Connect with us

Opinião

A segurança dos dados em dispositivos móveis pessoais

Bruno Fonseca

Publicado a

A chamada “consumerização” das TI traz uma mudança radical no mundo dos negócios: os consumidores estão a assumir o controlo, ditando como, quando e onde se querem ligar às aplicações e aos dados corporativos.

E a verdade é que a forma como lidámos com a segurança dos dados durante as últimas décadas já não serve nos dias que correm. Hoje, os sistemas de gestão de identidade têm de considerar as ligações dos utilizadores dentro – mas também fora – da empresa. É tão importante a eficaz gestão de identidades e acesso de empregados, como as de parceiros, clientes e demais colaboradores. Já não basta controlar os acessos através de uma VPN, um serviço de diretório corporativo e uma combinação de nome de utilizador e palavra-chave de acesso.

Outro ponto que não deve ser ignorado tem que ver com a proteção dos pontos de acesso aos dados. Não é nada prático bloquear dispositivos pessoais para aceder a dados e aplicações. Dentro ou fora da firewall, não há garantia de que se possa manter em segurança a grande diversidade de dispositivos. O número de sistemas operativos para este tipo de equipamentos multiplica-se. Além disso, têm diferentes níveis de suporte para as empresas, diferentes cadências de atualização e aplicações gratuitas que fazem com que seja muito fácil contornar o departamento de TI e utilizar os recursos corporativos.

Existem agora diferentes tipos de malware que atacam VPNs, smartphones e tablets. Os equipamentos são esquecidos em diferentes sítios ou roubados. Os ataques em redes locais e através do Bluetooth conseguem espiar os utilizadores de forma a obter acesso a dados. E quantas vezes acontece que os funcionários, parceiros ou clientes se ligam à rede da empresa através de sites inseguros e redes domésticas, cafés, aeroportos e outros?

A verdade é que é impossível ter protegido um ecossistema de dispositivos móveis com um índice de crescimento tão acentuado. No entanto, existe uma maneira de proteger esses dispositivos pessoais utilizados no âmbito profissional e aplicar um método de autenticação melhorado.

Embora nenhum método de autenticação pode ser considerado infalível, uma forma flexível, em camadas, é muito mais resistente às diferentes estratégias de ataque, tanto as novas como as tradicionais, incluindo phishing, algo tão simples como olhar por cima do ombro em lugares lotados para obter senhas ou chaves (que em inglês é chamado de shoulder surfing), ou o roubo de dispositivos. O uso de técnicas versáteis de autenticação, incluindo autenticação mais forte, a identificação do dispositivo e análise de risco são soluções práticas para o complexo ambiente que existe hoje e que vai continuar a crescer no futuro.

Tradicionalmente, as empresas optaram por uma autenticação de dois fatores, um baseado em algo que o utilizador conhece (uma senha) e algo que o utilizador possui (um cartão ou um item físico). Esta combinação deve ser autenticada antes que um utilizador possa ser identificado e possa aceder à rede ou às aplicações.

Essas credenciais pode ser reforçadas com outras, que são baseadas em conhecimento, como perguntas sobre o que é a marca preferida de automóveis, por exemplo. O cartão físico pode ser qualquer coisa, desde um smart card, uma pen drive, a digitalização da íris ou sistemas de reconhecimento de voz ou facial.

Provavelmente já usou uma autenticação de dois fatores nas últimas 24 horas, exceto se estiver a ligar-se através de um smartphone ou de um tablet. Por outro lado, quando levanta dinheiro em caixas ATM, utiliza o cartão e conhece o seu código PIN – mais confortável e mais seguro do que usar apenas uma de duas coisas. No entanto, os elementos físicos do mundo on-line não são práticos.

Sabendo isso, como pode obter-se as vantagens da autenticação de dois fatores para acesso online fácil e conveniente dos utilizadores? A CA Strong Authentication fornece uma variedade de métodos de autenticação, incluindo uma credencial de software segura que pode ser usada como um dos fatores, em substituição do cartão físico ou leitor do dispositivo para acesso online. Além disso, a empresa fornece uma aplicação móvel que funciona no telemóvel e que pode gerar senhas de uso único para autenticação no portal web.

O passo seguinte para proteger os dispositivos pessoais utilizados para fins empresariais passa por adicionar a capacidade de análise do risco associado ao dispositivo usado para o acesso remoto. Pode associar-se ao dispositivo uma pontuação dependendo do risco calculado, que depois sirva para determinar se o utilizador pode ou não ligar-se à rede da empresa usando o dispositivo em questão.

Estes sistemas de avaliação de risco podem controlar os perfis de risco do utilizador e de cada dispositivo que ele usa para se ligar aos sistemas da empresa. Os perfis registam se o sistema “conhece” o dispositivo, se o utilizador já o havia usado ou se o equipamento em causa foi atribuído a outro utilizador. Um sistema típico de avaliação de riscos pode identificar o dispositivo, a sua localização e outros metadados no momento em que o utilizador tenta autenticar-se no sistema. O nosso sistema de avaliação de risco identifica e bloqueia o acesso dispositivos suspeitos com base em políticas estabelecidas para a avaliação do risco desses equipamentos específicos. Este tipo de sistemas é amplamente utilizado pelas instituições financeiras para operações via internet e telemóvel. Agora, com a “consumerização” das TI, os sistemas de avaliação de risco estão a ganhar relevância em todos os tipos de empresas.

Jordi Gascón, Technical Sales Director, CA Technologies

Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Clique para comentar

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

Publicidade

Últimas Notícias

Notícias9 horas atrás

InnoWave distinguida como Parceiro do Ano Microsoft nas áreas de Data e AI

A InnoWave foi distinguida como Parceiro do Ano nas áreas de Data e AI pela Microsoft, no evento internacional Inspire...

Notícias10 horas atrás

5 vantagens da Faturação Eletrónica para as Empresas

Embora o Decreto-Lei n.º 111-B/2017 só obrigue a faturação eletrónica a partir de janeiro de 2019, no âmbito dos contratos...

Notícias14 horas atrás

Fordesi moderniza gestão de terminais multimodais da Infraestruturas de Portugal

A Fordesi implementou a sua solução IP4Log na Infraestruturas de Portugal, o que permitiu modernizar a gestão de terminais multimodais...

Notícias1 dia atrás

Bizdirect é o parceiro do ano da Microsoft Portugal em CRM

Decorre esta semana mais uma edição do Inspire, o evento anual da Microsoft Corporation dedicado ao ecossistema mundial de parceiros...

Notícias2 dias atrás

Tecnologia de reconhecimento da íris da NEC no 1º lugar nos testes do NIST

A NEC Corporation anunciou que a sua tecnologia de reconhecimento de íris alcançou a mais alta avaliação de precisão de...

Notícias2 dias atrás

QNAP completa gama NAS de 9 baías com NAS multimédia TVS-951X

Após o lançamento da série TS-932X (equipada com um CPU da AnnapurnaLabs) e da série TS-963X (equipada com um CPU da AMD), a QNAP...

Notícias3 dias atrás

Sage partilha cinco dicas para acelerar o crescimento do negócio

Existe atualmente nas empresas a necessidade constante de continuarem a reposicionar-se e a reformular as suas estratégias na procura pelo...

Notícias3 dias atrás

CGI Open Finance permite impulsionar e alargar o novo ecossistema bancário

A CGI anuncia o lançamento da CGI Open Finance, uma solução criada para a nova vaga de serviços bancários digitais...