Os dispositivos móveis estão se tornando os preferidos para acesso à Internet, e estes também já ultrapassam os computadores em vendas. Com seu poder computacional, apresentam uma quantidade crescente de aplicações disponíveis. Em realidade, as aplicações hoje ganham relevância em relação aos próprios dispositivos. Já há quem escolha seu dispositivo pela oferta de aplicativos para aquela plataforma. E este cenário está se tornando uma dor de cabeça para os gestores de tecnologia e de segurança. Afinal, ao mesmo tempo que trazem inúmeros benefícios para produtividade, estes dispositivos e milhões de opções de aplicativos trazem para a TI das empresas alguns novos riscos.
Já existem também soluções para mitigar estes riscos, as quais em geral se enquadram em dois grandes grupos: aquelas que tratam a segurança dos dispositivos como um todo (como os conhecidos MDM – Mobile Device Management) e as que focam na segurança em nível de aplicativos (MAM – Mobile Application Management). Como saber qual a melhor opção para sua empresa?
Neste espaço esperamos apontar as principais diferenças e o que deve contar em termos de enfoque na escolha de cada um destes caminhos.
Por exemplo, os sistemas de MDM são focados no controle dos dispositivos como um todo, como dissemos. Suas capacidades incluem gestão da segurança do dispositivo, gerenciamento da sua configuração, gerenciamento de políticas diversas, integração com rede corporativa, possibilidade de apagar remotamente todos os dados do aparelho, forçar atualizações de aplicativos, assim como criar e gerenciar listas de apps permitidos e proibidos de serem instalados. Isso tudo é possível porque normalmente estas soluções instalam um agente no dispositivo para o controle de todas estas políticas.
Este cenário de controle absoluto de todo aparelho é indicado quando a empresa é a proprietária dos dispositivos e os cede para uso de seus funcionários, para que estes desempenhem funções específicas. Por exemplo, quando pilotos de avião substituem os antigos manuais por suas versões eletrônicas em tablets, ou quando representantes de venda utilizam-nos na rua como substituição a catálogos.
No entanto, em cenários como BYOD (Bring Your Own Device ou “Traga seu Próprio Dispositivo”), este tipo de ferramenta apresenta limitações importantes. Se o aparelho é de propriedade do funcionário, e nele coexistem aplicativos pessoais (redes sociais, apps que ajudem no trânsito, aplicativos de taxi ou de transporte – e por que não – jogos, compras etc), este modelo não funciona. Não sendo dona do equipamento, a empresa não tem a prerrogativa de controlar os diferentes aplicativos que nele são instalados e utilizados. Muito menos controle sobre eventuais malwares que estes aplicativos ou quaisquer comportamentos de uso podem trazer para dentro da empresa.
Algo similar acontece em modelos B2C (negócios com o consumidor) e B2B (negócios entre diferentes empresas): se os consumidores ou parceiros de outras empresas são proprietários dos dispositivos, não há a prerrogativa de controlá-lo totalmente. Não se pode, por exemplo, querer impedir um cliente do banco de baixar no seu dispositivo, além do aplicativo de mobile banking, outros como os ilustrados acima – inclusive apps que podem ser uma ameaça à sua segurança.
Nestes casos, é preciso mudar o enfoque e a granularidade. Sair do contexto amplo de segurança de todo o dispositivo e mover-se para outro nível, o do contexto dos aplicativos. E neste nível, as políticas podem ser definidas de forma a proteger os dados corporativos independente do aparelho em que estas são executadas e de quem é seu dono. E, mais importante: independentemente dos demais aplicativos nele instalados e eventuais ameaças que trazem.
Alguns exemplos de políticas em nível de aplicação são: criptografia dos dados armazenados pela aplicação; criptografia dos dados em trânsito, fim-a-fim e com padrão IPSec, para proteção dos dados trafegados entre o app e o seu servidor, podendo inclusive permitir diferentes túneis IPSec para diferentes aplicativos; níveis adicionais de autenticação, inclusive podendo usar recursos biométricos do próprio aparelho móvel (reconhecimento facial via câmera, reconhecimento de voz via microfone, reconhecimento da forma como se segura o dispositivo e pressiona a tela, leitor de digitais etc); proibição de copiar e colar dados dos aplicativos; geolocalização para possibilitar ou não acesso a recursos de acordo com a posição geográfica; data de expiração da aplicação, de forma que o usuário não possa acessá-la a partir de uma determinada data como vencimento de seu contrato; possibilidade de apagar os dados apenas do aplicativo protegido, deixando o resto do dispositivo intocado; e mais importante, isolamento da aplicação e seus dados do restante do equipamento, como um “pequeno firewall”.
Assim, uma empresa pode disponibilizar a seus consumidores (B2C), clientes corporativos (B2B) ou funcionários (BYOD) suas aplicações nas principais lojas de apps do mercado. Ao baixar, instalar e utilizar os aplicativos, o usuário pode nem saber ou perceber – mas há uma camada de segurança envolvendo-o de forma a protegê-lo de ameaças diversas.
Enfim, para alguns casos de negócio o MDM apresenta como vantagem outras funcionalidades que extrapolam o tema da segurança. Mas para uma outra gama crescente de casos de uso, focar-se na aplicação e considerar que o dispositivo é um ambiente “hostil” e sem controle, pode ser a melhor alternativa. É importante que no processo de escolha da melhor solução para cada caso se identifique quem será o proprietário do dispositivo e quais os problemas de negócio e técnicos que se pretende resolver.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
