Neste último mês de julho, o mercado de Segurança da Informação tem se dedicado especialmente a responder vulnerabilidades encontradas em diversos aparelhos móveis e computadores, com sistemas operacionais diferentes. Neste cenário, subiu a bandeira de alerta em relação às políticas de “Bring Your Own Device” (BYOD), recurso muito comum no mercado de Tecnologia e que se acentuou durante os meses de atividade remota da pandemia de COVID-19.
Para muitos casos, utilizar os próprios computadores e smartphones é uma solução simples e eficiente para manter as equipes aparelhadas sem custos, especialmente em companhias pequenas. Da mesma forma, algumas áreas ainda aplicam um misto de aparelhos corporativos e pessoais em suas tarefas.
Um exemplo é o setor varejista, especialmente relacionado às forças de vendas remotas e que saem das organizações para atuar. É comum a esses departamentos utilizarem equipamentos próprios na execução de suas atividades. Manter essas políticas de uso de recursos pessoais exige responsabilidade das empresas e dos usuários.
Isso porque smartphones, tablets e computadores desatualizados e sem as proteções recomendadas se tornam brechas expostas para atividades cibercriminosas. Através desses devices, os agentes hostis podem acessar os sistemas internos da organização e roubar credenciais, comprometer dados, inserir malwares ou promover ações de ciberespionagem.
“A partir daquele device, o colaborador tem acesso desde comunicações corporativas até drives de documentos e infraestrutura interna. Se não há tratamento por políticas de segurança, um comprometimento pode expor a empresa como um todo. Portanto, quem não gerencia os recursos usados se põe em risco”, explica o Cibersecurity Advisor, Rodrigo Jorge, em entrevista para a Security Report.
Jorge comenta que, mesmo dentro de uma política de BYOD, é possível implementar controles de acesso e uso nos aparelhos dos usuários. Mas é necessário que estes controles estejam previstos e respeitados pela força de trabalho. Nesse caso, as organizações devem aplicar um intenso trabalho de conscientização sobre a proteção dos devices privados, visando reduzir fricção com o negócio.
“Políticas permissivas demais geram exposição indesejada, porque a maturidade de Segurança do setor de varejo, por exemplo, é bastante aquém do ideal. Então a base da proteção é investir em cultura de Segurança, e isso significa ter força de vendas mais consciente, equipes de tecnologia pensando junto com a Segurança e compartilhando as obrigações de proteção com todos os usuários”, comenta ele.
Problemas de Privacidade
As companhias ainda precisam manter os protocolos de BYOD transparentes e aprovados pelos próprios usuários, pois acessos muitos restritivos e monitoramentos ostensivos podem gerar questionamentos a respeito da privacidade do uso. Os funcionários, apesar de estarem com seus próprios equipamentos, precisam se manter cientes de que está sendo monitorado, e eventuais maus usos podem gerar consequências futuras.
Por isso, o Rodrigo Jorge recomenda às empresas optarem por fornecerem os equipamentos, já em conformidade com toda a política de Cibersegurança da corporação. De acordo com ele, é mais simples aos usuários entenderem as dinâmicas de uso e, ainda assim, terão possibilidade de utilizar a ferramenta para atividades pessoais, desde que respeite os limites estabelecidos pelas proteções.
Essas questões precisam estar claras ao colaborador e à organização, buscando criar uma relação de confiança entre as partes e não haja sensações de invasão da privacidade. O indivíduo tem a possibilidade de fazer uso pessoal do aparelho, mas ele fica mais ciente de que é um equipamento monitorado.
“O BYOD é um tema que precisamos dar toda a importância do mundo. Ela exige uma política de inclusão de diversos controles, e a falta de uma estratégia de Segurança pode ser determinante na continuidade de qualquer negócio, seja grande ou pequeno”, encerra o executivo.
