No filme O Homem-Aranha, Tio Ben disse a Peter Parker antes que este se tornasse um herói: “Com grandes poderes vêm grandes responsabilidades”. O mesmo vale para aplicativos móveis – quando implementados, podem oferecer diversos benefícios às organizações, mas para assegurá-los é preciso definir medidas de segurança.
Políticas de segurança que se limitam simplesmente à implantação de uma solução de Mobile Device Management (MDM) não têm sido suficientes. Unicamente controlar o dispositivo móvel não protege os dados acessados, transmitidos e armazenados pelo equipamento, tampouco é o suficiente para implementar uma solução de Mobile Application Management (MAM) sem considerar a segurança de comunicações wireless, data center e serviços de nuvem.
É necessária a criação de uma abordagem específica para aplicativos móveis – em que o aplicativo é visto como parte integral de um ecossistema de segurança, que abrange desde dispositivos móveis até o core da nuvem e/ou do data center.
Mesmo que a estratégia de segurança de ponta a ponta seja o foco, este texto tem como prioridade as capacidades de segurança que englobam mobilidade, dados e aplicativos – estratégia nomeada de Gerenciamento de Mobilidade Corporativa (EMM, sigla em inglês para Enterprise Mobility Management) pela empresa Aberdeen. Assim, o EMM deve considerar os seguintes pontos:
- Sensores de ambiente e sensores biométricos no dispositivo (como captura de imagens de vídeo, geolocalização, som, impressão digital, scanner de íris, etc.) devem seguir as políticas de captura de dados da organização e seu uso deve ser controlado pelo MDM.
- Controles de acesso ao dispositivo protegem o acesso físico ao exigirem reconhecimento de uma senha pré-definida, de padrões, biometria voz e face.
- Software de gerenciamento de conteúdo/prevenção de perda de dados utilizam dados armazenados criptografados, políticas para controles de “recortar e colar” (para prevenir o vazamento de dados, controle de acesso via filtro URL para restringir o compartilhamento intencional e inadvertido de conteúdos protegidos).
- O armazenamento de dados criptografados utiliza códigos cifrados para proteção de dados armazenados no dispositivo, seja na memória volátil, memória persistente ou armazenamento removível.
- O Gerenciamento de Aplicações e Segurança utiliza MAM para garantir o acesso e implantação de aplicativos móveis corporativos aprovados, incluindo a capacidade de aprovar (white list) aplicativos compatíveis e aplicações sem compliance em quarentena (black list). Serviços MAM, como os da AirWatch, MobileIron e Apperian, normalmente incorporam uma loja de aplicativos da empresa, que fornece um local central para a distribuição online, download e acompanhamento de políticas compatíveis de aplicativos móveis para uso dos funcionários.
- O Gerenciamento de Dispositivos e Segurança usa MDM para definir e aplicar políticas de controle do dispositivo móvel remotamente. Serviços típicos, disponíveis com BoxTone, SAP Afaria e Fiberlinkm, incluem a limpeza over-the-air de dispositivos (apagar todos os aplicativos e dados no aparelho), bloqueio de acesso ao dispositivo e configuração remota.
- A autenticação de usuário requer a confirmação da identidade, conforme descrito em serviço de diretório corporativo (por exemplo, Active Directory) antes de dar acesso a dados ou software seguros. A autenticação de dois fatores é normalmente recomendada para dados confidenciais – como uma combinação de nome de usuário com senha mais uma pergunta secreta.
- A autenticação do dispositivo confirma a identidade única de um dispositivo físico. Ela deve atender aos requisitos de configuração de segurança, independentemente de seus usuários.
- Antivírus e anti-malware utilizam um software e/ou serviço web para proteger o sistema operacional móvel e sistema de arquivos, evitando armazenar ou espalhar um vírus ou malware pelo computador. Opções de softwares de antivírus e anti-malware para dispositivos móveis são fornecidos pela McAfee, Symantec, Kaspersky e Avast. É interessante notar que quase todos os produtos disponíveis focam na plataforma Android.
A segurança de aplicativos móveis de uma empresa é muito mais do que MDM ou MAM, ela deve incorporar cada fase do acesso e integração de dados, desde o core da nuvem até os limites móveis. Para manter a propriedade intelectual da organização protegida, a segurança de aplicativos móveis deve ser uma preocupação e responsabilidade de cada funcionário e não deve ser implementada de maneira “ad hoc”, mas como uma estratégia bem coordenada liderada por especialistas internos, ou seja, a TI.
Fonte: "Como implantar uma política de segurança para apps corporativos - Information Week." Information Week. http://informationweek.itweb.com.br/15812/como-implantar-uma-politica-de-seguranca-para-apps-corporativos/ (accessed October 8, 2013).
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário