Não é preciso confiar nos smartphones para usá-los com segurança
*Leonardo Carissimi
Segundo o Gartner, cada usuário de tecnologia em ambientes de trabalhos digitais tem em média 3 dispositivos móveis, número este que aumentará para 5 ou 6 nos próximos anos com o advento de tecnologias como a Internet das Coisas (IoT) e a TI vestível (wearables). Muitos desses usuários têm autonomia para escolher seus dispositivos e aplicativos – incluindo a prerrogativa de incorporar dispositivos de sua propriedade ao seu dia-a-dia profissional, dentro das organizações. Assim, políticas de "Traga seu Próprio Dispositivo" (BYOD, na sigla em inglês) tornam-se majoritárias e em ritmo acelerado. E novos desafios de segurança se apresentam.
O simples fato da mudança de propriedade do dispositivo já implica na necessidade de revisar a abordagem de segurança. Afinal, o mercado sempre trabalhou com a premissa de que o equipamento de propriedade da empresa é mais confiável, e por isso é preferível.
Em um ambiente no qual os aparelhos são de propriedade da empresa, a esta assegura-se o direito de instalar as ferramentas, padrões e políticas corporativas que melhor lhe convenha. A organização assume a gestão e o controle do dispositivo como um todo. Esse modelo se aplica quase que igualmente para um computador (de mesa ou portátil) ou um equipamento móvel como smartphone ou tablet. Se a política da empresa proíbe a instalação de aplicativos estranhos ao negócio ou diferentes de um conjunto homologado e aprovado, o usuário simplesmente não poderá fazê-lo.
Esse nível de controle e restrição tem claramente um Custo Total de Propriedade (TCO, na sigla em inglês) considerável, mas também um custo em termos de processos de inovação, flexibilidade e produtividade. Principalmente no ambiente móvel. Não estamos falando apenas de restringir a liberdade de escolher o dispositivo de sua preferência. Hoje em dia tão ou mais importante que a liberdade de escolher o equipamento é a liberdade de escolher os aplicativos. Todo usuário tem seus aplicativos preferidos, seja para redes sociais, incremento de produtividade, para chamar táxi, acompanhar status de voos, escolher rota no trânsito ou pedir uma refeição. Muitos destes são ferramentas de produtividade e apoio às atividades profissionais diárias, ainda que não "oficiais" da empresa. E, claro, desde que usados com observância de princípios básicos não apresentam risco à organização.
De qualquer forma, não são bem-vindos em um modelo de controle do dispositivo. E por isso, gerenciar a segurança no aparelho como um todo é cada vez mais desafiador. Inibe a inovação. Uma mudança de abordagem é necessária. Será que a empresa precisa ter a propriedade do dispositivo? Será que é mesmo necessário que se confie no dispositivo? Podemos mudar o foco para proteger o que realmente importa: os sistemas e dados corporativos. Independentemente de quem é o proprietário e a confiança que se tem no equipamento.
Considere as soluções de segurança móvel que focam em proteger individualmente aplicativos e seus dados, não em proteger o dispositivo móvel. Soluções avançadas que criam uma "bolha" (pode chamar também de "container" ou "sandbox") ao redor da aplicação e seus dados, entregando um ambiente virtual totalmente isolado dentro do dispositivo (não importa quem seja o seu dono). Trata-se de um isolamento criptográfico que blinda aplicativos e dados de quaisquer ameaças trazidas por outros aplicativos ou usuários não autorizados naquele mesmo equipamento. A aplicação protegida não é visível às outras aplicações e tampouco a usuários não autorizados. Ou seja, um acesso indevido ao dispositivo ou um malware que o contamine não terá visibilidade e acesso àquele segmento de memória protegido para a aplicação. O usuário pode, assim, instalar quaisquer aplicativos sem ameaçar a segurança dos dados corporativos, protegidos no container.
Soma-se a este isolamento outros recursos de segurança, tais como: um sistema de autenticação forte (com múltiplos fatores de autenticação como tokens, certificados digitais e biometria); um túnel IPSec, entre o container e o Data Center (ou Nuvem) onde reside o servidor de aplicação; identificação de dispositivos comprometidos (jailbreak); data de validade para uso das aplicações, o que facilita o controle em caso de terceiros com contratos de trabalho encerrando; habilitação ou não de funcionalidades de acordo com a geolocalização do dispositivo; desabilitação de funções como copiar e colar, para proteção adicional dos dados visualizados na aplicação, entre outras. Tudo isso em um nível de granularidade de aplicações, ou seja, você pode aplicar diferentes regras para diferentes aplicações. Vários túneis IPSec, por exemplo, um para cada aplicação acessar seguramente seu respectivo servidor.
Tão importante quanto aumentar a segurança é fazê-lo rapidamente e com custo acessível. E isto também já é oferecido por boas soluções de segurança de aplicações. Note que algumas delas permitem que a segurança seja provisionada rapidamente, sem alterar uma linha de código! Ganha-se tempo para o lançamento de novas aplicações no mercado, e reduz-se o custo e tempo para proteção de aplicações móveis já desenvolvidas.
Enfim, as soluções de segurança para aplicações móveis tornam-se uma alternativa segura, flexível e econômica para proteção de dados corporativos em dispositivos móveis. À medida em que as necessidades de inovação demandam mais aplicações móveis e Computação em Nuvem, adotar soluções de segurança de fácil implementação, transparentes para as aplicações e eficazes se torna mandatório.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina