Opinião | Segurança Móvel: oito dicas para proteger os dados e dispositivos

A nova regulação da União Europeia responsabiliza qualquer empresa ou indivíduo pela proteção dos dados guardados do utilizador, incluindo terceiros, tais como fornecedores de serviços em nuvem. Enquanto se espera que seja implementada, vários países estão a antecipar-se e já estão a fazer os seus próprios regulamentos. A Federal German Data Protection Act, por sua vez, também aprovou diretrizes sobre como os dados da empresa devem ser armazenados, utilizados e acedidos a partir de dispositivos privados.

Stephan Romeder
Stephan Romeder

Como os dispositivos móveis são muito vulneráveis, adotar uma única abordagem de segurança não é o suficiente. Especialistas discutem se estas medidas devem ser aplicadas no nível do dispositivo, da aplicação ou dos dados, mas, no entanto, uma abordagem prudente e aconselhável, é aplicar uma combinação de técnicas em todos os três níveis para manter os dados seguros.

Aqui incluímos oito procedimentos para manter seus dados móveis corporativos seguros:

1 – Autenticação multifator – O uso de uma combinação entre nome de utilizador e password é considerado uma autenticação de fator único e não é suficientemente forte. A autenticação de múltiplos fatores envolve três fatores comuns de autenticação: algo que o utilizador sabe (por exemplo, senha, PIN), algo que utilizador tem (por exemplo, cartão inteligente, certificado digital), e algo que utilizador é (por exemplo, impressão digital, padrão de retina).

2 – Direitos do utilizador baseados no tempo e na  localização – Podem ser definidos com base no dia da semana, ou na hora baseada em horários de trabalho estabelecidos. Quanto mais específicas forem as autorizações de segurança menor será a probabilidade de que um hacker obtenha acesso. E nos casos em que ocorre uma invasão, os danos podem ser limitados. As permissões do utilizador devem variar dependendo de onde os dados aparecem. Por exemplo, um vendedor pode ter permissão para editar a descrição do produto numa fatura para o cliente, mas não  num catálogo de produtos online usado por todos os funcionários.

3 – Criar repositório de apps – Os repositórios de aplicações melhoram significativamente a segurança ao criar um espaço de trabalho corporativo no dispositivo móvel, independentemente de ser de propriedade da empresa ou do funcionário, e para todas as plataformas móveis suportadas. Os utilizadores autorizados obtêm acesso aos dados e aplicações corporativos com segurança empresarial e integração profunda com a gestão de permissões dos utilizadores incluindo as tecnologias de autenticação incorporadas.

4 – Encriptar dados em stand-by e dados em trânsito – As aplicações off-line geralmente armazenam os dados necessários no dispositivo, deixando informações em stand-by expostas a invasores. Encriptar esses dados pode minimizar o risco. Pessoas mal-intencionadas podem interceptar e monitorar dados expostos através da Internet. Ao proteger a transmissão online de dados, recomenda-se usar mais de um tipo de algoritmo de encriptação. A encriptação simétrica é rápida e fácil de usar e consome muito pouco processador, enquanto a encriptação assimétrica é computacionalmente muito mais cara e, no entanto, mais lenta. Ao combinar o uso de encriptação assimétrica para encriptar a chave e enviá-la ao longo das extremidades e, depois, desencriptar o resto dos dados usando a eficiência de chaves simétricas rápidas e fáceis,  a empresa alcança níveis de segurança elevados.

5 – Implementar a Gestão de Dispositivos Móveis (MDM) – Uma plataforma de MDM protege a entrega e o acesso ao conteúdo corporativo; define e reforça a política de TI; aplica limites geográficos virtuais para dispositivos; e aproveita poderosos recursos de autenticação, gestão de certificados e encriptação de dados. Os recursos de monitorização de uma solução MDM geralmente incluem monitorização remota, relatórios de uso e recursos que permitem rastrear e relatar qualquer parâmetro do dispositivo em tempo real e obter informações analíticas úteis sobre o uso de dispositivos móveis em toda a empresa.

O MDM possibilita o controle de dispositivos corporativos habilitados como pessoais (COPE) e dispositivos Bring Your Own Device (BYOD). Por esse motivo, o MDM precisa ser multi-plataforma. Devido à diversidade de fabricantes no mercado Android, uma solução MDM deve suportar a interoperabilidade entre fabricantes.

6 – Implementar a Gestão de Aplicativos Móveis (MAM) – O recurso capacita os administradores de TI a distribuir, atualizar, gerir e proteger aplicações em smartphones partilhados, pessoais e corporativos. Uma consola centralizada permite gerir o ciclo de vida de implementação das aplicações no ambiente corporativo, de ponta a ponta. Os administradores podem definir políticas de privacidade e segurança com base em configurações de direitos de grupo e individuais, autenticar o acesso e impor conformidade. O MAM também permite habilitar, desativar ou restringir aplicações de acordo com as políticas de segurança.

7 – Proteger contra vírus e ameaças – Em julho de 2014, o chefe de segurança do Google afirmou que os efeitos do malware do Android são exagerados, e que a maioria dos utilizadores não deve se preocupar com isso e que 99% dos utilizadores não serão prejudicados. Em agosto de 2015 foi noticiada a  vulnerabilidade Stagefright, que permite a propagação de malware através de MMS (multimedia messaging service) não abertos no Android. Isto levou o chefe de segurança do Google a anunciar que a empresa estava a providenciar a maior atualização de software coordenada da história para solucionar esses problemas de segurança.

O Android não possui autenticação da aplicação de nível de firmware, permitindo que ocorram táticas como colisão de hash, falsificação de certificado e abuso de comunicação entre processos. Mesmo que o Google alegue que o malware no Android não seja eficaz, a maioria dos gerentes de segurança de TI ainda irão querer tomar medidas para proteger a rede contra o malware Android. As soluções MDM e MAM devem instalar proteção contra malware no dispositivo que verifica e monitoriza o sistema de ficheiros do dispositivo e as aplicações instaladas para detectar malware e vírus conhecidos. Os recursos básicos devem incluir a capacidade de agendar a verificação de antivírus, fazer download de atualizações de definições de vírus, configurar “listas brancas” de antivírus e executar a gestão de quarentena.

8 – Exercitar procedimentos de segurança na Web – Em 2014, o tráfego global de dados móveis totalizava 2,5 exabytes por mês. No entanto, apenas cerca de 6,1% de todo o tráfego da Internet é encriptado. Em média, quase 94% de todos os dados da Internet estão expostos em trânsito! Os procedimentos de segurança para a manutenção de um servidor Web são uma parte importante da sua estratégia global de segurança móvel. Os protocolos de segurança da Web, como Secure Socket Layers (SSL) e TLS (Transport Layer Security), ajudarão a proteger os servidores e utilzadores móveis. Os administradores de servidores Web em suporte a sistemas móveis necessitam manter os sistemas operativos e os servidores Web atualizados com os patches e atualizações mais recentes do fabricante. Monitorizar e ler todos os alertas de segurança do fornecedor e seguir as práticas recomendadas ao configurar sistemas. É recomendável ativar somente os serviços e aplicações necessários e desativar os serviços não utilizados, remover contas super-administradoras desnecessárias, além de manter as permissões dos utilizadores atualizadas com base em privilégios mínimos.

Conclusão

Os dispositivos móveis e o acesso aos sistemas empresariais apresentam novas ameaças e vulnerabilidades que devem ser avaliadas adequadamente para salvaguardar ativos valiosos da empresa. Ao combinar estes oito importantes procedimentos de segurança com um plano detalhado e procedimentos padrões, as empresas podem proteger a mobilidade empresarial e cumprir as normas de segurança.