Como proteger os dados da empresa dos acessos por dispositivos móveis

Npo Sistemas
TI Profissional

Nos últimos anos, os avanços tecnológicos em relação aos wearables estão mudando nossos comportamentos. Assim, muda também nosso modo de trabalhar. Dessa forma, nossos notebooks, smartphones e tablets são nossos escritórios portáteis. Assim, acessamos a rede da empresa, as páginas WEB e e-mails particulares. No entanto, isso representa um grande risco de segurança à informação das empresas e uma preocupação real para CIOs e IT Managers. Assim, os analistas de cybersecurity passam por grandes contratempos extremamente complexos, para proteger os dados da empresa. Diante de um cenário assustador como esse, CIOS, gerentes e analistas se perguntam como proteger os dados da empresa através de dispositivos móveis.

Os desafios de segurança

Dispositivos móveis com acesso ao Wi-Fi são particularmente vulneráveis aos ataques cibernéticos. Tecnologias e kits de invasão, juntamente com seus guias de utilização, são facilmente encontrados na internet. Hackers criam falsos pontos de acesso em shopping centers e locais públicos para capturar dados e invadir sistemas vulneráveis, em um ataque MITM (Man-in-the-middle).

A perda de um login e senha de rede social e acesso ao e-mail pessoal é um inconveniente para o usuário. Mas, muitas vezes, pode significar perdas financeiras muito maiores para empresas. Pois tem seus sistemas empresariais, como os bancos de dados, expostos a criminosos. Assim, podem desestruturar e até acabar com as operações de uma empresa.

As facilidades e atrativos em se “infiltrar e apossar” de um dispositivo móvel são muitas:

  • Muitas informações pessoais estão armazenadas nos dispositivos. Fotos, lista de contatos, calendários, histórico de chamadas, números de cartões de crédito, logins e senhas que permitem acesso a serviços e dados sigilosos.
  • Dispositivos móveis são bem mais suscetíveis à perda, furto e roubo, que os dispositivos dentro das empresas.
  • Aplicações desenvolvidas por terceiros, que requerem permissões “especiais”, como acessos à câmera, microfone, lista de contatos, arquivos armazenados, e mesmo códigos maliciosos implantados.

Como as políticas internas podem auxiliar na segurança

Políticas de utilização de dispositivos móveis são, de maneira geral, muito parecidos com o uso de outros dispositivos empresariais. Vejamos:

  • Ao pesquisar sobre qual dispositivo móvel você vai adquirir, verifique quais mecanismos de segurança são disponibilizados pelo fabricante. Além disso, se esses recursos se integram com os já existentes na empresa e se podem proteger de um ataque através desse dispositivo.
  • Os dispositivos móveis que acessarão a rede corporativa devem ter um software antimalware, um antivírus e um firewall antes de instalar qualquer outra aplicação. Dê preferência por fabricantes conhecidos.
  • Os funcionários que usam os dispositivos móveis na rede corporativa devem ser instruídos a instalar apenas aplicações de fontes confiáveis, certificadas e permitidas pela Play Store ou Apple Store. Claramente descritos na política interna de segurança
  • Informações sensíveis, como acesso a aplicações corporativas e financeiras, dentre outras, devem preferencialmente estar criptografadas.
  • Deve haver uma política de backup periódico dos dados desses dispositivos.
  • Os funcionários devem ser instruídos a manter seus smartphone ou tablets sempre próximo deles. Assim, evitando exposição dos dados da empresa.
  • Os funcionários devem ser orientados a usar contas corporativas de aplicativos de mensagem instantânea e a não clicar em links de fontes externas à empresa.
  • Em caso de perda, furto ou roubo, deve ser comunicado imediatamente às autoridades competentes, operadora, banco e empresa. Assim, o chip, conta bancária, cartões e logins corporativos sejam bloqueados.
  • Se for possível, instale um aplicativo de acesso remoto, para que possa apagar os dados contidos no dispositivo.

O que uma empresa pode fazer para proteger o acesso aos dados através de dispositivos móveis

A primeira coisa a ser feita é a criação de políticas consistentes de BYOD. A gestão de dispositivos é responsabilidade da empresa. Podemos citar políticas como:

  • Investimento em cloud computing, que separa dispositivos internos e externos. Os servidores da empresa ficam em zonas protegidas na nuvem, sob a guarda e olhar vigilante 24×7 de parceiros especialistas em cybersecurity
  • Investir em soluções de segurança. A governança corporativa passa, obrigatoriamente, por softwares de segurança. O monitoramento dos dispositivos e do comportamento de uso da rede corporativa, bem como acesso aos dados é fundamental
  • Ofereça uma licença corporativa do antivírus, antimalware e firewall para o dispositivo do seu funcionário. Se não for possível garantir que o funcionário adote uma postura segura diante do dispositivo pessoal dele, ofereça uma alternativa
  • Invista no uso de VPN, esse é um investimento muito importante. Essa política permite que as comunicações entre os dispositivos e a rede corporativa sejam criptografados e isolados, de ponta a ponta. Assim, evitando qualquer tipo de interceptação por terceiros. Soluções de IAM (Identity Access Manager) são muito eficientes para garantir o acesso seguro
  • Crie redes específicas com filtros de MAC para controlar o acesso de dispositivos móveis à rede corporativa
  • Criar configurações padronizadas de acesso à rede. Essas configurações podem incluir, dentre outras coisas, antivírus, bloqueio de instalação de apps, VPN, monitoramento. Além da atualização automática do sistema operacional e dos apps padrões instalados.

Ações específicas sobre os bancos de dados

  • Utilize regras de firewall para restringir o acesso ao banco de dados. Regras de firewall que limitam a conectividade por endereço IP, mecanismos de autenticação que exigem que os usuários comprovem sua identidade, mecanismos de autorização que limitam os usuários a ações e dados específicos
  • Os firewalls são capazes de impedir todo acesso ao seu servidor de banco de dados até que você se certifique de quem pode acessá-lo,especificando quais dispositivos tem permissão. As regras de firewall concedem acesso aos bancos de dados com base no endereço IP de origem de cada solicitação
  • Habilite a autenticação de banco de dados
  • Habilitar a autenticação também via Active Directory. A Microsoft disponibiliza autenticação de aplicativos via SDK ou AD Azure para dispositivos móveis. Assim, oferecendo uma camada adicional de proteção e acesso à rede corporativa.
  • Proteja seus dados usando criptografia e segurança em nível de linha no banco de dados
  • Habilite a auditoria do banco de dados.

A NPO gerencia a infraestrutura dos seus clientes alinhando-se às boas práticas do setor de TI. Oferecemos o conhecimento que adquirimos em anos de atuação no segmento, solucionando situações críticas e adversas. Desenvolvemos os processos com objetivo de alcançar a maturidade na gestão dos incidentes nos ambientes de TI. Oferecemos soluções de segurança integrada de forma que possamos proteger os acessos ao banco de dados através de dispositivos móveis na sua empresa. Visite nosso site ou agende uma conversa com um de nossos especialistas para saber mais.

Deixe seu comentário

Nosso Blog

  • Gestão Financeira de TI

    Governança em TI: o que é e como implementar

    9 de agosto de 2019

    Segundo a RNP (Escola Superior de Redes), “a Governança em TI está relacionada ao desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de TI. Assim, são responsáveis pelo planejamento, implantação, controle e monitoramento de programas e projetos de governança. Portanto, requisito fundamental para as organizações, do ponto de vista de aspectos […]

  • Inovação

    Como proteger os dados da empresa dos acessos por dispositivos móveis

    12 de julho de 2019

    Nos últimos anos, os avanços tecnológicos em relação aos wearables estão mudando nossos comportamentos. Assim, muda também nosso modo de trabalhar. Dessa forma, nossos notebooks, smartphones e tablets são nossos escritórios portáteis. Assim, acessamos a rede da empresa, as páginas WEB e e-mails particulares. No entanto, isso representa um grande risco de segurança à informação […]