quinta-feira, 7 de fevereiro de 2013

O desafio de blindar o tsunami de dispositivos móveis nas empresas

Como proteger dados estratégicos no atual ambiente corporativo, inundado de aparelhos móveis pessoais? Tecnologias, políticas de segurança e bom senso fazem parte da nova tática.
 
Segurança da informação nunca foi tão estratégica. Ganhou as luzes da ribalta em um mundo cravado de dispositivos móveis pessoais, que derrubaram a barreira corporativa, redesenhando conceitos, políticas de proteção e gestão. A mobilidade desafiou a tradição e levantou a bandeira do “nada será como antes”.
 
Mas tudo tem seu preço. Se por um lado, as empresas ganharam em flexibilidade e produtividade, viram-se diante da vulnerabilidade que, tal qual um alienígena, ganhou força e tentáculos e continua assustando os mais experientes gestores de tecnologia e segurança da informação.
 
Jaime Orts Y Lugo, presidente da Information Systems Security Association (ISSA) do Brasil, associação que reúne profissionais de segurança da informação, engrossa o coro dos que acreditam que há muito não se vivenciava impacto tão grande na área. 
 
“É um problema sério e estamos formando uma comissão interna para ajudar o mercado a lidar com o movimento do Bring Your Own Device (BYOD)”, diz, acrescentando que o abalo maior é para quem cuida da rede corporativa, que deverá munir-se de tecnologias, como Mobile Device Management – MDM, e fortes políticas de segurança. 
 
Lugo adianta que a entidade vai produzir uma cartilha no próximo ano, com o objetivo de destacar alguns cuidados importantes para auxiliar no gerenciamento corporativo, em especial os aspectos legais.
 
Consultores recomendam aprofundar o conhecimento em relação às alterações realizadas no artigo 6o da Consolidação das Leis do Trabalho (CLT), para entender os riscos trabalhistas antes de conceder mobilidade.
 
Algumas delas, destacadas pela advogada especializada em Direito Digital, Patrícia Peck, são que o contrato de trabalho deve ser atualizado com novas cláusulas, como: o empregado que porta dispositivos para comunicação no ambiente de trabalho [cedido ou não pela empregadora] deve estar ciente e de acordo de que o recurso não implicará em prejuízo à sua vida social e nem mesmo em requisição de trabalho a qualquer momento. 
 
E também que o termo de responsabilidade deve estar sempre atualizado, reconhecendo que o porte ou o uso do dispositivo de mobilidade cedido ou não pela empresa fora de suas dependências não configura qualquer espécie de sobrejornada.
 
“Afinal, a mobilidade abriu uma porta de entrada [de toda a sorte de ameaças] nas mãos de funcionários. É fundamental saber o que deve ser protegido e, portanto, as políticas de segurança da informação devem estar claras para toda a organização e também as implicações legais”, diz Elia San Miguel, analista principal do instituto de pesquisas Gartner, no Brasil, alertando para o risco maior de dizer não ao BYOD. “Pode ser muito pior proibir do que administrar. É a pior atitude que pode existir, pois esse cenário não tem mais volta.”
 
Mas é preciso ter muito cuidado, apesar das políticas de segurança e do uso de tecnologias adequadas, faz questão de frisar Fernando Belfort, analista de Mercado Sênior da Frost & Sullivan. Segundo ele, o brasileiro tem-se valido do perfil criativo e desenvolvido formas de burlar os bloqueios corporativos. Mas isso está acontecendo em todo o mundo. “Basta verificar na busca do Google para jailbreake. É possível encontrar mais de 70 milhões de páginas sobre o assunto, muitas delas ensinando como quebrar as barreiras de proteção”, diz e avisa que por essa razão, a conscientização pode ser uma forte aliada da segurança da informação. 
 
Charles Brett, analista especializado em Mobilidade da consultoria global Constellation Research, diz que tem observado que os profissionais de segurança de TI estão prontos e muito dispostos a reprimir a mobilidade – é claro, preocupados em proteger os interesses sociais ou organizacionais como tem sido há muitos anos. “No entanto, esse padrão de TI se aproxima do ‘vamos definir o que você pode fazer e ditar o que você não deve fazer’”, alerta. 
 
O executivo lembra que é importante não se esquecer de que o melhor caminho não é apenas proteger a empresa ou organização, como foi necessário no passado. “É vital assegurar os interesses do usuário de BYOD, que tem seus próprios direitos à segurança”, dispara. 
 
“Em alguns acordos, o funcionário deve estar ciente de que, ao ter os dados corporativos apagados, vai embora com eles a foto da sua formatura”, alerta Elia do Gartner. “Mas também não se pode deixar de lado o bom senso. Um executivo, por exemplo, tem de entender que acessar a rede corporativa do aeroporto jamais será um procedimento prudente”, reforça Célia Sarauza, gerente de Projetos da consultoria IDC.
 
Segundo Brett, o direito de a empresa limpar os dados de um dispositivo pessoal é uma atitude da “idade da pedra”. O mais adequado, prossegue, são políticas de conformidade e proteção de dados relevantes, que sejam adequadas para ambos os lados – empresa e funcionários. Ele ensina que os conceitos devem ser revistos, ressaltando que a abordagem tradicional é “limitante e egoísta.”
 
O cenário é tão crítico que a indústria saiu em campo para avaliar a movimentação para melhor atender à nova demanda por proteção. Em colaboração com a Carnegie Mellon University, o relatório da McAfee analisou o tópico da segurança móvel e da consumerização da TI. Nele, as pesquisas online foram conduzidas no ano passado pela empresa internacional de pesquisa Vanson Bourne, com mais de 1,5 mil entrevistados em 14 países, incluindo Brasil, sendo usuários de dispositivos móveis e tomadores de decisão sobre TI.  
 
Segundo o levantamento, os criminosos procuram explorar a “frágil infraestrutura celular” para acessar comunicações empresariais e corporativas, com frequência sem criptografia. À medida que os dispositivos móveis se tornam cada vez mais comuns nos ambientes empresariais e corporativos, aumentam as maneiras pelas quais os segredos comerciais e outras informações críticas ficam expostos.
 
Entre os tipos de dados em dispositivos móveis perdidos ou roubados, “dados de clientes” encabeça a lista (40%), seguidos de “propriedade intelectual corporativa” (30%). E a maior preocupação das empresas é com “perda de dados por roubo e extravio do dispositivo móvel” (acima de 60%).
 
Há uma ampla variedade de riscos relacionados e que têm como alvo os dispositivos móveis. O motivo subjacente para isso é o simples fato de que eles são tesouros de informações confidenciais sobre usuários e as empresas para as quais eles trabalham.
 
As políticas de segurança da informação, alinhadas à estratégia de cada negócio, farão toda a diferença nesse novo desafio da TI, na avaliação de analistas do setor. Para Célia é preciso deixar claro que a tecnologia hoje é usada para dar suporte às políticas. “Antes, elas eram construídas em bases mais técnicas, portanto, menos flexíveis. Agora, ligadas diretamente aos business, ganham força e cunho estratégico”, afirma.
 
Entre a cruz e a caldeira
 
A mobilidade, contagiosa e viciante, traz no DNA a flexibilidade, que gera muita produtividade aos negócios, sendo, em alguns casos, até mesmo o coração da estratégia. Por ter esse perfil, exige mais e muita proteção. E então, surge o inevitável: o perigo de ao proteger esse furacão, engessá-lo. 
 
“Segurança da informação existe para garantir a continuidade de processos da empresa. A intenção não é limitá-los. Esse é um dos maiores desafios. O pessoal de TI sofre com isso”, revela Lugo da ISSA.
 
Analistas afirmam que o pulo do gato está em saber dosar o grau de proteção. Esse tempero somente estará no ponto com estudo detalhado de cada área de negócio para verificar o nível de suas políticas de segurança. Isso requer novas habilidades do profissional de segurança, de acordo com Célia.
 
Ela acredita que ele deve reunir conhecimentos mais específicos, novas certificações e não é um personagem fácil de encontrar no mercado, considerando que deve estar mais do que antes antenado às estratégias de negócios. “Quanto mais conhecimento do business e certificado ele for, estará melhor preparado para ajudar na criação de políticas de segurança mais assertivas e também capacitado a garantir o bom uso das tecnologias e sua máxima performance.”
 
Frank Meylan, sócio-diretor de Management Consulting da KPMG no Brasil, diz que as políticas de segurança da informação para o novo cenário ainda não estão devidamente amadurecidas. “É preciso lembrar que elas estão em construção”, avisa e acrescenta que hoje não há certo ou errado, pois depende do tipo de negócio. “Para traçá-las, já se pensa em um profissional mais qualificado que deverá ganhar títulos como ‘engenheiro de dados ou da informação’, capaz de avaliar o nível de criticidade das informações e assim determinar níveis de acesso”, anuncia Meylan, para quem, dessa forma, a performance e a produtividade seriam menos abaladas pela proteção.
 
A questão é que, mais críticos, os programas de segurança da informação estão sendo revisados. Estudo da Ernst & Young revelou ser prioritário no momento para grande parte dos CIOs redesenhá-los, considerando que os profissionais de TI têm hoje nas mãos uma “colcha de retalhos para a proteção do ambiente”, o que gera lacunas na segurança.
 
O Gartner sugere às empresas a criação de um Comitê de Mobilidade, que envolva CIO, profissionais de segurança da informação e gestores de negócios e de Recursos Humanos (RH). “Isso para que possam construir uma estratégia bem planejada, para que funcionários e empresa estejam confortáveis e conscientizados”, explica Elia.
 
Célia da IDC aponta também para uma outra alternativa que é a terceirização da segurança da informação. Embora ainda mais estratégica hoje, pode haver vantagens em colocar a tarefa de proteção fora de casa. Ela diz que os chamados Managed Security Services Providers (MSSP) – provedores de serviços gerenciados de segurança – estão sendo demandados, justo porque podem oferecer profissionais qualificados, sempre em dia com as certificações mais exigidas. “Vale a pena, pois manter internamente uma equipe altamente especializada é muito caro”, argumenta.
 
“Estamos percebendo o aquecimento desse mercado. As empresas precisam alinhar e atualizar suas estratégias de segurança”, constata Eduardo Bouças, CEO da Cipher, MSSP de atuação global que também presta consultoria. Ele afirma que as empresas estão preocupadas em garantir segurança no ambiente impactado pela mobilidade e que o quadro ficará ainda mais acentuado no próximo ano.
“Mas a indústria desenvolveu tecnologias que facilitam sobremaneira o trabalho de gerenciamento da TI, como as de MDM, capazes de criar ambientes distintos nos dispositivos móveis, separando os mundos pessoal e profissional”, afirma.
 
Na mesma linha, a Módulo Security também vivencia um momento especial no setor. “A demanda para atualização de políticas de segurança aumentou consideravelmente. Hoje, os executivos não tomam decisões sem seus tablets. E a mobilidade é um risco”, afirma Marco Aurélio Maia, gerente de Projetos da Módulo Security e especialista em segurança da informação, acrescentando que a empresa tem um time específico para desenvolvimento de aplicativos móveis. “A mobilidade transformou o ambiente de TI em um campo minado. Todo o cuidado é pouco”, alerta.
 
Cuidado redobrado
 
Segundo estudo global da Ernst & Young, intitulado “Ernst & Young 2012 Global Information Security Survey”, com 1.850 profissionais de TI sobre o orçamento para os próximos 12 meses, 30% disseram que esperam que o financiamento da segurança da informação aumente entre 5% a 15%. E 9% dos entrevistados preveem um salto de 25% ou mais. Orçamentos de segurança deverão manter-se os mesmos para 44%. Cerca de um terço disse que gasta pelo menos 1 milhão de dólares por ano em segurança da informação.
 
Mais de 30% dos entrevistados relataram crescimento no número de incidentes de segurança em relação ao ano anterior. Muitos CIOs e gestores de segurança da informação lutam para se adaptar no novo ambiente de TI em constante mudança, que inclui cloud computing, mídias sociais e tablets.
 
Pouco mais de um terço diz que os dispositivos móveis de propriedade da empresa é aprovado pelos negócios, mas o uso de dispositivos pessoais não é permitido para fins profissionais. A pesquisa constatou ainda que 36% adquiriram soluções de gestão de dispositivos móveis para lidar com o quadro e 31% têm agora um “processo de governança para gerenciar o uso de aplicações móveis”. 
 
Surpreendente constatar que ainda há muito desconhecimento no mercado. Resultados de estudo da consultoria IDC Brasil, realizado com 206 empresas em todo o País, revelam que no cenário atual as empresas têm dificuldade para comprar soluções de segurança da informação. Apenas 15% das companhias têm claro o que desejam adquirir. Outras 40% sabem mais ou menos comprar segurança e o restante está desorientado.
 
A dificuldade está em entender entre as ofertas disponíveis no mercado, qual delas pode atender da melhor maneira em custo e ao momento do negócio, segundo avaliação da consultoria. 
 
Mesmo os clientes mais maduros dependem muito do apoio de um parceiro especializado para comprar adequadamente hardware, software ou serviços de segurança. “Uma equipe de segurança da informação, com profissionais especializados nas soluções presentes na empresa, sai caro para formar e caríssimo para manter”, declara Célia.
 
Números da IDC comprovam que, hoje, o orçamento destinado à segurança da informação representa entre 5% e 20% do total de TI, sendo que empresas com projetos corporativos de segurança têm orçamento mais expressivo, em torno de 15% a 20% do orçamento de TI. 
 
Além do desconhecimento em relação aos recursos que podem e devem ser utilizados, existe ainda a dificuldade em encontrar as pessoas certas com as habilidades adequadas e treinamentos para lidar com trabalhos de segurança da informação. Esta foi a principal queixa apontada por 43% dos entrevistados no estudo da Ernst & Young. Quando perguntados quais ameaças ou vulnerabilidades aumentam o risco, a resposta mais comum foi “funcionários descuidados ou não conscientes da situação e de suas responsabilidades”. Fortalecer a proteção na empresa depende, portanto, de tecnologia, políticas e, em especial, campanhas de conscientização.
 
Solange Calvo
 
http://computerworld.uol.com.br/seguranca/2013/02/04/o-desafio-de-blindar-o-tsunami-de-dispositivos-moveis-nas-empresas/