A segurança dos dados em dispositivos móveis pessoais

11968
0
Share:

A chamada “consumerização” das TI traz uma mudança radical no mundo dos negócios: os consumidores estão a assumir o controlo, ditando como, quando e onde se querem ligar às aplicações e aos dados corporativos.

E a verdade é que a forma como lidámos com a segurança dos dados durante as últimas décadas já não serve nos dias que correm. Hoje, os sistemas de gestão de identidade têm de considerar as ligações dos utilizadores dentro – mas também fora – da empresa. É tão importante a eficaz gestão de identidades e acesso de empregados, como as de parceiros, clientes e demais colaboradores. Já não basta controlar os acessos através de uma VPN, um serviço de diretório corporativo e uma combinação de nome de utilizador e palavra-chave de acesso.

Outro ponto que não deve ser ignorado tem que ver com a proteção dos pontos de acesso aos dados. Não é nada prático bloquear dispositivos pessoais para aceder a dados e aplicações. Dentro ou fora da firewall, não há garantia de que se possa manter em segurança a grande diversidade de dispositivos. O número de sistemas operativos para este tipo de equipamentos multiplica-se. Além disso, têm diferentes níveis de suporte para as empresas, diferentes cadências de atualização e aplicações gratuitas que fazem com que seja muito fácil contornar o departamento de TI e utilizar os recursos corporativos.

Existem agora diferentes tipos de malware que atacam VPNs, smartphones e tablets. Os equipamentos são esquecidos em diferentes sítios ou roubados. Os ataques em redes locais e através do Bluetooth conseguem espiar os utilizadores de forma a obter acesso a dados. E quantas vezes acontece que os funcionários, parceiros ou clientes se ligam à rede da empresa através de sites inseguros e redes domésticas, cafés, aeroportos e outros?

A verdade é que é impossível ter protegido um ecossistema de dispositivos móveis com um índice de crescimento tão acentuado. No entanto, existe uma maneira de proteger esses dispositivos pessoais utilizados no âmbito profissional e aplicar um método de autenticação melhorado.

Embora nenhum método de autenticação pode ser considerado infalível, uma forma flexível, em camadas, é muito mais resistente às diferentes estratégias de ataque, tanto as novas como as tradicionais, incluindo phishing, algo tão simples como olhar por cima do ombro em lugares lotados para obter senhas ou chaves (que em inglês é chamado de shoulder surfing), ou o roubo de dispositivos. O uso de técnicas versáteis de autenticação, incluindo autenticação mais forte, a identificação do dispositivo e análise de risco são soluções práticas para o complexo ambiente que existe hoje e que vai continuar a crescer no futuro.

Tradicionalmente, as empresas optaram por uma autenticação de dois fatores, um baseado em algo que o utilizador conhece (uma senha) e algo que o utilizador possui (um cartão ou um item físico). Esta combinação deve ser autenticada antes que um utilizador possa ser identificado e possa aceder à rede ou às aplicações.

Essas credenciais pode ser reforçadas com outras, que são baseadas em conhecimento, como perguntas sobre o que é a marca preferida de automóveis, por exemplo. O cartão físico pode ser qualquer coisa, desde um smart card, uma pen drive, a digitalização da íris ou sistemas de reconhecimento de voz ou facial.

Provavelmente já usou uma autenticação de dois fatores nas últimas 24 horas, exceto se estiver a ligar-se através de um smartphone ou de um tablet. Por outro lado, quando levanta dinheiro em caixas ATM, utiliza o cartão e conhece o seu código PIN – mais confortável e mais seguro do que usar apenas uma de duas coisas. No entanto, os elementos físicos do mundo on-line não são práticos.

Sabendo isso, como pode obter-se as vantagens da autenticação de dois fatores para acesso online fácil e conveniente dos utilizadores? A CA Strong Authentication fornece uma variedade de métodos de autenticação, incluindo uma credencial de software segura que pode ser usada como um dos fatores, em substituição do cartão físico ou leitor do dispositivo para acesso online. Além disso, a empresa fornece uma aplicação móvel que funciona no telemóvel e que pode gerar senhas de uso único para autenticação no portal web.

O passo seguinte para proteger os dispositivos pessoais utilizados para fins empresariais passa por adicionar a capacidade de análise do risco associado ao dispositivo usado para o acesso remoto. Pode associar-se ao dispositivo uma pontuação dependendo do risco calculado, que depois sirva para determinar se o utilizador pode ou não ligar-se à rede da empresa usando o dispositivo em questão.

Estes sistemas de avaliação de risco podem controlar os perfis de risco do utilizador e de cada dispositivo que ele usa para se ligar aos sistemas da empresa. Os perfis registam se o sistema “conhece” o dispositivo, se o utilizador já o havia usado ou se o equipamento em causa foi atribuído a outro utilizador. Um sistema típico de avaliação de riscos pode identificar o dispositivo, a sua localização e outros metadados no momento em que o utilizador tenta autenticar-se no sistema. O nosso sistema de avaliação de risco identifica e bloqueia o acesso dispositivos suspeitos com base em políticas estabelecidas para a avaliação do risco desses equipamentos específicos. Este tipo de sistemas é amplamente utilizado pelas instituições financeiras para operações via internet e telemóvel. Agora, com a “consumerização” das TI, os sistemas de avaliação de risco estão a ganhar relevância em todos os tipos de empresas.

Jordi Gascón, Technical Sales Director, CA Technologies


Share:

Deixe o seu comentário