A febre mundial do Pokémon GO chegou há poucos dias na América Latina, começando pelo Brasil, e assim atingindo a meta da Nintendo de colocá-lo à disposição dos visitantes que estão chegando no país para as Olimpíadas. No mesmo dia já foi possível observar jogadores nas ruas – trata-se realmente de um fenômeno.
Infelizmente, tudo tem um outro lado. Tem-se observado alguns incidentes de segurança com usuários do jogo no mundo todo – afinal o seu sucesso chama a atenção também de criminosos. Apenas no primeiro dia de uso do jogo no Brasil, ocorreram pelo menos dois assaltos a jogadores resultando no roubo de seus smartphones. Também foi registrado um atropelamento relacionado ao uso do jogo. No resto do mundo não tem sido muito diferente, inclusive com criminosos se posicionando estrategicamente onde estão os monstrinhos mais procurados, esperando as vítimas chegarem.
Mas note que os riscos não se limitam à segurança física dos jogadores. O jogo aumenta os riscos no mundo corporativo, uma vez que os dispositivos móveis são cada vez mais usados para acesso a dados e sistemas corporativos em cenários como BYOD (Bring Your Own Device ou "Traga seu Próprio Dispositivo"). E também cada vez mais usados para empresas oferecerem serviços a consumidores e parceiros – B2C (negócios com o consumidor) e B2B (negócios entre diferentes empresas).
Um exemplo são os riscos relacionados ao roubo (ou mesmo perda) dos dispositivos móveis, os quais aumentaram exponencialmente. Nesse aspecto, recomenda-se reforçar controles tecnológicos e não tecnológicos, como campanhas de conscientização dos usuários. Um dos pontos-chave aqui é a utilização de mecanismos que bloqueiem os dados em caso de roubo ou perda do dispositivo. Senhas fortes, e mesmo autenticação com outros fatores são exemplos de práticas a serem adotadas e que contam atualmente com maior conveniência devido aos recursos oferecidos pelos próprios smartphones (senhas com padrões de desenhos, leitor de digitais, câmera para reconhecimento facial, microfone para reconhecimento de voz, uso de soft tokens etc).
Outros riscos que aumentaram foram aqueles relacionados a contaminações por malware nos dispositivos móveis, uma vez que versões falsas de Pokémon GO vêm sendo utilizadas como "armadilhas" para instalar malware em smartphones de usuários mais distraídos. Novamente, no cenário de BYOD, sendo o aparelho de propriedade do funcionário, nele assume-se que podem coexistir dados corporativos e aplicativos pessoais (como o Pokémon GO e outros – redes sociais, apps de trânsito etc). Não sendo dona do equipamento, a empresa não tem a prerrogativa de proibir a instalação e uso de aplicativos não relacionados ao trabalho. Em outras palavras, a empresa perde a gestão dos dispositivos e sua segurança tradicionalmente dada por soluções de Mobile Device Management (MDM).
Algo similar acontece em modelos B2C e B2B: se os consumidores ou parceiros de outras empresas são proprietários dos dispositivos, não há a prerrogativa de controlá-lo totalmente com uma solução de MDM. Não se pode, por exemplo, querer impedir um cliente do banco de baixar no seu dispositivo, além do aplicativo de mobile banking, o Pokémon GO ou, pior, um similar pirata que pode ser uma ameaça à sua segurança do próprio aplicativo de mobile banking!
Nestes casos, é preciso mudar o enfoque e a granularidade. Sair do contexto de segurança do dispositivo e mover-se para outro nível, o de aplicativos. E neste nível, definir políticas de forma a proteger os dados corporativos independente do aparelho em que estas são executadas, de quem seja seu dono, dos demais aplicativos nele instalados e eventuais ameaças que trazem. Criptografia dos dados armazenados ou em trânsito; níveis adicionais de autenticação; proibição de copiar e colar dados dos aplicativos; geolocalização; possibilidade de apagar os dados apenas do aplicativo protegido, em caso de perda ou roubo. Estes são alguns exemplos de políticas no nível da aplicação que podem mitigar os riscos do Pokémon GO aos dados corporativos disponibilizados em plataformas móveis não gerenciadas. Para maior agilidade, simplicidade e redução de custos, procure adotar soluções de mercado que implementem estas políticas sem alteração no código fonte das aplicações móveis (apenas envelopando seu binário).
Um outro tema relevante diz respeito às contas de usuários utilizadas para jogar. Se sua empresa usa Google Apps, seja enfático na proibição de usar as contas de trabalho para acessar quaisquer aplicativos não relacionados ao trabalho (Pokémon GO e outros). Essa restrição deve estar na política, ser devidamente comunicada aos usuários, e evidentemente monitorada e reforçada por mecanismos de controle.
Finalmente, não se pode negligenciar os riscos relativos à exposição de imagens dos ambientes de trabalho. O assunto é sério. Recentemente a Indonésia proibiu policiais e militares de usarem o jogo durante o expediente para evitar que instalações de segurança nacional tivessem suas imagens expostas ao aplicativo. Recomenda-se que gestores de segurança revisem o tema e, se necessário, atualizem as políticas.
Enfim, estamos testemunhando uma revolução que vai muito além do jogo em si. A Nintendo (Niantic, na verdade) não inventou a Realidade Aumentada, mas com certeza foi a primeira empresa a saber usá-la. Novos modelos de negócio já estão surgindo na esteira de Pokémon GO, que toca também no modelo de gamificação. É possível que você, sua família e amigos tenham embarcado na novidade com força – e que mesmo sua empresa vislumbre novos negócios a partir desse fenômeno. A novidade é muito bem-vinda, apenas é necessário gerenciar os riscos associados a ela.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.