Já se foram os dias em que as informações mais sensíveis no telefone de um funcionário eram nomes e números de telefone. Agora, um smartphone ou tablet pode ser usado para obter acesso a qualquer coisa, de e-mails a senhas armazenadas, dados comerciais da empresa e segredos comerciais.
Com o advento da tecnologia 5G, tornando a acessibilidade mais fácil e rápida, e com o aumento do trabalho remoto, impulsionado pela pandemia do coronavírus, mais e mais empresas estão prontas para adotar a tecnologia móvel como parte normal dos negócios.
Dependendo de como sua organização usa esses dispositivos, o acesso não autorizado a um smartphone, tablet ou outro dispositivo de IoT pode levar a um incidente cibernético catastrófico envolvendo toda a infraestrutura de TI de uma organização.
Embora seja importante implementar as salvaguardas de segurança de dados como um todo para a infraestrutura da empresa, pensar em como garantir a segurança dos dispositivos móveis em particular é igualmente importante.
Neste post, explicaremos como montar sua política de segurança para dispositivos móveis e quais os benefícios para sua empresa!
O aumento no uso dos dispositivos móveis: a importância da segurança
Atualmente, o aumento no uso dos dispositivos móveis — como notebooks, smartphones e tablets — e de dispositivos da Internet das Coisas (IoT) traz novos desafios à segurança da informação.
Consequentemente, a TI deve adaptar sua abordagem à segurança, com um plano que atenda a todos os diferentes locais e usos que os funcionários exigem da rede da empresa.
A segurança de dispositivos móveis refere-se às medidas projetadas para proteger informações confidenciais armazenadas e transmitidas por notebooks, smartphones, tablets, dispositivos vestíveis e outros dispositivos portáteis.
Na raiz da segurança do dispositivo móvel está o objetivo de impedir que usuários não autorizados acessem a rede corporativa. Este é um dos aspectos de um plano de segurança corporativo maior.
A segurança dos dispositivos móveis é importante porque hoje mais da metade dos computadores corporativos são móveis. Além disso, a flexibilização do local de trabalho tem permitido aos funcionários a possibilidade de realizar tarefas por tablets ou smartphones, de onde estiverem.
A segurança da informação, portanto, deve responder por todos os locais e usos que os funcionários fazem da rede da empresa.
As possíveis ameaças aos dispositivos incluem aplicativos móveis maliciosos, golpes de phishing, vazamento de dados, spyware e redes Wi-Fi não seguras. Além disso, as empresas precisam levar em consideração a possibilidade de um funcionário perder um dispositivo móvel ou o dispositivo ser roubado.
Para evitar uma violação de segurança, é preciso tomar medidas claras e preventivas para reduzir o risco.
Principais ameaças direcionadas a dispositivos móveis
Veja abaixo as principais ameaças à segurança dos dispositivos móveis da empresa:
- Perda de dados: um funcionário ou hacker acessando informações confidenciais de um dispositivo ou rede. Isso pode ser não intencional ou malicioso e é considerada a maior ameaça para dispositivos móveis;
- Ataques de engenharia social: um criminoso cibernético tenta enganar os usuários para divulgar informações confidenciais ou instalar malware no dispositivo. Os métodos incluem phishing, smishing e ataques direcionados;
- Malware: software malicioso que inclui vírus de computador tradicionais, worms e programas de cavalos de Tróia. Exemplos específicos incluem o worm Ikee, direcionado a dispositivos baseados em iOS; e o malware Pjapps, que pode registrar dispositivos Android infectados em uma coleção de dispositivos “zumbis” controlados por hackers;
- Ameaças à integridade dos dados: tentativas de corromper ou modificar dados para interromper as operações de uma empresa para obter ganhos financeiros. Isso também pode ocorrer involuntariamente;
- Abuso de recursos: mal uso dos recursos de rede, dispositivo ou identidade. Exemplos incluem o envio de spam de dispositivos comprometidos ou ataques de negação de serviço usando recursos de computação de dispositivos comprometidos.
Como faço para proteger os dispositivos móveis da empresa?
A proteção de dispositivos móveis requer uma abordagem unificada. Para segurança ideal, você precisa encontrar a abordagem que melhor se adapta à sua rede. No entanto, alguns aspectos são básicos de todo plano de segurança para dispositivos móveis:
Segurança de endpoint
A segurança do endpoint é a prática de garantir que os endpoints ou pontos de entrada de dispositivos de usuário final, como desktops, laptops e dispositivos móveis, sejam explorados por atores e campanhas maliciosos.
Os sistemas de segurança de terminais protegem esses terminais em uma rede ou na nuvem contra ameaças de segurança cibernética. A segurança do endpoint evoluiu do software antivírus tradicional para fornecer proteção abrangente contra malware sofisticado e ameaças em dia zero.
VPN — Rede virtual privada
Uma rede virtual privada (VPN) cria uma conexão privada entre o dispositivo móvel do seu funcionário e a rede da empresa, para evitar que dados confidenciais trafegando pelo caminho sejam interceptados. As VPNs mascaram o endereço IP de acesso e estabelecem conexões seguras e criptografadas para fornecer maior privacidade e segurança aos dados.
Secure Web Gateway
O Secure Web Gateway oferece segurança abrangente na nuvem ou no loval. Ele protege uma organização contra ameaças e infecções de segurança online, impondo a política da empresa e filtrando o tráfego ligado à internet.
Ficando entre os usuários e a Internet, os Secure Web Gateways fornecem proteção avançada de rede, inspecionando solicitações da web em relação à política da empresa para garantir que aplicativos e sites mal-intencionados sejam bloqueados e inacessíveis.
A ferramenta inclui tecnologias essenciais de segurança, como filtragem de URL, controle de aplicativos, prevenção de perda de dados, antivírus e inspeção https, para fornecer às organizações uma forte segurança na web.
Segurança de e-mail
e acordo com o relatório Cisco Cybersecurity, o e-mail é a principal ferramenta para invasores que espalham ransomware e outros malwares. Proteger a comunicação por e-mail da empresa, portanto, é fundamental.
A segurança de e-mail é um procedimento que protege a comunicação e as contas de e-mail da empresa contra acesso, perda ou comprometimento não autorizado.
As medidas incluem servidores de e-mail com senha forte e mecanismos de controle de acesso; mensagens de e-mail criptografadas (na caixa de entrada ou em trânsito); firewalls de aplicativos da web e software de filtragem de spam.
Broker de segurança de acesso à nuvem (CASB)
Um broker de segurança de acesso à nuvem (CASB) funciona como um gatekeeper entre a infraestrutura da organização e os serviços em nuvem que ela utiliza. Ele garante que as políticas de segurança da empresa sejam aplicadas, mesmo quando ferramentas de terceiros forem acessadas para o trabalho, assegurando maior segurança ao enviar dados sensíveis por meio de software na nuvem.
5 passos para implementar uma política de segurança para dispositivos móveis
Mesmo com as melhores soluções de segurança, é importante tomar algumas medidas básicas para proteger os dispositivos móveis da empresa dos riscos de associados a um ataque cibernético, seja pelo dispositivo móvel de um funcionário ou pelo servidor da empresa.
Veja abaixo 5 passos essenciais para implementar uma política de segurança eficaz para dispositivos móveis:
1. Estabeleça uma política de segurança de dispositivo móvel
Antes de liberar smartphones ou tablets para seus funcionários, estabeleça uma política de uso do dispositivo. Forneça regras claras sobre o que constitui uso aceitável. Inclua quais ações serão tomadas se os funcionários violarem a política.
É importante que os funcionários entendam os riscos de segurança do uso de smartphones e as medidas que eles podem tomar para mitigar esses riscos. Usuários bem informados e responsáveis são sua primeira linha de defesa contra ataques cibernéticos.
2. Estabeleça uma política para o BYOD (traga seu próprio dispositivo)
Se você permitir que os funcionários usem seus dispositivos pessoais para os negócios da empresa, verifique se possui uma política formal de BYOD (Traga seu próprio dispositivo, do inglês Bring Your Own Device). Seu plano de segurança BYOD também deve incluir:
- Requisitos para instalar o software de limpeza remota em qualquer dispositivo pessoal usado para armazenar ou acessar dados da empresa;
- Educação e treinamento para os funcionários sobre como proteger os dados da empresa ao acessar redes sem fio a partir de seus próprios telefones e dispositivos móveis;
- Práticas de proteção de dados que incluem exigir senhas fortes e bloqueio automático após períodos de inatividade;
- Protocolos para relatar dispositivos perdidos ou roubados;
- O uso de certos antivírus e software de proteção e segurança;
- Requisitos para backups regulares;
- Uma lista aprovada para quem deseja baixar aplicativos.
3. Mantenha os dispositivos atualizados
As atualizações de software para dispositivos móveis geralmente incluem patches para várias falhas de segurança que podem ser uma porta aberta para malware e outras ameaças. Portanto, é recomendável instalar as atualizações assim que elas estiverem disponíveis.
Quando se trata de software antivírus para dispositivos móveis, há muitas opções para escolher e isso pode se resumir à preferência. Alguns são gratuitos para uso na loja de aplicativos, enquanto outros cobram uma taxa mensal ou anual e geralmente vêm com melhor suporte.
Além do suporte antivírus, muitos desses programas monitoram os textos do Serviço de Mensagens Curtas (SMS), o Serviço de Mensagens Multimídia (MMS) e os registros de chamadas em busca de atividades suspeitas. Eles podem usar listas negras para impedir que os usuários instalem malware conhecidos em seus dispositivos.
4. Faça backup regularmente do conteúdo do dispositivo
Assim como você faz backup dos dados do computador regularmente, também deve fazer backup dos dados nos dispositivos móveis da sua empresa. Se um dispositivo for perdido ou roubado, você ficará tranquilo sabendo que seus dados valiosos estão seguros e que podem ser restaurados.
5. Escolha as senhas com cuidado
Você sabia que, em média, uma só conta de e-mail está associada a 130 contas online? Esses números são impressionantes por si só, mas o que é pior é que, em geral, o usuário comum reutiliza um punhado de senhas para proteger todas essas contas.
Obviamente, é com essa falta de conhecimento de segurança que os hackers contam para roubar dados. Use as dicas a seguir para garantir que as senhas dos dispositivos móveis utilizados na sua empresa não sejam fáceis de adivinhar:
- Exija que os funcionários alterem a senha de login do dispositivo pelo menos a cada 90 dias;
- Implemente autenticação de dois fatores para verificar a identidade de um usuário;
- As senhas devem ter pelo menos oito caracteres e incluir letras maiúsculas e minúsculas, números e caracteres especiais, como asteriscos, pontos de exclamação e sinais de libra;
- Não use sequências numéricas simples como “12345” ou nomes de cônjuges, filhos ou animais de estimação em uma senha. Um hacker pode gastar apenas alguns minutos em um site de mídia social para descobrir essas informações.
Conclusão: por que contar com a gestão de dispositivos móveis?
Devido à comodidade que eles oferecem, smartphones e tablets se tornaram uma presença constante no mundo empresarial moderno. À medida que o uso aumenta, torna-se cada vez mais importante tomar medidas para proteger sua empresa e seus dados confidenciais contra ameaças novas e antigas.
As empresas precisam de uma solução para ajudá-las a gerenciar os dispositivos implantados, para que possam manter-se focadas em utilizar a TI estrategicamente, e não para “apagar incêndios”. O gerenciamento de dispositivos móveis fornece essa solução.
O serviço de gerenciamento de dispositivo móveis é um tipo de serviço de segurança usado para monitorar, gerenciar e proteger smartphones, tablets e outros pontos de extremidade implantados em vários provedores de serviços móveis e em vários sistemas operacionais da empresa.
O objetivo do serviço é otimizar a funcionalidade e a segurança dos dispositivos móveis dentro da organização, protegendo simultaneamente usuários, dados e rede.
Entre em contato conosco e veja como a BHS pode te ajudar a proteger os dispositivos da sua empresa!