A recente conferência de mobilidade M6 mostrou que ainda existem muitas empresas indiferentes com relação à segurança de aplicações móveis. Muitas organizações consideram a segurança um peso e não um benefício. Mas quando o assunto é governança de segurança corporativa e segurança do nível de aplicação, citamos Bob Dylan, “The Answers Are Blowing in the Wind”.
Os CIOs que se sobressaem têm mostrado que estão atentos às seis premissas básicas da mobilidade empresarial. Ao estudar as atitudes e sucesso desses CIOs, sabemos que eles prestam atenção às seis áreas que fazem a verdadeira diferença nas estratégias de mobilidade corporativa: segurança, integração, escalabilidade, recursos de habilidades, conectividade off-line e gestão da execução. Hoje, gostaria de explorar mais profundamente os tópicos da governança de segurança corporativa e a segurança do nível de aplicação.
Uma estratégia eficaz para governança de segurança corporativa reduz os riscos de acesso não autorizado aos sistemas e dados de TI. Os CIOs altamente eficazes colocam uma clara prioridade nas atividades de governança de segurança. Através do Diretor de Segurança da Informação (CISO-Chief Information Security Officer) eles institucionalizam, acessam e melhoram o gerenciamento de riscos e políticas de segurança. Os CIOs altamente eficazes veem a governança de segurança como uma questão de colaboração com o CISO, não um assunto sujeito a delegação.
Os CIOs altamente eficazes mantêm o CISO em um alto padrão ao garantir que planos escritos detalhados e políticas de segurança são realmente seguidos e observados. Esses CIOs altamente eficaz se preocupam com as unidades, o pessoal, os executivos e a equipe trabalham juntos para proteger os bens digitais da empresa, evitar a perda de dados e proteger a reputação pública da organização.
O ambiente de conformidade e de regulamentos de uma organização geralmente fornece uma estrutura para as expectativas da governança de segurança corporativa.A abordagem da missão, cultura e gerenciamento das organizações em geral também serão fatoradas nessa abordagem. Mas os CIOs altamente eficazes nunca comprometem a segurança para apenas terem um bom relacionamento. Os melhores CIOs sabem como conquistar o CEO e dão suporte aos custos relacionados com governança de segurança corporativa. Os especialistas em mobilidade tendem a enfatizar a necessidade dos CISOs serem flexíveis quando o assunto é segurança móvel para não sacrificarem a usabilidade e a adoção do usuário. Os que estabelecem a escolha pragmática para as aplicações como segura ou utilizável perdem o foco. Isso não deveria ser uma escolha. Deve ser feito um esforço para fornecer segurança e usabilidade.
Os CIOs altamente eficazes geralmente se encarregam de conduzir simulações de ameaças, inspeções surpresas e usam especialistas de conformidade externos para manter um elevado senso de conscientização organizacional para os requisitos de segurança. Ameaças, vulnerabilidade e avaliação de risco foram levadas a sério e fatoradas na originalidade dos modelos de negócios da empresa e indústria.
Com a evolução da internet, nuvem e mobilidade corporativa, as estratégias da governança de segurança corporativa devem ser significativamente alteradas. No passado, abordagens centralizadas de processamento de dados permitiam que uma organização focasse na solidificação dos bens ao proteger a localização física de processamento de dados.
Os CIOs altamente eficazes entendem que uma organização deve permanecer focada em reduzir a chance de que bens físicos de propriedade da empresa possam ser roubados ou danificados. Claro que, dispositivos móveis serão perdidos e roubados. Essa certeza de perda deve ser fatorada nos sistemas e planos de governança de segurança. Para muitos, isso quer dizer que o foco muda para proteger os dados. Mas os CIOs mais eficazes entendem que não são somente os dados que precisam de proteção, mas também os processos de negócios.
Tradicionalmente, a governança de segurança da informação inclui barreiras físicas, bloqueios, cercas, sistemas de incêndio, iluminação, sistemas de alarme e câmeras de segurança.
Os dispositivos móveis trazem um novo conjunto de requisitos incluindo:
- Gerenciamento de inventário e bens
- Bloqueio e limpeza remota
- Gerenciamento de aplicação incluindo identificações de aplicação não autorizadas
- Criação de um Limite de Dados da Empresa
- Notificações de Roaming em tempo real
- Registros persistentes e registros de auditoria
Políticas de governança para aplicações móveis devem ser consideradas após autenticação do usuário. Revise as aplicações que serão usadas em sua empresa para conformidade com as práticas de segurança para autenticação do usuário móvel. Abordagens aceitáveis podem combinar senhas criptografadas, validação de localização, verificação física do dispositivo, ou abordagens similares para autenticar e identificar o usuário, dispositivo e contexto. Alguns estão vendo o pareamento de dispositivos como meio de segurança. Por exemplo, um relógio ou outro item que pode ser usado deve estar presente para garantir o acesso do usuário ou confirmar a identidade para as mais seguras aplicações. Mecanismos de bio identidade como impressão digital também são uma opção.
Políticas de governança para aplicações também devem incluir o gerenciamento de direitos do usuário. Revise as aplicações que serão usadas em sua empresa para conformidade com práticas de segurança para direitos do usuário. Geralmente, os diretos do usuário são designados e gerenciados em cada sistema da empresa. Os direitos para um mesmo usuário pode ter que variar entre segurança da área de trabalho e contexto móveis. Alguns direitos podem até ser sensíveis ao local ou consciente do contexto. Os direitos do usuário também podem precisar ser mais restritivos para aplicações no modo off-line x modo on-line.
A necessidade de uma segurança da aplicação é importante em todos os contextos, incluindo a mobilidade corporativa. Apenas medidas de segurança fracamente implantadas se tornam barreiras para a adoção do usuário, nem todas as medidas de segurança. Isso não é diferente de outros aspectos de uma aplicação móvel: interface de usuário, definições de dados e processos de negócios precisam se ajustar ao contexto móvel.
