Search

Security

Best Practice

Os Impactos da consumerização de TI na segurança corporativa

Nos últimos anos, os dispositivos eletrônicos voltados aos consumidores foram trazidos para o local de trabalho. A área de TI descobriu desafios e oportunidades completamente novos, mas agora está chegando a segunda onda da consumerização de TI, o "shadow IT".

FOCUS ON: Security,

A consumerização está se manifestando de várias maneiras diferentes. O primeiro é o uso de sites e serviços para os consumidores para otimização de resultados. Hotmail, Linked-In, Twitter e outras ferramentas da Web, todas se enquadram nesta categoria. O outro é uma tendência para uso do hardware de propriedade dos funcionários, tais como smartphones e laptops. O smartphone tem se demonstrado como o dispositivo de propriedade dos funcionários, e gerenciado por eles, que mais se nota no ambiente de trabalho. Os fatores determinantes desse fenômeno são diversos. A exigência de produtividade em relação aos funcionários aumentou bastante na última década e com isso a expectativa de desempenho dos funcionários, a qualquer hora e em qualquer lugar está em constante crescimento. Se de um lado as empresas estão pressionando por uma maior produtividade, por outro podem não serem capazes de investir nas melhores ferramentas de produtividade, como por exemplo, em smartphones para os funcionários. Muitos funcionários já têm smartphones e laptops, graças aos quais eles podem responder às exigências das empresas em casa, e querem integrá-los com a sua vida profissional. A crescente pressão dos funcionários e empresas levou à consumerização.

A ADOÇÃO DESTE NOVO MODELO SIGNIFICA REPENSAR O TEMA DA SEGURANÇA NO CONTEXTO DA CONSULTORIA EMPRESARIAL E OFERECER RECURSOS DE SEGURANÇA “AS A SERVICE”.


QUAIS SÃO OS PROBLEMAS RELACIONADOS COM A SEGURANÇA? COMO PODEMOS GARANTIR UMA POSTURA DE SEGURANÇA ADEQUADA?

Segurança sensível ao contexto

É essencial apoiar a escolha do usuário para se passar à era da consumerização, desde que, as informações sejam protegidas; neste cenário, a segurança é ainda mais importante para garantir que os adequados processos e controles de segurança estejam em vigor, a fim de proteger as informações sensíveis e os aplicativos quando o acesso às fontes de TI da empresa é realizado por meio de dispositivos e aplicativos para os consumidores.

Aspectos legais

Se a empresa não possui o dispositivo, há algumas questões abertas sobre as políticas de conformidades e os critérios de controle.

  • E-DISCOVERY: Como examinar e possivelmente julgar um dispositivo pertencente a um funcionário em caso de processos judiciais, considerando-se o risco de se recuperar inadvertidamente informações pessoais, talvez sensíveis, e claramente não de propriedade da empresa.
  • SEGURANÇA E CONTROLE DE DADOS: Uma vez que para os dispositivos de propriedade da empresa é possível definir e aplicar as configurações, instalar softwares de segurança e monitorar as atualizações de software, para os dispositivos de propriedade de funcionários é mais difícil garantir a configurações mais comuns, e permitir algum controle da empresa em relação aos dados, além da possibilidade de apagar os dados do telefone remotamente.
  • LEIS E REGULAMENTOS: Proteção de dados, direitos dos trabalhadores, a regulamentação do mercado de capitais (tais como SOX), requisitos específicos do setor, entre outros, devem ser avaliados frente um novo perímetro imposto pela consumerização. As empresas devem desenvolver e implementar códigos de conduta para o uso de diversos softwares e serviços para limitar a responsabilidade corporativa.

Reply desenvolveu um framework proprietário e dedicado para permitir às empresas de gerenciar o fenômeno da consumerização de TI garantindo uma postura de segurança adequada.


MONITORAMENTO & IDENTIFICAÇÃO

Criar consciência sobre a shadow IT e BYOD (bring your own device), identificando e monitorando a presença e a utilização.

  • Identificar a utilização ou a necessidade de utilizar o novo BYOD ou de recorrer à shadow IT
  • Monitorar a utilização de BYOD gerenciado e de outras soluções de TI gerenciadas

AVALIAÇÃO

Avaliar as necessidades, utilização e riscos. Identificar e avaliar as possíveis soluções.

  • Avaliar as necessidades relacionadas às novas BYO ”n”/serviços e aos abusos sobre a gestão dos mesmos em termos de risco (conformidade, segurança, etc.) e os benefícios para a empresa.
  • Identificar possíveis soluções, incluindo: aceitar ou rejeitar (políticas e tecnologia), clonar a solução interna e controlar e regulamentar aquela existente (políticas e tecnologia).
  • Avaliar as possíveis soluções

OPERAÇÃO

Permitir a utilização de uma nova solução ou daquela já regulamentada e fazer com que a segurança seja respeitada através de ferramentas e as soluções identificadas na fase anterior.

GESTÃO E SEGUROS

Aplicar a solução escolhida e configurar as atividades de conscientização formativas e organizativas necessárias.

  • Aplicar a solução escolhida em termos de: tecnologia para clonar e/ou controlar e regulamentar o uso de BYOD e as atividades organizacionais para definir e formalizar papéis e regras (políticas, procedimentos, etc.).
  • Iniciativas voltadas ao treinamento e conscientização para garantir o conhecimento da existência de um novo BYOD e as respectivas regras de utilização.
  • Garantir sinergias entre segurança e outras áreas (tais como TI, marketing, inovação, etc.).