Um funcionário fazendo uso de um dispositivo pessoal em sua mesa de trabalho.

Trazer seu próprio dispositivo: Medidas de segurança para dispositivos pessoais no local de trabalho

ago 2023
Blog Home

Qualquer empresa onde os funcionários possam levar smartphones, tablets ou laptops pessoais para o local de trabalho precisa de uma política de segurança sobre trazer seu próprio dispositivo (ou política BYOD - bring your own device - para abreviar). Quase todos os funcionários trazem um dispositivo conectado à Internet para o trabalho, e mesmo que o dispositivo não esteja ativamente conectado a uma rede da empresa, ainda pode apresentar riscos de segurança.

Usar um dispositivo pessoal para algo tão inocente quanto enviar um e-mail de trabalho pode criar vulnerabilidades na rede de uma empresa. Empresas de todos os tamanhos acham a segurança BYOD desafiadora porque as empresas exerceriam algum controle sobre smartphones e tablets de propriedade de seus funcionários. Afinal, 40% das violações de dados são causadas por dispositivos perdidos ou roubados. No entanto, em culturas que colocam ênfase na liberdade pessoal, políticas como essas podem enfrentar resistência ou ressentimento dos funcionários. Uma abordagem delicada, mas firme, para esta questão é a melhor.

O que as empresas podem fazer para melhorar sua segurança cibernética nessas condições? Uma opção é proibir totalmente o BYOD e impor sua política rigidamente. No entanto, o mercado global de BYOD é grande e está em crescimento. Estima-se que o mercado de 2022 valha US$ 350 bilhões. A tendência do trabalho em casa catalisada pela pandemia acelerou seu crescimento. A alternativa é apoiar-se na prática, ao mesmo tempo que adotar políticas e segurança BYOD com bom senso, para torná-las mais seguras para empresas e funcionários. A maioria das empresas considera que esta é a mais fácil das duas opções a implementar, não que uma política sensata de BYOD não exija esforço e consideração.

Riscos de segurança de BYOD

BYOD significa que, nominalmente, as empresas gastam menos em hardware e software para seus funcionários. 82% das empresas permitem que os funcionários usem dispositivos pessoais para trabalhar. 71% desses empregadores acham que isso permite que as pessoas se sintam mais confortáveis ao usar dispositivos, já que eles estão mais familiarizados com seus telefones pessoais. 58% acha que é mais produtivo. No entanto, apenas 55% acham que reduz custos. Por que a discrepância? Provavelmente por causa das empresas cujas políticas de segurança permitem BYOD, 50% têm violações de dados surpreendentes por meio de dispositivos de propriedade dos funcionários. Não é de se admirar que entre as empresas que se opõem à adoção de políticas BYOD, 26% citam preocupações de segurança como sua principal razão.

Práticas recomendadas de segurança BYOD

Colegas usando laptops, tablets e celulares juntos

Qualquer política BYOD que valha à pena cobrirá estes elementos:

  • Tipos de dispositivos permitidos
  • Uso aceitável: Quais aplicativos e ativos os funcionários podem acessar a partir de seus dispositivos?
  • Requisitos mínimos para controles de segurança de dispositivos: Quais medidas de segurança a empresa exigirá para dispositivos BYOD?
  • Componentes fornecidos pela empresa: Por exemplo, certificados SSL para autenticação de dispositivo
  • Direitos da empresa relativos à modificação do dispositivo: Por exemplo, limpeza remota em caso de roubo ou perda de um dispositivo
  • O que acontece com os dados da empresa nos dispositivos dos funcionários que saem da empresa?
  • Quem é o proprietário das aplicações e dos dados no dispositivo? Os funcionários serão reembolsados pela empresa por aplicativos ou taxas mensais?
  • Que suporte o TI dará aos proprietários de dispositivos?

As seguintes disposições terão de ser consideradas pelos decisores políticos para que as melhores opções possam ser apresentadas:

  • Regras de bom senso: Um limite para chamadas pessoais e vídeo no trabalho, não usar o dispositivo ao dirigir
  • Manutenção e atualizações: Qualquer política finalizada deve garantir que os funcionários mantenham dispositivos e aplicativos atualizados de forma confiável
  • Disposições de transferência de dados: Os dados da empresa devem ser criptografados e protegidos por senha, e somente transferidos em aplicativos exigidos pela empresa
  • Disposições de senha: O uso de senha é obviamente inegociável na proteção de informações confidenciais; a autenticação de dois fatores também pode ser necessária

Claúsulas de privacidade: Como as empresas podem equilibrar a proteção de dados e a privacidade dos funcionários com o BYOD?

Política de Segurança de BYOD

Qual a melhor maneira de elaborar práticas de BYOD coerentes e seguras? Qualquer elaboração de uma política dessa escala deve envolver tanto os funcionários quanto as partes interessadas. A contribuição dos funcionários pode ser obtida através de uma pesquisa, uma excelente base para a política de planejamento. Executivos, RH, operações de TI, finanças e segurança devem ser integrados e representados em uma equipe de gerenciamento de projetos BYOD. Esses departamentos têm contribuições a fazer.

Uma vez que uma pesquisa foi enviada e as respostas recebidas, análises benéficas para se fazer incluem quais dados e aplicativos são necessários nos dispositivos dos funcionários. Após apresentar a política concluída, o treinamento é uma etapa vital do processo. Os funcionários de todos os níveis devem ser instruídos sobre protocolo de tratamento de dados, solução de problemas de dispositivos, procedimento para dispositivos perdidos ou roubados, aplicativos a serem usados e medidas anti-phishing, bem como instruções mais amplas de vigilância contra ameaças cibernéticas.

Acredita-se amplamente que os funcionários não treinados em segurança cibernética são o maior risco para a integridade dos dados das empresas. Em 2014, 87% dos gerentes de TI acreditavam que a maior ameaça para as organizações eram dispositivos móveis usados por funcionários descuidados. Em 2020, 96% dos ataques a dispositivos móveis usavam aplicativos como vetor. Isso ocorre porque a maioria dos aplicativos, quase 4 em 5, incorpora bibliotecas de terceiros que podem criar vulnerabilidades.

Em quais aplicativos uma empresa deve implementar o uso de uma política de BYOD forte? Um estudo descobriu que os funcionários usam cinco ou mais aplicativos todos os dias. As empresas devem incluir uma plataforma de mensagens segura dedicada, e-mail, CRM e quaisquer outros aplicativos que sintam que seus funcionários precisarão. Certifique-se de que os aplicativos que podem apresentar riscos estejam explicitamente fora dos limites.

As empresas também devem ter procedimentos específicos em vigor para os funcionários que saem da empresa, por qualquer motivo. Quando um funcionário sai, uma empresa deve garantir que todos os dados sejam retirados de seus dispositivos e que qualquer acesso aos aplicativos da empresa seja retirado da mesma forma. No entanto, este dever apresenta muitas dificuldades e muitas vezes é considerado motivo suficiente para abandonar as políticas BYOD e fornecer seus próprios dispositivos.

Uma política só é tão forte quanto a capacidade de uma empresa de aplicá-la, o que, infelizmente, exige que haja consequências para aqueles que não obedeçam a política. Qualquer política deve ter detalhes específicos sobre o rastreamento, medição e aplicação da responsabilidade distribuídos para que todos os membros da equipe estejam cientes. A falta de supervisão é uma das principais questões para a implementação da BYOD. As empresas precisam de pessoal de suporte de TI suficiente para que os funcionários sejam configurados, com suporte e monitoramento contínuos.

Depois que os sistemas e protocolos forem protegidos, as empresas devem priorizar a educação para os funcionários. Para que uma BYOD seja bem-sucedida, é essencial destacar a importância do uso aceitável e a higiene básica de segurança de dados para os funcionários.

Visão geral de três pessoas trabalhando em uma mesa com laptops, tablets e papéis.

BYOD Soluções de Segurança

As soluções de segurança que devem ser consideradas para inclusão em uma política de BYOD incluem:

  • Criptografia para dados em repouso e em trânsito
  • Antivírus: Fornecido pela empresa ou obrigatório que os funcionários instalem
  • Monitoramento: Rastreamento de localização GPS de dispositivos de funcionários ou tráfego de internet etc.
  • Containerização: Dispositivos que são segregados em bolhas pessoais ou financeiras com proteção por senha
  • Treinamento de higiene por senha, incluindo requisitos para alterações regulares
  • Lista de impedimentos: Bloquear ou restringir aplicativos especificamente porque eles representam riscos para a segurança operacional ou um prejuízo para a produtividade – isso geralmente não é possível em dispositivos de propriedade dos funcionários, exceto com a containerização
  • Lista de permissões: Apenas permitindo o acesso a determinados aplicativos aprovados, geralmente mais prático para hardwares distribuídos pela empresa
  • Um requisito para backups regulares, bem como atualizações de aplicativos e sistemas operacionais
  • Treinamento periódico e retreinamento sobre como manter os dados da empresa seguros em relação ao acesso à rede WiFi a partir do hardware de BYOD
  • Restrição do acesso aos dados: Para a prevenção de vazamentos de dados, o acesso aos dados deve ser rigorosamente controlado para que apenas aqueles que precisam de acesso a conjuntos de dados específicos para seu trabalho tenham acesso a partir de seus dispositivos pessoais

Ferramentas de monitoramento para localização de dados e padrões de acesso a dados, para detecção de comportamento suspeito, como acesso a partir de locais inseguros ou suspeitos (por exemplo, Coreia do Norte).

Um método de fornecer uma melhor segurança para sistemas BYOD é o fornecimento de pendrives USB criptografados e SSDs criptografados para os funcionários. Mais econômico do que fornecer telefones ou tablets para toda uma força de trabalho, e consideravelmente mais simples do que colocar em contêineres todos os dispositivos que uma força de trabalho traz, os dados armazenados nesses dispositivos são muito mais protegidos do que no dispositivo normal. Com uma criptografia de qualidade suficiente, um ladrão que pode obter uma drive criptografado não pode fazer qualquer caminho para acessar dados privilegiados.

#KingstonIsWithYou #KingstonIronKey

Ícone Pergunte a um Especialista da Kingston em um chipset de placa de circuito

Pergunte a um Especialista

Planejar a solução certa de memória exige um conhecimento das metas de segurança de seu projeto. Deixe que os especialistas da Kingston orientem você.

Pergunte a um Especialista

Vídeos relacionados

Trisha olha para sua tela em choque e consternação, um crânio e ossos cruzados e um triângulo de perigo na tela. 3:59

Como proteger suas contas on-line

Como maximizar a sua segurança on-line tomando medidas para proteger a sua presença.

Artigos relacionados

Blog Home