Setenta por cento dos entrevistados em uma pesquisa recente do Gartner, Inc. disseram que têm ou planejam ter uma políticas de BYOD dentro dos próximos 12 meses para permitir que os funcionários usem dispositivos móveis pessoais para se conectarem as aplicações das empresas. Trinta e três por cento de todas as organizações pesquisadas atualmente com BYOD possuem já uma política para dispositivos móveis, como smartphones e tablets.
"Passar de um imobilizado de equipamentos de dispositivos de propriedade da empresa a ter funcionários trazendo seus próprios dispositivos tem um grande impacto na maneira de pensar e agir sobre segurança móvel", disse Dionisio Zumerle, analista de pesquisas do Gartner. "Políticas e ferramentas são inicialmente postas em prática para lidar com dispositivos móveis que oferecem o consumidoruma classificação de segurança que deve ser revista para lidar com esses dispositivos e estar sob controle do usuário , em vez de a organização."
O Gartner diz que as organizações devem considerar e agir em três grandes impactos ao passar para uma política BYOD:
1 - O direito dos usuários de aproveitarem os recursos em conflito com o uso pessoal dos dispositivos e as políticas de segurança móvei corporativa, o que aumenta o risco de vazamento de dados e de vulnerabilidades.
Fora das instalações da organização, os funcionários podem definir sua política de uso próprio para dispositivos pessoais. Os usuários podem, portanto, instalar aplicativos e visitar URLs de sua escolha, enquanto que nas empresas devem limitar as aplicações e acesso à web que sejam de propriedade d a empresa em seus dispositivos. Os usuários também podem decidir o nível de proteção para os seus dispositivos de propriedade pessoal. Quando os dados da empresa são de acesso permitido nestes dispositivos, aumenta-se o risco de vazamaneto para a organização, não apenas por causa do aumento dos malwares móveis, mas também porque aplicativos mesmo que legais, não suportados pela segurança, podem inadvertidamente criar riscos para a organização e, principalmene, quanto há a perda do dispositivo.
Usar softwares de gestão de dispositivos móveis (MDM) é uma forma de aplicar as políticas nestes os dispositivos. Os usuários devem ter acesso às informações da empresa depois de terem aceito a integração de uma interface MDM em seus dispositivos pessoais, e, possivelmente, uma ferramenta de filtragem de URL, como uma rede segura com base em nuvem de gateway de serviço (SWG), para proteger e reforçar a política da empresa sobre o tráfego de Internet. As empresas devem considerar o uso de aplicativos de uma “lista branca” e na “lista negra”, deveram estar os considerados prejudiciais, bem como a criação de uma loja de aplicativos para as companhias, ou catálogo de aplicação, para aplicações que serão suportadas.
2 - A liberdade de escolha do usuário por dispositivos móveis e a proliferação de dispositivos com segurança inadequada dificulta a proteção adequada de certos dispositivos, bem como manter o controle de vulnerabilidades e atualizações.
Permitindo que os usuários, ao invés do departamento de TI, selecionem os sistemas operacionais (SO) e versões de dispositivos móveis, abrem a porta para dispositivos que são inadequados do ponto de vista de segurança. Uma linha de base de segurança é essencial e deve exigir controles de senhas avançado, bloquear a execução e tempo limite, bloquear o dispositivo depois de um limite de tentativas de senha, bloqueio e criptografia de dados, controle à distância e/ou limpeza. A linha básica para mobilidade empresarial também deve expressar requisitos mínimos para hardware, pois de acordo com as versões do SO, não será suficiente.
Em alinhamento com a política de segurança móvel, as políticas de controle de acesso de rede devem ser usadas - por exemplo, negar o acesso aos recursos da empresa, tais como e-mail e aplicativos de dispositivos que não suportam a linha de base de segurança. A ação preventiva deve ser tomada para proibir dispositivos fora de conformidade ou criar um alerta usando ferramentas como o software MDM.
No entanto, deve-se limitar os tipos de dispositivos sem contudo eliminar os benefícios do BYOD para os usuários. Não deve haver comprometimento da segurança por causa da variedade de dispositivos, mas onde é possível gerenciar e proteger um modelo de dispositivo novo, isso deve ser feito. As políticas que são aplicadas dependerão do quanto de risco que a organização e a sensibilidade de seus dados permitem.
3 –O fato do usuário ser dono do dispositivo e utilizar os dados da empresa levanta uma questão sobre privacidade e também sobre a maneira como a organização deve ter um política correta para dispositivos comprometidos.
A maioria das pessoas consideram os dados em seus dispositivos pessoais, como sua propriedade, e isso seria um grande problema vê-los manipulado pela organização sem o seu consentimento explícito. Quando um usuário mudar de empresa os dispositivos continuam a ser de propriedade do usuário, assim “ o apagamento remoto", é um recurso de segurança fundamental em uma política de segurança móvel, pois de outra forma torna-se complicado a partir de um ponto de vista jurídico e cultural. Assim, muita atenção deve ser empregada sobre esta questão, a fim de se evitar repercussões desnecessárias e constrangedoras. Na prática, "a limpeza seletiva" está provando ser difícil assegurar que todos os dados de negócio e apenas os dados de negócios, tenham sido excluídos dos dispositivos.
Nesta situação, recomenda-se entrar em contato com o departamento jurídico para obter conselhos, porque pode haver implicações legais relacionadas à limpeza do dispositivo. Problemas podem surgir se o usuário se recusa um apagamento remoto. O recomendável para executar esta tarefa é pedir a permissão do usuário, após firmado um compromisso, quando um apagamento remoto é considerado necessário, para que seja efetuado, sem entraves como por exemplo, atrasos de troca de mensagens. É, portanto, aconselhável obter o consentimento explícito, por escrito de que com os usuários para apagar seus dados em caso de comprometimento, perda ou roubo de dispositivos, desde o início do usuário no programa BYOD.
