CANCÚN, MÉXICO — A chamada consumerização de TI — fenômeno também conhecido pela sigla BYOD (bring your own device, ou traga seu próprio dispositivo) — é uma tendência que está se firmando cada vez mais no mundo corporativo, e as empresas estão percebendo que não têm como impedir os funcionários de usar seus próprios smartphones, tablets, notebooks etc. no ambiente de trabalho. Contudo, se já não tem como homologar e estabelecer o que pode ou não entrar na empresa, a área de TI das organizações deve se preocupar em ter uma política de segurança bem definida para fazer frente a variedade de ameaças e ataques a que estão expostos esses dispositivos.
O alerta foi feito por Fábio Assolini, analista sênior de malware do Kaspersky Lab — laboratório avançado de pesquisas de malware da empresa russa de mesmo nome que atua na área de segurança digital — durante apresentação na 3ª Cúpula Latino-Americana de Analistas de Segurança, em Cancún, no México. Ele, inclusive, lança mão de um trocadilho para definir a falta de segurança com BYOD: Bring Your Own Destruction (traga sua própria destruição).
O analista explica que, das empresas que não dispõem de controle adequado sobre BYOD, 34% tendem a ser vítima de perda de dados. Entre as causas principais apontadas por ele que dão margem a que os dispositivos sejam "hackeados", estão o uso de e-mail sem autenticação dupla (com senha e verificação extra), conexão com redes Wi-Fi abertas sem VPNs (redes privadas virtuais), instalação livre de apps e falta de adequação a políticas preventivas (data loss prevention).
Outro agravante são as brechas de segurança nos sistemas operacionais para dispositivos móveis, existentes em todos indistintamente, embora os aparelhos com o Android, do Google, sejam as vítimas preferenciais dos ataques, respondendo por cerca de 80% das ameaças criadas para atacar smartphones e tablets. Mas o iOS, sistema do iPhone e do iPad, também tem vulnerabilidades. "O iOS não é tão seguro quanto dizem", afirma Assolini, ao acrescentar que, embora comente-se muito sobre o rigor da Apple para aprovar software, é possível encontrar apps fraudulentas na loja App Store da empresa. "Se os desenvolvedores de apps podem publicar apps fraudulentas, imagine quantos dados corporativos podem roubar."
O executivo observa, no entanto, que a situação do Android é muito mais grave. Segundo ele, até o fim do ano passado foram detectados mais de 46 mil amostras de ataque para Android, sendo que nos primeiros seis meses deste ano esse número mais que dobrou, chegando a 100 mil. Assolini explica que há muito mais malware o sistema operacional do Google, incluindo antivírus falsos e algumas aplicações que tomam o controle do aparelho de tal forma que não podem mais ser desinstaladas — para isso é necessário seja feita uma redefinição dos dados originais de fábrica do aparelho.
Para o uso de BYOD de forma segura, o analista explica que a empresa precisa implantar uma política bem definida de segurança que inclua o gerenciamento dos dispositivos móveis, uso de antivírus, contrassenha segura, criptografia e VPN.
Rumo à 'conteinerização'
O analista de malware Jorge Mieres admite que falta conscientização de usuários e empresas sobre os problemas de segurança envolvendo dispositivos móveis, particularmente na América Latina. Segundo ele, os ataques a smartphones e tablets são, em sua maioria, feitos por meio de códigos maliciosos, principalmente de aparelhos com o sistema operacional Android, por ser o mais popular.
Como os aplicativos corporativos e os dados são frequentemente misturados com conteúdo pessoal do usuário, Luis Guisasola, gerente sênior de marketing da Kaspersky para a América Latina, diz que as empresas não podem prescindir de ferramentas de gerenciamento de dispositivos móveis (MDM, na sigla em inglês). Na opinião dele, ao permitir que o funcionário traga seu dispositivo para o trabalho, a empresa tem de impor limites. "O empregado tem que entender que as aplicações e dados de negócios não pertencem a ele, mas a companhia. E esta, por seu lado, tem que respeitar a informação que diz respeito somente ao funcionário."
Guisasola ressalta que a as ferramentas MDM tendem a ser muito rigorosas quando se trata de gestão de recursos corporativos em telefones pessoais. Hoje, diz ele, a maioria desses sistemas adotam o conceito de "conteinerização", que cria uma zona separada no smartphone do usuário, criptografada, dentro do qual alguns aplicativos e dados corporativos passam a residir. Sob tal arranjo, controles de políticas aplicam-se somente ao que está nessa área, em vez de todo o dispositivo.
O executivo cita como ferramenta com essa capacidade a solução da própria empresa, o Kaspersky Endpoint Security for Business, que além de recursos de proteção como antivírus, criptografia etc., permite a implementação de política de "default deny". Assim que o programa é instalado na rede corporativa, as tecnologias estão prontas para começar a proteger a empresa. Além disso, o sistema vem com um console de gerenciamento centralizado que possibilita a personalização das configurações de todas as tecnologias de segurança.
* O jornalista viajou a Cancún a convite do Kaspersky Lab
