Você não pode proibir: como implementar o conceito BYOD e não prejudicar a segurança das informações

Todos os anos, mais e mais empresas, de uma forma ou de outra, introduzem o conceito BYOD. De acordo com um estudo Global Market Insights, até 2022, o volume de mercado do BYOD excederá US $ 366 bilhões , e a Cisco relata que 95% das organizações de uma forma ou de outra permitem o uso de dispositivos pessoais no local de trabalho , e essa abordagem permite economizar US $ 350 por ano por empregado. Ao mesmo tempo, o BYOD cria muitas dificuldades para o serviço de TI e muitos riscos para a empresa.

A capacidade de executar tarefas de trabalho usando seus próprios gadgets é percebida por muitos como um elemento de liberdade, uma abordagem progressiva do relacionamento empresa-funcionário e geralmente um exemplo típico de uma estratégia ganha-ganha. Em geral, não há motivo para duvidar: o funcionário fica feliz em usar o equipamento que ele escolheu para resolver problemas, e a empresa recebe um funcionário que está sempre em contato e faz o trabalho mesmo após o expediente. Segundo a Frost & Sullivan, o BYOD adiciona até 58 minutos por dia aos funcionários e aumenta a produtividade em 34% .

Apesar de todas as vantagens, o BYOD gera problemas - problemas de incompatibilidade e instalação oportuna de atualizações de segurança, roubo e quebra de dispositivos pessoais. E isso é apenas uma pequena parte da dor de cabeça que você precisa suportar em nome da conveniência. Vamos falar sobre como resolver esses problemas, mantendo um equilíbrio entre segurança e eficiência, neste post.

BYOD

Significa Traga seu próprio dispositivo ou "traga seu dispositivo". Em 2004, o provedor BroadVoice VoIP propôs conectar o equipamento do cliente à sua rede e designou um método como BYOD. Em 2009, a Intel "atualizou" o conceito de BYOD, expandindo um pouco seu significado. Com uma mão leve, a Intel começou a significar o uso por funcionários de empresas de dispositivos pessoais para resolver problemas de negócios.

Como não há uma definição estrita de BYOD, diferentes organizações podem entender esse conceito de maneiras diferentes. Por exemplo, algumas empresas permitem que os funcionários usem dispositivos pessoais para resolver problemas de trabalho, mas incorrem em todos os custos de comunicação e reparo. Outras empresas compensam esses custos ou conectam funcionários a um contrato corporativo.

Como no caso do BYOD, a empresa não escolhe os dispositivos que os funcionários usam, o problema de compatibilidade é aumentado em todo o seu potencial. O CYOD, outro conceito similar de BYOD, permite eliminá-lo e, ao mesmo tempo, resolver problemas financeiros e legais.

CYOD

A abreviação CYOD significa Escolha seu próprio dispositivo - "escolha seu dispositivo". Sob esse conceito, um funcionário pode escolher da lista de dispositivos típicos o que melhor lhe permitirá resolver suas tarefas. Dependendo das políticas corporativas, o CYOD pode permitir ou proibir o uso de dispositivos corporativos para uso pessoal.

COPE

Esse termo significa Corporativo, Pessoalmente ativado e significa que os dispositivos selecionados pelo funcionário são comprados pela empresa, mas cabe a eles configurá-los e mantê-los. Como regra, o COPE também implica a possibilidade de usar o dispositivo para fins pessoais.

ROSE

POCE - Propriedade pessoal, empresa habilitada, "adquirida por um funcionário, autorizado pela empresa". Essencialmente, esse é apenas outro nome para BYOD.

Benefícios do BYOD

Para funcionários

• um dispositivo para tarefas pessoais e de trabalho (se isso não contradizer a política corporativa),
• a capacidade de usar os modelos de dispositivos mais recentes,
• mobilidade
• horário flexível
• trabalho remoto.

Para empresa

• redução de custos - a empresa não precisa comprar dispositivos para funcionários,
• aumentando a motivação dos funcionários,
• Disponibilidade de funcionários fora do horário comercial
• maior eficiência na resolução de problemas urgentes,
• necessidade reduzida de espaço para escritório.

Riscos e ameaças BYOD

Os riscos associados ao BYOD são uma consequência natural dos benefícios do conceito. Quanto mais liberdade os funcionários que usam dispositivos pessoais para interagir com a rede da empresa, maior o dano potencial que eles podem causar.

Dispositivo perdido ou roubado

Se um funcionário perder o laptop no qual ele executou um trabalho para a empresa, isso criará muitos problemas. Com o tempo, documentos corporativos, inclusive confidenciais, bem como documentos que contêm dados pessoais inevitavelmente se acumulam no dispositivo. É provável que o vazamento dessas informações leve a multas, concorrentes ou atacantes podem usá-las para chantagear ou simplesmente vender no mercado negro a criminosos cibernéticos que organizam ataques direcionados ou de phishing.
Mas, além dos documentos, o dispositivo armazena credenciais para acesso à rede corporativa e / ou chaves de criptografia registradas no registro para não mexer com os tokens. Usando essas informações, um invasor pode penetrar na rede, roubar tudo o que pode alcançar, instalar malware.

Outro problema é que um funcionário privado de sua ferramenta de trabalho não pode fazer o que é pago. E esse problema precisa ser resolvido o mais rápido possível. Se é provável que uma grande corporação consiga pegar equipamentos da reserva, não se pode contar com esse luxo em uma startup.

Vulnerabilidades e malware

Obviamente, os funcionários que trabalham de acordo com o esquema BYOD usarão seus dispositivos para resolver não apenas o trabalho, mas também tarefas pessoais. Após concluir o trabalho, eles assistirão a vídeos on-line, procurarão ensaios para crianças e jogarão jogos baixados de rastreadores de torrent. E com probabilidade diferente de zero, seus filhos farão o mesmo.

O resultado de tal frivolidade, em regra, não é muito inspirador: o malware aparece no dispositivo - spyware, ransomware e backdoors. Quando conectado a uma rede corporativa, todo o conjunto de malware procurará novas vítimas. E é possível que ele encontre. Mas mesmo sem isso, logons roubados, senhas e detalhes de cartões bancários corporativos não trarão nenhum benefício.

Mesmo que o funcionário se comporte de forma responsável, não visite sites suspeitos e não baixe software pirateado, o problema dos emails de phishing permanece, além de manter o SO e os programas atualizados. Usando vulnerabilidades conhecidas, o malware pode se infiltrar no dispositivo por conta própria ou com o mínimo envolvimento do usuário que clicou no link da carta, muito semelhante a uma carta comum de contraparte.

Mobilidade como um problema

A natureza itinerante do uso de equipamentos no BYOD significa não apenas um risco aumentado de perda do seu gadget favorito, mas também riscos associados à confidencialidade. Os fãs de trabalhar em cafés e outros locais públicos não levam em consideração o fato de que:

• eles estão no campo de visão de estranhos e câmeras de CFTV, o que significa que as senhas em que inserem e os documentos com os quais trabalham são divulgadas por estranhos;
• o uso de redes Wi-Fi públicas em aeroportos e hotéis corre o risco de que as informações transmitidas sejam interceptadas ou que um script malicioso penetre no dispositivo;
• o uso ativo da Internet móvel em roaming pode levar a perdas financeiras.

Como se proteger?

Os riscos colocados pelo BYOD não podem ser completamente eliminados. Mas, combinando medidas organizacionais e técnicas, os danos podem ser minimizados ou mesmo completamente eliminados. As principais maneiras de garantir a segurança do BYOD são a virtualização, o gerenciamento de dispositivos móveis, aplicativos e dados, bem como sistemas inteligentes de proteção de terminais.

Virtualização

A beleza dessa tecnologia é que o dispositivo do usuário é usado exclusivamente para obter acesso à estação de trabalho virtual. Todos os documentos e programas também estão localizados lá e não são copiados para o dispositivo. O serviço dos locais de trabalho virtuais é realizado por especialistas em TI da empresa; portanto, tudo o que é necessário para um funcionário é manter em segredo os detalhes do acesso à rede corporativa. Isso não ajudará se o spyware penetrar no dispositivo, mas eliminar o vazamento de dados durante o roubo.

MDM, MCM, MAM e outros sistemas de gerenciamento de dispositivos móveis

Os sistemas de gerenciamento de dispositivos móveis permitem gerenciar centralmente todo o zoológico BYOD, definindo restrições em documentos, recursos aos quais um usuário tem acesso e operações que ele pode executar quando conectado a uma rede corporativa.

Por exemplo, a ferramenta Microsoft Intune suporta dispositivos baseados no Windows, macOS, iOS, Android e permite que os administradores:

• exclua automaticamente os dados corporativos se o dispositivo não se conectar ao serviço dentro de um tempo especificado;
• proibir o armazenamento de informações corporativas em outro local que não seja o "OneDrive for Business";
• Solicitar um PIN ou impressão digital para acessar os aplicativos do Office
• Impedir a cópia de dados corporativos do Office para aplicativos pessoais.

Soluções semelhantes para gerenciar dispositivos móveis são oferecidas pela Apple (Apple MDM), Citrix - XenMobile, Cisco - Meraki, Trend Micro - Enterprise Mobile Security e vários fabricantes de terceiros.

Proteção BYOD

Mesmo os controles mais avançados não ajudarão se o dispositivo entrar no dispositivo; portanto, no caso de BYOD, vale a pena usar soluções de segurança da classe XDR (X Detection and Response, em que X corresponde a vários ambientes corporativos). Esses sistemas podem detectar e ajudar a interromper ameaças desconhecidas, fornecendo monitoramento de todos os sistemas de informação da empresa. A abordagem do Trend Micro XDR inclui o subsistema EDR (Trend Micro Apex One), que forma proteção em vários níveis de dispositivos finais, bem como a família Deep Discovery de produtos de rede que podem detectar ameaças nos nós sem agentes de segurança.

Qual é o resultado

O uso descontrolado de BYOD pode criar enormes problemas para as empresas. Para sentir todas as vantagens de usar dispositivos pessoais para solucionar problemas de negócios, é necessário levar em consideração os riscos e proteger o perímetro da rede e os dispositivos do usuário. Um nível adicional de proteção será fornecido pelo desenvolvimento e implementação na prática cotidiana de uma política de segurança na qual os usuários possam se concentrar durante o trabalho.