Gerenciamento dos Contextos de Segurança nos Aplicativos Móveis

Há uma fábula Árabe que diz que “Se o camelo colocar o focinho para m_8887be1f-6f24-4674-8b3f-1a6eb360a07adentro da sua tenda, vai querer colocar o corpo todo”.

Seguindo essa linha de raciocínio, a questão é: os aplicativos móveis são o focinho do camelo querendo entrar na tenda da empresa? Talvez não seja exatamente assim. A tecnologia de segurança sensível ao contexto permite que as políticas de segurança sejam adaptadas ao contexto em que serão aplicadas no momento que as decisões quanto à segurança estão sendo feitas. Quando implantada corretamente, essa abordagem pode aumentar a funcionalidade e prevenir brechas na segurança.

O que exatamente queremos dizer com um contexto de segurança móvel? O contexto de Segurança móvel pode ser definido como o conjunto de políticas de segurança atualmente usado, que tem base nas várias faces da sensibilidade contextual de um aplicativo móvel: sensibilidade à identidade, à aplicação, ao conteúdo, à localização, à proximidade e à rede.

Sensibilidade à identidade. Recentemente, um analista de uma empresa muito conhecida opinou que a segurança da empresa deve se tornar menos física e mais lógica. A sensibilidade à identidade incorpora um entendimento lógico das identidades das aplicações, das máquinas virtuais, dos usuários e dos grupos. Esse analista argumenta que a segurança da empresa também deve se tornar mais do que apenas sensível à identidade, e que essa pode ser reforçada por meio do tethering. “Meu relógio (ou qualquer outra coisa que possa se usar no corpo) e meu celular podem precisar estar próximos um do outro para o controle de segurança de identidade funcionar apropriadamente”.

Sensibilidade à aplicação. Uma boa política sensível ao contexto será também sensível ao aplicativo. A sensibilidade à aplicação significa que o contexto é definido pela natureza das funções que estão sendo acessadas na aplicação. A aplicação só tem permissões de leitura? As transações dela afetam o movimento de dinheiro ou de bens? Quais as consequências se essas informações caírem em mãos erradas? As informações são úteis fora do contexto da aplicação? São muitos os fatores que devem ser levados em conta na hora de avaliar os níveis de risco de um aplicativo baseado no contexto de aplicação, nas suas credenciais de segurança e seu nível de confiabilidade.

Sensibilidade ao conteúdo. Às vezes é dada muita ênfase nas noções de segurança de dados. Alguns experts dizem que se os dados estão seguros não importa se a aplicação e a rede são seguras, o que obviamente é um disparate, já que nem todas as brechas nos dados ocorrem na camada onde os dados estão. O contexto de segurança deve saber sobre o fator de risco da informação: Alguns conteúdos não requerem a segurança mais rigorosa disponível; nem todas as informações são igualmente importantes na perspectiva de um controle de segurança.

Captura de Tela 2014-03-13 às 12.41.34 AM

Sensibilidade à localização. A localização de um dispositivo móvel, encontrada facilmente com um serviço de GPS atual, nos dá as dimensões da importância da sensibilidade à localização do contexto de segurança.Usar um smartphone em um lugar considerado seguro pode ser visto pelo aplicativo como mais ou menos seguro dependendo da natureza do lugar comparado com um dispositivo sendo usado em um ambiente “doméstico”confiável.Por exemplo, a primeira vez que um usuário usa um aplicativo em uma loja do Starbucks pode requerer uma segurança mais restrita, enquanto na quarta ou quinta visita o lugar pode ser considerado como mais confiável.

Sensibilidade à proximidade.Quando alguns aplicativos são usados próximos a certos lugares, como a 3 metros de um farol ou no mesmo local que outros usuários conhecidos, o contexto de segurança pode ficar menos rígido, enquanto dispositivos usados próximos a lugares perigosos (o escritório da empresa concorrente, na Líbia ou em locais perigosos da cidade) podem precisar de medidas de segurança mais rígidas baseadas nos parâmetros da sensibilidade à proximidade do contexto de segurança móvel.

Sensibilidade à rede. O contexto da rede é muito conhecido por afetar os níveis de segurança do aparelho. Quantas vezes você já não teve que identificar uma rede Wi-Fi como de escritório, domiciliar ou pública? Um dispositivo que está em roaming é considerado como menos seguro comparado a um que está conectado em uma rede conhecida, assim como um aplicativo no modo offline é considerado menos seguro do que um no modo online.

Do contexto à política. O quão absolutamente o contexto de segurança deveria informar as políticas de segurança é um assunto subjetivo. Claramente o contexto tem muitas faces, e as políticas de segurança podem afetar os direitos do usuário, a frequência da checagem da identidade do usuário, bloquear algumas políticas e muitas outras coisas. A segurança do TI é vital para qualquer empresa, mas isso não significa que ela deve ser aplicada em tudo. Quando se trata de segurança móvel para dispositivos, aplicativos e dados, gerenciar a segurança baseada no contexto se tornou essencial.

Artigo Original

Glenn Johnson
Glenn Johnson – Senior Vice Presidente da Magic Software Américas.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *