Dispositivos móveis aumentam exposição a risco cyber nas empresas
- 1293 Visualizações
- Rodrigo Amaral
- 12 de setembro de 2016
- Sem categoria
Uso de smartphones para o trabalho amplia pontos de entrada para hackers; para especialista, é preciso ter políticas e soluções tecnológicas
Na medida em que as empresas acordam para os riscos cibernéticos, elas aprendem que as ameaças não param de se multiplicar – e que existem não só em seus sistemas de informáticas, mas também nos dispositivos móveis de seus funcionários.
O crescente uso de smartphones e tabletes multiplica a exposição das empresas a ataques cibernéticos, uma vez que as informações circulam cada vez mais em ambientes não controlados, como as redes wifi de bares e cafés. Um prato cheio para hackers que muitas vezes estão à espera de uma oportunidade para invadir um sistema corporativo.
Fernando Carbone, diretor sênior da prática de segurança cibernética da Kroll Brasil, alerta que, para enfrentar esta ameaça, as empresas necessitam antes de mais nada atualizar seus conceitos sobre o que é o risco cibernético e como é possível defender-se dele.
“Muitas empresas ainda não sabem o que é cybersecurity”, disse Carbone a Risco Seguro Brasil. “Trata-se de uma mentalidade que a gente ainda está tentando implantar na cabeça dos executivos.”
Isso porque a visão tradicional da segurança da informação tende a focar no que acontece dentro da própria empresa. “Mas hoje o ecossistema tecnológico é muito maior”, afirma o executivo. “A empresa se relaciona com parceiros, fornecedores e clientes, compartilhando informações em uma mesma rede, o que aumenta em muito o risco.”
Por isso, muita gente já fala que as empresas precisam implementar estratégias amplas de gestão de dispositivos móveis – tarefa para a qual já há até uma sigla, EMM, ou enterprise mobility management.
Minutos
Segundo os especialistas, um dos motivos porque é preciso investir na prevenção é que, enquanto um hacker leva minutos para comprometer o sistema de uma empresa, muitas vezes passam meses até que o problema seja detectado.
Com frequência, são terceiros, como parceiros comerciais ou a mídia, quem desvela o problema, já que os controles internos detectam uma minoria muito pequena dos casos, afirma Carbone.
Na opinião do executivo da Kroll, o baixo nível de detecção de ataques pelos controles internos pode dar uma sensação de falsa segurança para as empresas. “Cybersecurity deve fazer parte da gestão de riscos operacional”, afirma.
É essencial, portanto, reduzir as oportunidades de acesso dos hackers ao sistema, e um ponto fundamental é controlar o uso de informações corporativas por parte dos funcionários em seus próprios dispositivos eletrônicos.
Hoje, é difícil para uma empresa impedir que um colaborador utilize seu próprio smartphone ou tablete para fins de trabalho. Muitas empresas até incentivam a prática, que ganhou um nome simpático, BYOD, ou Bring Your Own Device, que significa “traga o seu próprio dispositivo” em inglês.
A argumentação é que os funcionários já estão acostumados a usar seus smartphones e os customizaram de acordo com seus gostos pessoais, e por isso tendem a ser mais eficientes e a trabalhar com maior satisfação quando os utilizam.
No Brasil, esta é uma tendência ainda incipiente, e por questões legais, muitas empresas também ainda preferem fornecer os dispositivos para seus empregados. Mas a tendência é de alta, afirma Carbone.
“O BYOD está começando a se popularizar também no Brasil”, observa o executivo. “Mas a ideia é que não se misturem as informações pessoais com as da empresa, então muitas proveem smartphones corporativos para seus funcionários.”
MDM e VPN
Seja como um dispositivo próprio ou um smartphone corporativo, o acesso de informações sensíveis fora da rede da empresa ocorre com uma frequência cada vez maior, e por isso há no mercado soluções que ajudam a mitigar o problema.
Por exemplos, os chamados programas MDM, ou Mobile Device Management, que criptografam as informações no interior do dispositivo e permitem que elas sejam monitoradas e controladas remotamente.
Por meio de uma central de controle, os MDMs possibilitam, por exemplo, que um smartphone seja bloqueado pela empresa caso o funcionário reporte seu furto ou perda. A empresa também pode eliminar informações mais sensíveis sem necessidade de ter acesso ao aparelho.
Uma vantagem adicional dos programas MDM, segundo a assessoria Frost & Sullivan, é que é possível restringir o acesso dos funcionários a emails e outras ferramentas de trabalho fora do expediente, o que pode ser bastante útil para evitar ações trabalhistas.
Outra ferramenta recomendada por Carbone é a chamada rede virtual privada, ou VPN na sigla em inglês. Ela cria um ambiente protegido pelo qual o usuário pode acessar as informações mesmo usando conexões públicas.
“Em qualquer momento que o funcionário quiser se contatar com uma rede fora da empresa, uma VPN tem que ser criada automaticamente para que o canal de informação seja criptografado”, explica Carbone.
Camadas de proteção
Em geral, porém, o que as soluções tecnológicas fazem é atrasar o acesso dos hackers às informações, dando às empresas tempo suficiente para reagir e evitar maiores problemas.
“Não vai existir uma bala de prata que elimine todos os riscos”, afirma Carbone. “Mas quanto mais camadas de proteção forem colocadas, melhor, desde que elas não afetem a funcionalidade dos dispositivos.”
Para que essas camadas sejam eficientes, porém, é necessário que sejam criados protocolos de atuação para quando um evento aconteça. As políticas de prevenção devem incluir desde a adoção de medidas de segurança no acesso às informações corporativas em espaços públicos até os procedimentos que se devem tomar caso um smartphone seja perdido ou furtado.
O tempo, nesse caso, é um fator primordial, e os funcionários devem avisar a empresa o mais rapidamente possível sobre a ocorrência de um evento. Para isso, a empresa necessita disponibilizar um canal aberto 24 horas para receber este tipo de comunicação.
“O primeiro passo é a conscientização do usuário”, diz Carbone. “A empresa deve passar ao funcionário as informações sobre os riscos.”
- Brasil 97
- Compliance 66
- Gestão de Risco 200
- Legislação 17
- Mercado 247
- Mundo 102
- Opinião 25
- Resseguro 105
- Riscos emergentes 10
- Seguro 198