Segurança Móvel: oito providências para proteger os dados e dispositivos

A nova regulação da União Europeia responsabiliza qualquer empresa ou indivíduo pela proteção dos dados guardados do usuário, incluindo terceiros, tais como fornecedores de serviços em nuvem.

Enquanto espera-se que seja implementada em 2017, vários países estão saindo na frente e já estão emitindo seus próprios regulamentos.

A Federal German Data Protection Act, por sua vez, também aprovou diretrizes sobre como os dados da empresa devem ser armazenados, utilizados ​​e acessados ​​a partir de dispositivos privados.

Como os dispositivos móveis são muito vulneráveis, adotar uma única abordagem de segurança não é o suficiente. Especialistas discutem se estas medidas devem ser aplicadas no nível do dispositivo, do aplicativo ou dos dados, mas, no entanto, uma abordagem prudente e aconselhável é aplicar uma combinação de técnicas em todos os três níveis para manter os dados seguros.

Aqui incluímos oito procedimentos para manter seus dados móveis corporativos seguros:

Autenticação multifator – O uso de uma combinação entre nome de usuário e senha é considerado uma autenticação de um único fator e não é suficientemente forte. A autenticação de múltiplos fatores envolve três fatores comuns de autenticação: algo que você sabe (por exemplo, senha, PIN), algo que você tem (por exemplo, cartão inteligente, certificado digital), e algo que você é (por exemplo, impressão digital, padrão de retina).

Direitos de usuário baseados no tempo e na  localização – Podem ser definidos com base no dia da semana, ou na hora baseada em horários de trabalho estabelecidos. Quanto mais específicas forem as autorizações de segurança menor será a probabilidade de que um hacker obtenha acesso. E nos casos em que ocorre uma invasão, o dano pode ser limitado.

As autorizações de usuário devem variar dependendo de onde os dados aparecem. Por exemplo, um vendedor pode ter permissão para editar a descrição do produto em uma fatura para seu cliente, mas não em um catálogo de produtos online usado por todos os funcionários.

Criar repositório de apps – Os repositórios de aplicativos aprimoram significativamente a segurança ao criar um espaço de trabalho corporativo no dispositivo móvel, independentemente de ser de propriedade da empresa ou do funcionário, e para todas as plataformas móveis suportadas. Os usuários autorizados obtêm acesso aos dados e aplicativos corporativos com segurança empresarial e integração profunda com o gerenciamento de direitos de usuário, incluindo as tecnologias de autenticação de usuários incorporadas.

Criptografar dados em stand-by e dados em trânsito – Os aplicativos off-line geralmente armazenam os dados necessários no dispositivo, deixando informações em stand-by expostas a invasores. Criptografar esses dados pode minimizar o risco.

Pessoas mal-intencionadas podem interceptar e monitorar dados expostos através da Internet. Ao proteger a transmissão online de dados, recomenda-se usar mais de um tipo de algoritmo de criptografia.

A criptografia simétrica é rápida e fácil de usar e consome muito pouco processador, enquanto a criptografia assimétrica é computacionalmente muito mais cara e, no entanto, mais lenta. Ao combinar o uso de criptografia assimétrica para criptografar a chave e enviá-la ao longo das extremidades e, então, descriptografar o resto dos dados usando a eficiência de chaves simétricas rápidas e fáceis, os níveis de alta segurança são alcançados.

Implementar o Gerenciamento de Dispositivos Móveis (MDM) – Uma plataforma de MDM protege a entrega e o acesso ao conteúdo corporativo; define e reforça a política de TI; aplica limites geográficos virtuais para dispositivos; e aproveita poderosos recursos de autenticação, gerenciamento de certificados e criptografia de dados.

Os recursos de monitoramento de uma solução MDM geralmente incluem monitoramento remoto, relatórios de uso e recursos que permitem rastrear e relatar qualquer parâmetro do dispositivo em tempo real e obter informações analíticas úteis sobre o uso de dispositivos móveis em toda a empresa.

O MDM possibilita o controle de dispositivos corporativos habilitados como pessoais (COPE) e dispositivos Bring Your Own Device (BYOD). Por esse motivo, o MDM precisa ser multi-plataforma. Devido à diversidade de fabricantes no mercado Android, uma solução MDM deve suportar a interoperabilidade entre fabricantes.

Implementar o Gerenciamento de Aplicativos Móveis (MAM) – O recurso capacita os administradores de TI a distribuir, atualizar, gerenciar e proteger aplicativos em celulares e smartphones compartilhados, pessoais e corporativos. Um console centralizado permite gerenciar o ciclo de vida de implantação dos aplicativos no ambiente corporativo, de ponta a ponta.

Os administradores podem definir políticas de privacidade e segurança com base em configurações de direitos de grupo e individuais, autenticar o acesso e impor conformidade. O MAM também permite habilitar, desativar ou restringir aplicativos de acordo com as políticas de segurança.

Proteger contra vírus e ameaças – Em julho de 2014, o chefe de segurança do Google afirmou que os efeitos do malware do Android são exagerados, e que a maioria dos usuários não deve se preocupar com ele e que 99% dos usuários não se prejudicarão por ele. Em agosto de 2015 foi noticiada a  vulnerabilidade Stagefright, que permite a propagação de malware através de MMS (multimedia messaging service) não abertos no Android. Isso levou o chefe de segurança do Google a anunciar que a empresa estava providenciando a maior atualização de software coordenada da história para solucionar esses problemas de segurança.

O Android não possui autenticação de aplicativo de nível de firmware, permitindo que ocorram táticas como colisão de hash, falsificação de certificado e abuso de comunicação entre processos. Mesmo que o Google alegue que o malware no Android não seja eficaz, a maioria dos gerentes de segurança de TI ainda irão querer tomar medidas para proteger a rede contra o malware Android, mesmo se os vírus próprios possam ser raros.

As soluções MDM e MAM devem instalar proteção contra malware no dispositivo que verifica e monitora o sistema de arquivos do dispositivo e os aplicativos instalados para detectar malware e vírus conhecidos. Se encontrado, o software precisa colocar em quarentena os aplicativos e arquivos infectados ou mal-intencionados no dispositivo. Os recursos básicos devem incluir a capacidade de agendar a verificação de antivírus, fazer download de atualizações de definições de vírus, configurar “listas brancas” de antivírus e executar o gerenciamento de quarentena.

Exercitar procedimentos de segurança na Web – Em 2014, o tráfego global de dados móveis totalizava 2,5 exabytes por mês. No entanto, apenas cerca de 6,1% de todo o tráfego da Internet é criptografado. Em média, quase 94% de todos os dados da Internet estão expostos em trânsito! Os procedimentos de segurança para a manutenção de um servidor Web são uma parte importante da sua estratégia global de segurança móvel.

Os protocolos de segurança da Web, como Secure Socket Layers (SSL) e TLS (Transport Layer Security), ajudarão a proteger os servidores e usuários móveis. Os administradores de servidores Web em suporte a sistemas móveis precisam manter os sistemas operacionais e os servidores Web atualizados com os patches e atualizações mais recentes do fabricante. Monitorar e ler todos os alertas de segurança do fornecedor e seguir as práticas recomendadas ao configurar sistemas. É recomendável ativar somente os serviços e aplicativos necessários e desativar os serviços não utilizados, remover contas mestre e contas super-administradoras desnecessárias, além de manter os direitos do usuário atualizados com base em privilégios mínimos.

Conclusão

Os dispositivos móveis e o acesso aos sistemas empresariais apresentam novas ameaças e vulnerabilidades que devem ser avaliadas adequadamente para salvaguardar ativos valiosos da empresa. Ao combinar esses oito importantes procedimentos de segurança com um plano detalhado e procedimentos padrões, as empresas podem proteger a mobilidade empresarial e cumprir as normas de segurança.

Stephan Romeder – Managing Director – Magic Software Europe

Novo Comentário