Os dispositivos móveis vêm sendo usados em ambientes corporativos há décadas – com os enormes telefones portáteis, notebooks e PDA’s ou “computadores de bolso”. Em seguida surgiu a Apple com a onda dos smartphones, e desde então, a mobilidade empresarial não tem sido a mesma.
Enquanto inúmeros avanços ocorreram na gestão de dispositivos móveis, nem todos os problemas foram solucionados. Um exemplo é que ao mesmo tempo que os hackers fazem constantes inovações em suas táticas, a maioria das empresas fica estagnada sem um upgrade significativo em suas funcionalidades de segurança.
Em 2016, 67% dos profissionais de segurança em TI entrevistados em um estudo do Ponemon Institute, disseram que era uma certeza ou pelo menos provável que ocorresse uma invasão como resultado do uso de um dispositivo móvel. Além disso, 64% admitiram que as empresas onde trabalham não estavam vigilantes quanto à proteção dos dados confidenciais neste hardware, e 63% não tinham políticas relacionadas a qual tipo de dados da empresa poderiam ser armazenados nos dispositivos móveis dos funcionários.
Abaixo exemplifico quatro maneiras pelas quais os dispositivos móveis podem ameaçar os negócios e colocar os dados confidenciais em risco.
1. Falta de acompanhamento do usuário
Os funcionários são o elo mais fraco na segurança da informação. Apesar de não terem más intenções, se os membros da equipe não aderirem totalmente aos padrões da companhia, podem se tornar uma porta aberta para um hacker.
Mesmo com simples medidas de melhores práticas estabelecidas, como bloqueio de tela ou autenticação em seus aparelhos, uma falta de acompanhamento do usuário deixará os negócios vulneráveis.
No relatório do Pew Research Center de 2017 descobriu-se que 28% dos donos de smartphones não usam um bloqueio de tela, e 40% atualizam seus aparelhos somente quando é conveniente. Este tipo de comportamento pode facilitar o controle do aparelho por hackers e o acesso a informações confidenciais.
2. Vulnerabilidades de aplicativos e aparelhos
Tradicionalmente, os aplicativos deveriam passar por um período de verificação rigoroso para garantir que o software seja seguro e valioso para o uso comercial. No entanto, os funcionários podem optar por utilizar um programa que seja mais conveniente, criando um amplo ambiente de shadow IT. Da mesma maneira, as organizações podem selecionar um aplicativo que seja bom na teoria, mas sofra de práticas de codificação ruins ou inseguras na prática, o que pode não ser aparente à primeira vista.
Em mais uma pesquisa do Ponemon Institute, descobriu-se que os participantes acreditavam que os aplicativos de Internet das Coisas são mais difíceis de proteger devido à falta de garantia de qualidade e testes para esses programas. Os participantes também se mostraram levemente mais preocupados em serem hackeados através de um aplicativo de IoT (Internet das Coisas) do que por um aplicativo móvel.
No entanto, a pesquisa indicou que a ameaça de malware para aplicativos móveis é muito mais predominante do que os softwares de IoT. 63% dos entrevistados não tinham certeza que sua empresa conhecia todos os aplicativos móveis e de IoT que estavam sendo usados no local de trabalho. Estes aplicativos não aprovados podem ter falhas significativas, e tais vulnerabilidades podem oferecer oportunidades aos hackers.
3. Sofisticação das lojas terceirizadas de aplicativos
As lojas de aplicativos iOS e Android têm programas disponíveis para download para fornecer o suporte aos usuários. No entanto, infelizmente algumas lojas terceirizadas ainda conseguem evitar a detecção e passam até mesmo a oferecer aplicativos aparentemente normais nas lojas oficiais.
Por exemplo, a Haima, uma loja terceirizada de aplicativos para iOS, promoveu de forma agressiva aplicativos reagrupados por meio de canais de rede social, aproveitando-se da popularidade de certos jogos para atrair usuários. A Haima driblou o programa de desenvolvimento da Apple fingindo ser uma empresa sem precisar ser verificada pelo processo de certificação da Apple.
A Loja Oficial de Aplicativos iOS também já sofreu uma fraude por meio de uma loja terceirizada. Ao se disfarçar como um programa legítimo, a loja oferecia aos usuários acesso a aplicativos de jailbreak e outros softwares. O aplicativo foi removido desde então, mas mostra uma enorme falha na análise destas ofertas.
4. Funcionalidades de segurança mal implementadas
Negócios confidenciais e dados do usuário devem ser protegidos de entidades externas. Se um telefone é roubado ou hackeado, a parte maliciosa não será capaz de invadir o aparelho graças a métodos como criptografia e autenticação de dois fatores.
No entanto, como discutido anteriormente, muitos usuários não instalam um bloqueio de tela em seu aparelho, deixando-o aberto para que qualquer um possa acessá-lo caso seja perdido ou roubado, criando riscos significativos de conformidade para organizações e usuários móveis.
Graves incidentes são os maiores motivadores para conscientização das mudanças necessárias para proteção.
As organizações devem reservar tempo para estabelecer processos mais rígidos de gestão móvel e reforçar políticas mais específicas. A flexibilidade e produtividade do funcionário durante a rotina de trabalho são fatores primordiais. Medidas muito severas tornam as empresas pouco competitivas diante da rapidez e inovação do mercado e podem impactar os negócios. Com melhores práticas e ferramentas de detecção podemos identificar, impedir e responder rapidamente às ameaças dando continuidade aos negócios.
*Igor Valoto é Especialista em Segurança da Trend Micro