Com a proliferação de tecnologias móveis e especialistas apontando para um futuro em que tudo estará conectado à internet, a tendência de colaboradores trabalharem com dispositivos pessoas é cada vez mais forte. No entanto, a falta de controle do setor de TI sobre esses aparelhos apresenta sérios riscos às informações corporativas. 
Sendo assim, conversamos com Marcos Nehme, diretor da divisão técnica da RSA (setor de segurança da EMC), para esclarecer algumas das principais dúvidas em relação ao BYOD na era da informação extrema.
Confira abaixo nossa entrevista na íntegra com Nehme.
Information Management: Virtualização e BYOD são os principais motivos de preocupação do mercado de segurança da informação? Por qual razão?
Marcos Nehme: Uma evolução constante da tecnologia e da adoção de equipamentos de nova geração por parte da população tornou cada vez mais comum para os funcionários de grandes empresas possuírem dispositivos concebidos para o trabalho profissional. Esse fenômeno tem gerado uma tendência conhecida como "Bring Your Own Device", trazer o seu próprio dispositivo, em que cada funcionário pode usar seu próprio dispositivo (smartphone, tablet e até mesmo PC) como uma ferramenta de trabalho. Em 2017, 2 em cada 3 empresas no mundo utilizarão o BYOD diariamente. Segundo um estudo do Instituto Ponemon, 51% das empresas sofreram perda de dados, como resultado do uso de dispositivos móveis empregados de forma desprotegidas. Dados como este, exemplificam alguns dos motivos de preocupação de segurança.
Com relação a Virtualização – e a medida que o seu uso e demanda aumentam, novas ameaças cibernéticas aparecem as quais desafiam as organizações não só com a forma como eles devem garantir a sua infraestrutura, mas como eles podem alavancar novas plataformas e inteligência para fazê-lo. A mobilidade e a disponibilidade da informação que a Virtualização cria como um beneficio diário às pessoas e as corporações, ao mesmo tempo, gera uma exposição a novas formas de ataques cibernéticos, gerando também uma preocupação no mercado de segurança.
IM: Como as empresas devem se preparar para enfrentar o crescente volume de dados presentes em escritórios e em dispositivos móveis?
Marcos Nehme: Antes de determinar se uma empresa está pronta para a prática de BYOD, a RSA recomenda que você defina se você realmente tem a necessidade ou simplesmente quer obter vantagens comerciais na implementação de tal estratégia.
Também é imperativo identificar os desafios e os riscos que atuam em ambas as extremidades. Por exemplo: abrir a rede para todo mundo e todos os dispositivos ou fechar completamente. Por outro lado, as empresas que estão pensando em usar essa estratégia deve considerar como ganhar ou perder com isso, além de colocá-lo em uma escala que mede o impacto competitivo com uma empresa a ser implementado.
Se a rede corporativa não está pronta para um crescimento significativo de dispositivos pessoais, é óbvio que os usuários irão parar de usar e que pode ser um risco pior do que não fazer nada.
Deve, portanto, avaliar cuidadosamente a infraestrutura da companhia, seus mecanismos de segurança para aplicações e conteúdos que rodam nele para evitar incidentes de segurança no futuro e finalmente, devemos considerar que uma parte importante do retorno de investimento do BYOD são intangíveis, como a atração de talentos, melhoria da produtividade e aumento da competitividade, o mesmo pode ser uma oportunidade para desenvolver esquemas de negócios mais inovadores atraente para novos clientes.
IM: Para a RSA, o BYOD é uma tendência irrefreável?
Marcos Nehme: A tendência de "Bring Your Own Device", porém, não é isenta de riscos. O comportamento ou maus hábitos de qualquer funcionário pode escapar ao controle do departamento de TI, como no BYOD crescer na rede da empresa. Neste sentido, muitas empresas adotaram este conceito sem considerar as implicações de segurança.
Qualquer empresa que usa ou irá usar BYOD é necessário garantir a robustez do sistema a partir de dentro, fazendo com que o ambiente seja altamente protegido, independentemente de onde vem o pedido de acesso. Essa prática deve ser acompanhada de treinamentos educacionais dos funcionários.
Além disso, os funcionários usam seus próprios dispositivos para o trabalho é algo que deve ser controlado e a equipe de TI deve conhecer e compreender as necessidades dos funcionários, mas avaliar a conveniência de implementação do plano de BYOD, enquanto a compreensão é tarefa de todos para avaliar as vantagens e calcular os custos de planejamento e proteção de dados.
IM: O que é preciso fazer para demitir com segurança em um mundo BYOD?
Marcos Nehme: O principal desafio é fazer um equilíbrio entre permitir o uso de BYOD e estabelecer políticas de segurança, acompanhado de treinamento para o pessoal da empresa. O uso de tecnologias capazes de gerenciar e monitorar de forma eficiente o trafego da rede é fundamental para auxiliar na garantia de que se um funcionário for dispensado, as informações confidenciais permanecerão seguras.
IM: Que tecnologias as empresas podem adotar para aumentar a segurança de dados?
Marcos Nehme: Além de sistemas de gerenciamento de dispositivos móveis, é fundamental que se utilize o orçamento de segurança da informação de forma equilibrada. Prevalecendo não somente, em sua maioria, em tecnologias de prevenção mas sim, equilibrado com tecnologias de monitoramento e respostas a incidentes. Soluções que monitoram e evitam a fuga de informações confidenciais – de qualquer ponto – incluindo os dispositivos móveis – e implementação de processos que garantem a analise efetiva de Riscos e Governança – são fundamentais para aumentar a segurança dos dados.
IM: Quais são as tendências de segurança para o futuro?
Marcos Nehme: O crime cibernético continua a divergir em caminhos diferentes a cada nova ano que passa. Em 2013, os cibercriminosos estão mudando a forma como organizam e direcionam seus ataques a usuários por meio de novas plataformas baseadas em transações online que continuam a ser explorados. À medida que o mundo torna-se móvel, o cibercrime e ameaças a dispositivos móveis continuará a crescer, tanto no local de trabalho e também pessoal.
Esta fase móvel é devido aos níveis de computação móvel atingiram novos máximos em 2012. As vendas de telefones inteligentes em todo o mundo chegaram a 671 milhões por ano - um aumento de quase 42% em relação a 2011 [Fonte: Juniper Research, Smartphone Shipments Exceed 200 Million in Q4 2012, January 2013]. Além disso, o número de aplicativos disponíveis para iOS da Apple só ultrapassou 775 mil e um total de 40 bilhões de dólares em aplicativos já foi baixado do iOS App Store nos quatro anos desde que a loja abriu , mais da metade deste número foi baixado em 2012.
E estes números não incluem os aplicativos para Android e Windows. Outro ponto importante que tem ajudado o crescimento de ameaças a dispositivos móveis são transações bancárias para compras on-line através do celular e esta é uma tendência de mudança de comportamento cada vez mais forte. Nos locais de trabalho, as tendências de dispositivos móveis controlados pelo usuário, como seu próprio dispositivo (BYOD - Traga seu próprio dispositivo) continuam a transformar o cenário dos negócios. Como nossas vidas pessoais e de trabalho se direcionam cada vez mais para o celular, os cibercriminosos continuam a desenvolver e refinar seus planos para explorar as operações e aplicações móveis.
Em 2014 e no futuro, as organizações continuam a se mover em direção a uma maior preparação e aceitação do mundo móvel e mudar suas práticas, continuam a lutar com questões políticas importantes como segurança e aumento de vulnerabilidades móveis, assim como as oportunidades para o crime cibernético, e embora não tão prevalecente como é online, a fraude vai continuar a crescer no canal móvel através de ataques de engenharia social de usuários e aplicações móveis serão cada vez mais exploradas como um meio para lançar ataques de phishing e Trojans .
É de suma importância a criação de uma estratégia de segurança inteligente – capaz de monitorar todas as informações geradas (através de tecnologias prontas para Big Data) e permitir que o incidente seja resolvido rapidamente.
