Decifra-me ou te Devoro: Mobilidade e a Segurança da Informação

por Alê Almeida[1].

Dois temas têm norteado o debate sobre Tecnologia da Informação: Mobilidade e Segurança. Estes temas, de um lado, são complementares e de outro, são dependentes, de modo que não seria possível analisá-los isoladamente.

Grosso modo, podemos entender a práxis das transformações sociais como precedentes às políticas e regulamentações, ou seja, primeiro ocorreriam as transformações de conduta para depois haver um posicionamento regulamentar ou político a fim de “controlar” tais comportamentos. O cenário da Tecnologia da Informação proporcionou uma avalanche de informações e ampliou o seu acesso. Podemos supor que os indivíduos ampliaram seus horizontes e tornaram-se mais independentes em suas vidas e essa independência parece estar se refletindo no ambiente profissional.

O Jornal Valor Econômico publicou a matéria “Aumenta a flexibilidade no trabalho nos Estados Unidos[2]”, essa “flexibilidade” pode estar relacionada à independência alcançada pelos indivíduos, ora viabilizada pela Tecnologia da Informação. Aqui, a hipótese é que a independência alcançada se amplia para todos os segmentos da vida, inclusive para o trabalho profissional. A Symantec entende que “mobilidade não é tendência, é demanda[3]”, ou seja, a mobilidade está intrinsecamente ligada à flexibilidade do trabalho.

Sabemos que não há ações sem reações, é um ciclo infinito. Seja pelo esgotamento do formato tradicional de trabalho, seja pelo volume de informações ou pela “facilidade” ao acesso, a questão é que as transformações sociais têm ocorrido demasiadamente rápidas, assim como as informações, e em contrapartida os processos políticos ou regulamentares precisam de um maior tempo de maturação, pois antes de se posicionarem efetivamente, precisam primeiro interpretar tais transformações, ou seja, é como se estivessem sempre a um passo atrás.

Muito bem. Temos aqui um empasse, de um lado a mobilidade é uma realidade sem volta e de outro, não há o controle necessário a fim de assegurar as informações corporativas. O que se faz? “Acesso à rede corporativa via dispositivo pessoal ainda é para poucos[4]” esse é o título de uma matéria que apresenta o resultado de uma pesquisa, onde foi diagnosticado que

apenas um terço das empresas americanas permite que funcionários acessem a rede da companhia por meio de dispositivos pessoais como smartphones e tablets. De acordo com uma pesquisa da Robert Half com 1.400 executivos de tecnologia americanos, o principal desafio são os riscos de segurança[5].

No Brasil, 56% do acesso à Internet é através de smartphones e tablets[6], vale lembrar que a aquisição de tecnologia com um bem, também está facilitada em razão do acesso ao crédito pessoal, outra questão importante é que os jovens entre 18 e 24 anos[7] se interessam mais por equipamentos tecnológicos do que por carros[8], aqui o nosso impasse se reforça, ou seja, proibir o acesso às redes corporativas não é a melhor saída.

Na Mídia

Aumenta a Pressão do Usuário pela Consumerização, afirma a IDC[9]
Consultoria aconselha que empresas tirem proveito desse novo universo e criem políticas adequadas para gerenciar o mar de dispositivos pessoais no ambiente corporativo.

O mundo vive a terceira onda de tecnologia, afirma a consultoria IDC, e no centro está a mobilidade, que tem sido impulsionada pela consumerização, um caminho sem volta, diz Luciano Crippa, gerente de pesquisas da IDC. “A movimentação de levar dispositivos pessoais para uso no ambiente corporativo não é nova, mas a pressão dos usuários para ampliar sua aceitação aumentou”, resume.

De acordo com Crippa, até pouco tempo o CIO conhecia a tecnologia, entendia sua aplicação nos negócios e a levava para dentro de casa. Agora, o quadro mudou. “O funcionário passa a inserir a TI na empresa com o objetivo de tornar o dia a dia mais produtivo”, assinala. “O usuário foi promovido a CIO e cada um tem seu micro ambiente tecnológico”, brinca.

Pesquisa da IDC conduzida com 3 mil profissionais em todo o mundo indica que em 2010, 30,7% dos dispositivos que circulavam na organização e acessavam a rede eram pessoais e 69,3% corporativos. Em 2011, os pessoais saltaram para 40,7%. Na América Latina, aponta o levantamento, 43% dos profissionais estão autorizados a acessar dados da empresa, seja e-mail ou qualquer outro tipo de aplicação, por meio de aparelhos pessoais.

“Cada vez mais os executivos vão migrar do simples uso do correio eletrônico para BI, CRM e ERP, fazendo com que esse número cresça”, projeta. Em 2016, a consultoria estima que mais de 50 milhões de smartphones serão vendidos no Brasil o que reforça a ideia de que consumerização será uma realidade, diz.

Apesar disso, poucas organizações [de variados setores] desenvolvem políticas para regular o uso ou então permitem utilização dos dispositivos. Parte desse bloqueio acontece porque a TI, muitas vezes, não tem real dimensão do que os funcionários utilizam.

Identificou-se que TI acredita que 34% da força de trabalho usa devices pessoais na empresa. Enquanto isso, 69% dos profissionais disseram que têm acesso a dispositivos inteligentes na organização. Para ele, o CIO está reativo, mas o primeiro passo para mudar essa postura é ter uma visão 360 graus das tecnologias presentes na empresa.

Segundo Crippa, o mercado, e especialmente a mão de obra, está mudando mais rápido e a inflexibilidade para aceitar esse universo é um risco. “É precisos tirar proveito e envolver os executivos de negócios. O custo de perder oportunidades pode ser alto”, alerta.

Mas, assim como qualquer conceito emergente, alguns gargalos e preocupações são identificados, observa, como compliance, segurança, custo e cultura. “Algumas questão não resolvidas podem frear a adoção, como quem é o responsável pela segurança e privacidade dos dados? E se o usuário tiver uma aplicação pirata no aparelho, de quem é a responsabilidade?”, questiona.

Para lidar com a consumerização, Crippa aconselha que as organizações invistam em tecnologias ou serviços que possibilitem segurança nos dispositivos, virtualização de desktops para permitir o acesso das informações em qualquer device, backup online e gerenciamento centralizado.

A criação de políticas também faz parte da lista. “É necessário estabelecer quem pode acessar a rede e as informações corporativas por meio de aparelhos pessoais, quais dispositivos estão habilitados etc”, recomenda.

De acordo com ele, também é importante que os usuários concordem com a criptografia de dados, estabelecimento de senhas fortes e autotravamento do aparelho, bloqueamento remoto, monitoramento, acordo de suporte, entre outros.

Ao criar um ambiente em que a consumerização é permitida e gerenciada de forma adequada, Crippa afirma que diversos benefícios podem ser conquistados. “Contratar e reter melhores talentos, registrar menores custos para entregar acesso à rede corporativa, aumento da vantagem competitiva, espalhar a inovação pela companhia e atender às mudanças nas preferências dos funcionários são alguns”, detalha.

 

BYOD Resgata Conceito de Controle de Acesso à Rede[10]
Necessidade de gerenciar os dispositivos móveis pessoais no ambiente corporativo provoca ressurgimento do NAC, que as empresas tentaram emplacar há dez anos

O crescimento do movimento BYOD (do inglês Bring Your Own Device), que permite que funcionários levem dispositivos móveis pessoais para o ambiente corporativo, promete reativar o NAC (Network-Acess Control) ou controle de rede de acesso baseado em políticas de segurança que surgiu há dez anos, mas que não pegou porque os sistemas de gerenciamento dos terminais não estavam tão avançados.

Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones e smartphones Android para fins comerciais, vai estimular o renascimento do NAC. Segundo a consultoria, o momento é ideal para o resurgimento desse conceito por causa da necessidade de abraçar a consumerização com medidas de segurança.

Quando o NAC surgiu lá atrás, ele deveria ser amplamente adotado pelos empregados e visitantes cada vez que precisassem acessar à rede corporativa. Seu papel era verificar se o equipamento do usuário estava protegido e checar se antivírus e patches de segurança estavam atualizados antes de permitir a entrada no ambiente. Mas apesar de ter se apresentado como uma tecnologia respeitada, o conceito não ganhou muita adesão.

Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC começou há cerca de 10 anos, com aprovação modesta, principalmente por instituições financeiras e universidades para garantir a segurança de sistemas críticos. Agora o NAC promete deslanchar casado com outra sigla que está se tornando conhecida no mundo corporativo: Mobile Device Managment (MDM), que é o gerenciamento de dispositivos móveis dentro das companhias.

Orans afirma que o NAC está recebendo uma segunda chance, pegando uma carona em BYOD. Ele acredita que desta vez o conceito vai ganhar popularidade por causa do aumento do movimento sem volta da consumerização e que aumenta as exigências de segurança dos dispositivos móveis.

A indústria de software aposta nessa tendência. Prova disso foi o anúncio esta semana da primeira integradora de NAC/MDM que é a FiberLink, que vai prover o gerenciamento de dispositivos na nuvem em parceria com a ForeScout, baseadas nas duas tecnologias.

De acordo com Scott Gordon, vice-presidente de marketing mundial da ForeScout, qualquer pessoa com a solução MDM FiberLink será capaz de exercer controles NAC para a Apple iOS ou dispositivos Android da Google.

A consultoria Ovum estima existir atualmente cerca de 70 fornecedores de soluções de MDM de diferentes tipos que estão olhando para NAC. A união das duas tecnologias oferece algumas vantagens, diz Orans, pois permite que gerentes de TI estabeleçam políticas de controles para BYOD.

A FiberLink e ForeScout afirmam que sua abordagem para BYOD permite uma política de que isola os dispositivos de propriedade pessoal em uma zona de acesso restrito, onde os usuários podem acessar um conjunto de dados e aplicativos de forma segura.

Os funcionários podem encontrar vantagens nos controles NAC/MDM, completa Neil Florio, vice-presidente de marketing da FiberLink. Ambos permitem configurações de privacidade. “Hoje os empregados têm medo de que a gestão de dispositivos permita visualizar informações pessoais de seus aparelhos. Mas uma organização de TI pode estabelecer políticas de não olhar para os dados pessoais”, afirma.

 

Uma em Cada Quatro Empresas teve Dispositivos Móveis Infectados em 2011[11]
Índice praticamente triplicou em relação ao ano anterior, o que indica que companhias não estão cuidando da segurança de smartphones como deveriam.

Pela redução de gastos, empresas são tentadas a admitir que funcionários tragam seus próprios smartphones para a rede corporativa, assumindo riscos que não toleram com aparelhos convencionais, como notebooks.

A conclusão parte do instituto Goode Intelligence, que em seu estudo também confirmou a liderança do iPhone nas companhias, superando o BlackBerry no segmento que até pouco tempo atrás dominava. O produto da Apple está em 77% das corporações, à frente do dispositivo da RIM, com 70%, e dos smarthpones com Android, que atingiram 65% e continuam crescendo.

Quando perguntadas se adotavam o conceito “traga seu próprio dispositivo” (BYOD, na sigla em inglês), 71% responderam afirmativamente, e 47% admitiram que informações sigilosos eram armazenadas neles.

Muitos dos smartphone utilizados não foram adaptados para funcionarem seguindo as normas de segurança, apenas um em cada cinco tem softwares antivírus e só metade criptografa os dados trocados.

Está longe de ser uma coincidência, portanto, a alta nos incidentes de contaminação, que estavam em 7% em 2009, subiram para 9% em 2010 e alcançaram 24% ano passado.

“Os últimos três anos foram extraordinários para os dispositivos móveis e não há sinais de arrefecimento. Smartphones e tablets estão transformando o modo como as organizações fazem negócios e gerenciam informações”, disse Alan Goode, autor do estudo.

É preciso ressaltar o pequeno universo aferido pela Goode Intelligence, que ouviu apenas 130 profissionais de TI de três continentes. No entanto, tem a vantagem de se basear nas respostas das próprias empresas em vez de fazer uma analogia com o número de malwares identificados.

“Há uma grande questão em relação à velocidade com que os profissionais conseguirão se capacitar para manterem-se atualizados a segurança necessária nos dispositivos móveis e os riscos associados a eles.”

Também é difícil inferir se a alta na quantidade de pragas para smartpohnes pode ser atribuída à pratica do BYOD, embora a pesquisa da Goode sugira uma conexão, dada a natureza desprotegida dos sistemas móveis envolvidos.

Análise

Nos termos de Charles Darwin “não é o mais forte que sobrevive, nem o mais inteligente, mas o que melhor se adapta às mudanças”, do nosso ponto vista este é o plano de fundo que as fábricas de software devem ter quando buscarem soluções para este cenário móvel dos indivíduos. São eles, os indivíduos, os “objetos” principais a serem analisados quando da reflexão sobre como deverão ser as ferramentas de segurança, a engenharia e a base técnico-teórica são posteriores.

Nossa contemporaneidade solicita um novo ponto de vista da Tecnologia da Informação, é preciso agora se descolar do “tecnês” e aproximar-se dos comportamentos humanos. O que esse novo homem quer? Ou melhor, o que esse novo homem sabe sobre as possibilidades do seu querer?

Com um olhar superficial podemos arriscar que a TI rompeu as fronteiras do acesso à informação. No que tange ao ambiente corporativo e confirmado em matéria citada neste artigo “O usuário foi promovido a CIO e cada um tem seu micro ambiente tecnológico”. Esse é um caminho sem volta, pois não há retrocessos na evolução das espécies.

Tal como a Esfinge, a Mobilidade parece tomar feições de enigma por conta de sua variabilidade e diversidade, aqui muito mais do que cabeça de mulher, corpo de leão e asas de águia.


[1] Alê Almeida é diretora de marketing da Virtù Tecnológica, graduada em Publicidade e Gestão de Marketing e  graduanda em Sociologia e Política. ale@virtutecnologica.com.br.

[3] Disponível em http://www.tiinside.com.br/News.aspx?C=264. Acesso em 09/05/2012.

[5] Idem.

[8] Esse recorte se justifica porque é esta faixa-etária que está no mercado de TI e porque a substituição do carro, em tempos passados idealizado como sinônimo de liberdade e mobilidade, foi substituído por dispositivos de tecnologia da informação.

About virtutecnologica

O entendimento e o atendimento das necessidades e expectativas de nossos clientes é o nosso ponto focal. Monitoramos e pesquisamos constantemente o cenário da Tecnologia da Informação e o contexto social, a fim de traçar as tendências das necessidades das corporações. O resultado deste trabalho é trazer aos nossos clientes soluções estratégicas e eficientes que atendam ao pleno desenvolvimento de seus negócios. Buscamos relacionamentos comerciais duradouros, pois acreditamos que a empresa que mais tempo se mantém viva é a que tem como princípio sua contínua superação ou “a empresa que aprende”. Nossos colaboradores colocam suas almas no trabalho, onde o respeito mútuo se faz verdadeiramente presente, em nosso ambiente profissional, impera o espírito de comunidade e a integridade dos nossos funcionários. Nossa leitura é que quanto mais pessoas de bom caráter fizerem parte do nosso corpo de colaboradores, mais sucesso teremos e maior será nossa possibilidade de integrar o grupo das empresas vivas. Os indivíduos com Virtù são definidos fundamentalmente pelo conjunto de suas qualidades ético-morais que viabilizam o controle estratégico de seus objetivos. Fazem isto numa combinação de prudência, caráter, força e cálculo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: