o gerenciamento de quarentena.

8 - Exercitar procedimentos de segurança na Web – Em 2014, o tráfego global de dados móveis totalizava 2,5 exabytes por mês. No entanto, apenas cerca de 6,1% de todo o tráfego da Internet é criptografado. Em média, quase 94% de todos os dados da Internet estão expostos em trânsito! Os procedimentos de segurança para a manutenção de um servidor Web são uma parte importante da sua estratégia global de segurança móvel. Os protocolos de segurança da Web, como Secure Socket Layers (SSL) e TLS (Transport Layer Security), ajudarão a proteger os servidores e usuários móveis. Os administradores de servidores Web em suporte a sistemas móveis precisam manter os sistemas operacionais e os servidores Web atualizados com os patches e atualizações mais recentes do fabricante. Monitorar e ler todos os alertas de segurança do fornecedor e seguir as práticas recomendadas ao configurar sistemas. É recomendável ativar somente os serviços e aplicativos necessários e desativar os serviços não utilizados, remover contas mestre e contas super-administradoras desnecessárias, além de manter os direitos do usuário atualizados com base em privilégios mínimos.

Conclusão

Os dispositivos móveis e o acesso aos sistemas empresariais apresentam novas ameaças e vulnerabilidades que devem ser avaliadas adequadamente para salvaguardar ativos valiosos da empresa. Ao combinar esses oito importantes procedimentos de segurança com um plano detalhado e procedimentos padrões, as empresas podem proteger a mobilidade empresarial e cumprir as normas de segurança.

 

Stephan Romeder

Managing Director – Magic Software Europe