quinta-feira, 18 de outubro de 2012

Revista Segurança Digital

Conheci recentemente a Revista Segurança Digital e recomendo. Inclusive já coloquei um banner do projeto aqui no blog.

A revista fala sobre diversos assuntos relativos a segurança e pode ser acessada gratuitamente on-line no http://segurancadigital.info.

Novas edições são lançadas bimestralmente, sempre com assuntos de extrema relevância para a segurança digital, como Firewalls, criptografia, políticas de segurança, certificações, informações na nuvem, dicas de softwares, dicas de segurança entre outros.

A imagem abaixo é a capa da 8º edição de setembro de 2012.



O responsável pelo projeto, Fábio Janio, pode ser seguido em @_SDinfo.

Recomendo.

t+

Cristiano
"It's nothing but a network layer 8 issue"  -  "There's no place like 127.0.0.1"

quinta-feira, 11 de outubro de 2012

BYOD - A prova de que somos muito irresponsáveis?

Existe um movimento, o qual você já deve ter ouvido falar, chamado BYOD ou "Bring Your Own Device" ("traga seu próprio equipamento" numa tradução livre). A ideia básica é incentivar o usuário a levar seu dispositivo móvel para o ambiente de trabalho, eliminando o uso do desktop (e outros ativos) da empresa. Logo, o mesmo smartphone que você usa para acessar suas redes sociais, checar e-mails pessoais e etc, vira também sua ferramenta de trabalho. Parece razoável?

O movimento BYOD está chegando com força e não é raro vermos opiniões favoráveis a sua adoção sob diversos pretextos, exemplos: aqui, e aqui. Empresas como a toda poderosa Microsoft querem alavancar o BYOD, conforme podemos ver aqui. Atenção ao trecho: "Fantásticos dispositivos e serviços para o usuário final irão conduzir nossos negócios corporativos pra frente, dado o fato de que os empregados têm cada vez mais influência na tecnologia que utilizam no trabalho - tendência chamada de ‘Consumerização de TI’". Bons tempos em que se utilizava a tecnologia disponibilizada pela empresa. Se continuar assim, num futuro próximo as empresas terão que se adaptar aos dispositivos que eu domino ao invés de eu ter que aprender as ferramentas que ela me disponibiliza ;o)

Em contrapartida, não é raro vermos instituições preocupadas quanto a adoção do BYOD, pois existem diversos pontos a serem considerados, principalmente no que se refere à segurança. Analisando friamente, é maluquice uma empresa ter que "fornecer informação" para que um usuário tome decisões estratégicas e ao mesmo tempo ter de proteger essas informações de acessos não autorizados, muitas vezes do próprio usuário. Suponha por exemplo que é desejo da empresa que "João" acesse algumas informações quando estiver usando um desktop na rede local, mas desaprova que essa mesma informação, crítica para o negócio, esteja no smartphone do "João". Qual é o nível de segurança do smartphone pessoal do "João"? O "João" usa senha forte no dispositivo? E se alguém roubá-lo? E mais ainda, como garantir segurança num dispositivo que, hora será usado para acessar sistemas da empresa, hora será usado para diversão/entretenimento do "João" (e veja que o conceito de "entretenimento" é beeeeem amplo).

Quando penso em BYOD, me vêm automaticamente a cabeça algumas questões como:

1 - Homologação dos dispositivos móveis para acesso aos sistemas da empresa, quem faz? Qualquer aparelho pode ser utilizado ou apenas aparelhos homolagados pela TI da empresa? É sabido que alguns smartphones não possuem nível de segurança o suficiente para encarar o desafio.
2 - E a troca de equipamento? Vejo usuários que não conseguem sequer atualizar os contatos da agenda entre os dispositivos quando são substituídos, imagina se preocupar com a segurança deles. Muitos usuários, independente dos treinamentos recebidos, preferem velocidade em detrimento da segurança e pode estar certo de que aprender como proteger diferentes dispositivos não é uma das suas prioridades.

3 - Qual é o ganho efetivo? O usuário executa suas tarefas com mais rapidez ou de maneira mais eficaz?Ou vamos triplicar a preocupção com a segurança para ter um ganho não tão significativo de produtividade?

4 - E as questões jurídicas? Um funcionário que trabalha 8 horas diárias, terá acesso aos sistemas da empresa após o término da sua atividade? E os e-mails corporativos, terão período específico para serem lidos/respondidos? Provavelmente as questões jurídicas são muito mais complexas que as de TI.

A quantidade de informações que colhemos diariamente na mídia nos prova que, poucas empresas possuem condições de proteger satisfatoriamente seus ambientes corporativos, sendo que essas são a exceção e não a regra. Entre as estratégias mais adotadas pelas empresas na proteção das suas redes está a PSI ou Política de Segurança da Informação. Esta geralmente vem acompanhada de uma série de ferramentas e muitos treinamentos ao usuário final (ou pelo menos deveria). Ora, se com todo o investimento em proteção e treinamento pelas empresas, nem de longe conseguimos resolver nossos problemas atuais de segurança, seria realmente o melhor momento para depositar tamanha responsabilidade nos ombros do usuário? Ele que sabidamente é o elo mais fraco da corrente? Isso não soa "meio" irresponsável pra você? Bom, pra mim soa; e muito.

No meu entendimento, é claro que não podemos nos privar do uso da tecnologia em função da segurança, até porque 100% de segurança é utópico, mas há limites. Caminhar nessa direção, é no mínimo prova de nossa irresponsabilidade.Veja que a questão aqui não é ser contra o movimento, pois algumas tendências, por mais absurdas que possam parecer, não podem simplesmente ser ignoradas. A questão aqui é: o usuário final não está preparado para o BYOD, não tem maturidade o suficiente para isso e talvez, essa experiência traga muito mais problemas do que benefícios às empresas. Não é raro ver o próprio pessoal de TI usandos senhas fracas, dispositivos sem suporte a criptografia, acessando informações críticas em redes públicas, compartilhando informações indevidas sobre suas atividades pessoais em redes sociais. Esperamos uma mudança de postura prematura das pessoas, arriscando a segurança do bem mais precioso que uma empresa pode ter que é a "informação". Vale a pena arriscar?

Enfim, concordando ou não, o BYOD vem aí, portanto prepare-se!

Esses dias li uma frase interessantíssima que dizia: "Quando se trata de redes sociais, você é seu pior inimigo". Cuidado para que você não se torne seu pior inimigo no ambiente de trabalho também.

t+

Cristiano
"It's nothing but a network layer 8 issue"  -  "There's no place like 127.0.0.1"

Related Posts Plugin for WordPress, Blogger...