Recursos/White Papers

Gestão

Cuidado! Hackers não tiram folga na Semana Santa

Dez estratégias para evitar problemas com BYOD durante o feriado

Da Redação

Publicada em 15 de março de 2016 às 11h27

Login remoto e mobilidade são alguns dos avanços trazidos pela tecnologia. A finalidade desses recursos, porém, deve se dar em torno dos negócios. À medida que pequenas e médias empresas se encantam pelas facilidades, e buscam nela um meio de reduzir custo e trazer benefícios para a companhia, as mídias sociais e as formas de acesso a distância fazem parte das peças centrais no tabuleiro das companhias. Possibilitar aos empregados o acesso remoto pode ajudar as empresas a alcançar os objetivos, agiliza o atendimento ao consumidor e acelera a dinâmica do modelo de negócios.

Importante ressaltar que aumentar a mobilidade implica em aumentar os riscos à segurança dos sistemas informatizados, aos dados e à saúde da empresa em geral. É sabido, por exemplo, que o crescente uso das redes sociais e de compartilhamento de conteúdo na web carrega o uso do sinal de conexão e expõem a rede a pragas virtuais e vírus. Usar esses canais com notebooks ou outros dispositivos portáteis só faz aumentar o perigo.

Na semana que vem, por exemplo, em que se comemora o feriado da Páscoa e muitas pessoas aproveitam para viajar, há um grupo de pessoas que seguirá trabalhando duro: os hackers. O alvo principal desses cibercriminosos pode ser o dispositivo móvel dos usuários. Com o modelo BYOD, o smartphone serve de ponto de acesso para as principais informações da sua empresa.

Segundo a Tech Pro Research, o movimento BYOD está em grande expansão, com 74% das empresas já usando ou planejando permitir que seus funcionários levem os seus próprios dispositivos móveis para o trabalho. Esse mesmo dispositivo móvel, é claro, será levado à praia, ao hotel na montanha, etc.

"O crescimento do BYOD e do armazenamento de dados corporativos na nuvem, e funcionários conectando-se à rede corporativa via WiFi público confirmam a chegada de uma nova era. Uma era em que a noção tradicional do perímetro da rede e superfície de ataque se expandiu ou se dissolveu, e as vulnerabilidades aumentaram muito", alerta Marcos Oliveira, country manager da Blue Coat Brasil.

Para a Blue Coat, o fato de um funcionário viajar levando seu dispositivo móvel -- o mesmo com que ele acessa a rede da empresa -- não significa necessariamente que os dados corporativos estarão em risco. Veja o que deve ser feito para evitar isso:

1 - As empresas devem bloquear o tráfego para os domínios de Internet (TLDs) de maior risco;

2 - Quando houver dúvidas em relação à origem de um link, os funcionários devem passar o mouse em cima dele para se certificarem do endereço;

3 - As empresas devem conscientizar os funcionários quanto aos riscos de fazer download de apps de fontes não oficiais;

4 - Explicar aos usuários os perigos de se conectarem à redes Wi-Fi gratuitas ou inseguras;

5 - Moderar os conteúdos que os usuários compartilham e incentivá-los a usar filtros de privacidade em suas redes sociais;

6 - Garantir que os usuários desativarão a geolocalização das suas atualizações de status nas redes sociais;

7 - Garantir que todos os usuários corporativos BYOD tenham um antivírus instalado em seu smartphone;

8 - Atentar para aplicações como mídias sociais, armazenamento de arquivos, pesquisa e software baseado na nuvem que, comumente, utilizam Secure Sockets Layer (SSL) e Transport Layer Security (TLS) -- protocolos default de criptografia para as comunicações via web, nuvem e dispositivos móveis -- como base para comunicação, efetuando um rastreamento em busca de conteúdo e atividade maliciosos;

9 - Criar diretrizes para orientar os funcionários a não fazerem jailbreak em seus telefones. Esta é uma técnica desenvolvida por hackers para o desbloqueio do sistema operacional iOS, permitindo a instalação de softwares não autorizados pela Apple nos dispositivos;

10 - Adotar a arquitetura de segurança na nuvem indicada pelo Gartner, o CASB - Cloud Access Security Broker.

Outras medidas importantes, de longo prazo
Sem as devidas medidas de segurança, resta às organizações somente torcer para que não ocorram furtos de dados, abuso da estrutura da rede, infestações de vírus, de trojans e outras mazelas endêmicas de rede.

Listamos também seis vacinas importantes para o aumento da imunidade do sistema de dados das empresas contra ataques móveis, a longo prazo.

1 - Blindar a VPN
Decidir usar uma VPN para os acessos requer um estudo cuidadoso das informações que a organização quer partilhar nessa modalidade de acesso. Caso pretenda executar a transferência de dados confidenciais, o conselho é desconfiar das opções de VPN pré-instaladas. 

Apesar de vários sistemas operacionais disponibilizarem protocolos VPN padrão, é comum basearem a autenticação dos usuários em login e senha simples e dispensarem autenticações robustas e elementos de criptografia, deixando as portas abertas para a ação de hackers e outros invasores, como os bots e vírus. 

Uma sugestão para incrementar a segurança nos acessos VPN é direcionar todo o tráfego IP para passar pelo túnel VPN e garantir apenas acessos seletivos. Um esquema de várias camadas é a melhor opção. Mas nenhuma VPN que pretenda ser sofisticada e usada para a comunicação de aplicativos críticos e de dados vitais poderá abrir mão de ferramentas adicionais para autenticação e criptografia de dados.

2 - Blindar os dispositivos móveis
Usuários com acesso a notebooks e a smartphones requerem estratégias de segurança. Nesse elenco de estratégias entram a combinação de senhas, uso de firewalls, criptografia parcial ou integral de discos rígidos e o uso – absolutamente indispensável – de softwares atualizados de antivírus e antispam. A maioria dessas alternativas pode ser implantada de maneira franca e transparente, e irá ajudar no combate às invasões e à perda de dados.

3 - Senhas e criptografia
Certifique-se de todos os dispositivos móveis estarem protegidos por senha e por criptografia. Se possível implemente um esquema de geração de senhas válidas para uma única sessão. Caso o pacote contendo essa senha seja sequestrado, ele permitirá o acesso por apenas uma única vez.

Altamente recomendável é instruir os funcionários a criar senhas robustas e a abolir o uso das palavras “senha” e “12345” nos dispositivos. Senhas que se prezem são compostas por uma combinação de caracteres alfanuméricos maiúsculos e minúsculos.

4 - Definação de políticas para acesso com dispositivos móveis
Admitir que a maioria dos usuários não presta muita atenção para a segurança até que ocorra um desastre é o primeiro passo em direção à erradicação dos riscos. Logo, o aconselhável é realizar treinamentos e colocar os funcionários a par do perigo que correm quando menos desconfiam. 

Sessões de capacitação para o uso adequado de smartphones e correlatos é, juntamente com a constante lembrança de manterem-se às regras estabelecidas, um excelente remédio.

Para finalizar, seguem duas dicas que você não vai querer aprender da maneira mais difícil, acredite.

5- Controle sobre dados confidenciais
Os casos de furtos e roubos de dispositivos móveis tem aumentado radicalmente. A maioria contém dados pessoais e alguns de ordem estritamente confidencial. Boa parte dos casos de extravio comprometem dados privados e números de cartão de crédito, de acesso e mais. Em 2010 um notebook contendo dados médicos de 12,5 mil pacientes foi roubado de dentro de uma residência na Flórida, EUA.

Esses casos não são exatamente novidade e trazem uma importante dica: dados preciosos ser submetidos a esquemas de segurança que envolvam criptografia de várias camadas. Mesmo que o notebook vá parar indevidamente na mão de alguém, a leitura dos dados deve ser dificultada ao máximo.

Se a companhia não puder garantir a seguranças dos dispositivos móveis, ela deverá impedir que eles cheguem ao sistema de arquivos dos notebooks e smartphones, ficando no servidor da corporação, em um lugar bem seguro. Configure os sistemas para autenticação de acesso seguro, mesmo a partir de locais remotos, aproveite e impeça que sejam realizados downloads.

6 - Cuidado com os e-mails
Esse assunto já foi discutido à exaustão. Mesmo assim, nunca é suficiente. Boa parte dos riscos do uso de dispositivos móveis advém dos próprios usuários. Isso inclui o acesso aos emails particulares. Sendo assim, cabe a eles tratar o assunto de segurança dos laptops e iPhones como se fosse um problema particular. 

Instrua os funcionários sobre métodos de se prevenir contra vírus e outros softwares danosos que podem estar escondidos em mensagens de email com anexos. Certifique-se que cada um dos empregados esteja alertado sobre a execução de arquivos desconhecidos. Concluindo, não permita que saiam abrindo todo e qualquer anexo de origem suspeita.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui