São nove horas de uma noite de sexta-feira e seu escritório é um abismo escuro, silencioso. As portas estão fechadas e os servidores e desktops estão sãos e salvos por trás de firewalls e sistemas de segurança de endpoints. Até os notebooks corporativos – mesmo não estando dentro dos limites físicos da empresa – estão protegidos com software antivírus e os patches de segurança mais recentes. Seus dados estão seguros, certo?
Afinal, os funcionários já foram embora e estão ocupados com o fim de semana, talvez jantando fora, no cinema ou em uma balada dançando. Eles estão se divertindo com amigos, familiares e conhecidos. Enquanto isso, seus dados estão no escritório atrás de chaves e travas virtuais. No pior dos casos, estão nos notebooks gerenciados pelas empresas, descansando com segurança no home office dos funcionários. Não é?
A verdade é que um grande volume de dados potencialmente confidenciais segue seus funcionários por onde vão. Podem estar em uma mesa de restaurante ao ar livre; podem estar prestes a cair do bolso de um funcionário no chão de uma sala de cinema; podem estar passando por grupo de amigos em um bar. Você pode se perguntar como seus funcionários podem ser tão descuidados. Na realidade, eles provavelmente nem sequer perceberam que estão transportando informações confidenciais com eles. Se seus funcionários carregam smartphones por todos os lugares onde vão – e você sabe que carregam –, é muito provável que eles também estejam transportando informações confidenciais da empresa.
Para complicar, os funcionários – especialmente os executivos – exigem suporte para uma gama cada vez maior de dispositivos móveis e plataformas. Sabendo que seus dados confidenciais estão sendo levados a lugares que você provavelmente nunca imaginou e em uma enorme variedade de equipamentos, seu dever é proteger as informações, não importa onde estejam. Por esse motivo, é imperativo que você amplie sua estratégia de segurança móvel – que, espero, já deve incluir soluções de segurança de endpoints e de gestão de dispositivos móveis – para incluir políticas de criptografia específicas para sistemas móveis. Ao proteger os dados em si, o risco de perder informações confidenciais armazenadas em um dispositivo perdido ou roubado pode ser ainda menor. É importante entender como a criptografia torna isso possível.
Imagine por um momento que um invasor tenha nas mãos o smartphone de um de seus funcionários. Talvez ele tenha esquecido no banco de trás de um táxi ou deixado cair no chão do metrô a caminho de casa. O invasor consegue quebrar a senha da tela inicial do telefone – 1234 não foi muito difícil de adivinhar. Agora, com um simples toque no ícone do e-mail, ele tem acesso irrestrito à conta de correio eletrônico do funcionário, a todos os dados de clientes e às previsões de vendas. Tudo isso ocorre antes que o funcionário perceba que perdeu o equipamento e muito antes de poder informar a perda na manhã da segunda-feira.
Agora, volte e mude um pouco o cenário. O invasor quebra a senha e tem acesso à aplicação de correio eletrônico. No entanto, você foi esperto o suficiente para usar uma tecnologia de criptografia em todos os e-mails que tinham informações potencialmente confidenciais. Como as mensagens na caixa de entrada do funcionário estão criptografadas, o invasor não consegue ter acesso a nenhum dado sigiloso. As informações em si têm suas próprias medidas de segurança e não podem ser acessadas por pessoas não autorizadas que estejam indevidamente de posse do dispositivo móvel.
Além desse entendimento básico de como e por que a tecnologia de criptografia é necessária, há outros elementos a considerar quando se implementa criptografia para proteger dados que estão sendo transmitidos e são armazenados em dispositivos móveis:
• Certifique-se de que o acesso móvel aos dados criptografados seja independente da disponibilidade de rede: acessar dados criptografados em dispositivos móveis pode ser um pouco complicado se não for feito da maneira correta. Afinal de contas, esses equipamentos foram projetados para serem usados em qualquer lugar. O problema é que os funcionários em trânsito nem sempre têm conexão de rede, especialmente os tablets que dependem de Wi-Fi e não de redes 3G. É importante se assegurar de ter escolhido uma solução de criptografia que possa ser utilizada off-line.
• A melhor abordagem para resolver esse problema é usar uma aplicação de criptografia que possa ser executada nativamente no sistema de operacional do dispositivo móvel. Isso garante que as mensagens permaneçam protegidas desde o momento que são enviadas até serem recebidas. Como é a aplicação que faz a criptografia, pode trabalhar mesmo off-line, garantindo assim que a informação esteja sempre disponível quando o usuário precisar, independentemente do status da rede.
Com o grande aumento do uso de dispositivos móveis inteligentes, é impossível para organizações conhecer todos os lugares por onde transitam dados potencialmente confidenciais. No entanto, existem medidas que podem ser tomadas para garantir a proteção das informações, não importa onde estejam. Usar a tecnologia de criptografia para complementar uma abordagem de defesa em profundidade em sua estratégia de segurança móvel ajudará nesse sentido.
Wagner Tadeu
Vice-presidente América Latina para Symantec