Atualmente, as organizações permitem frequentemente que os funcionários utilizem os seus próprios dispositivos pessoais para fins profissionais, uma prática conhecida como BYOD (bring your own device). O BYOD oferece flexibilidade e conveniência, mas também introduz riscos de segurança, uma vez que os dispositivos pessoais não têm as medidas de proteção rigorosas do hardware empresarial.
O que é a segurança BYOD?
Definição e âmbito da segurança BYOD
A política de segurança BYOD visa estabelecer diretrizes e quadros para gerir e controlar a utilização dos dispositivos pessoais dos funcionários, como computadores portáteis, smartphones e tablets. Permitir que dispositivos não geridos acedam a recursos protegidos acarreta riscos de segurança prejudiciais, como a perda de dados ou infecções por malware.
Vários aspectos-chave da infraestrutura de TI devem ser claramente definidos no âmbito de utilização do BYOD. Por exemplo, as organizações têm de decidir que tipos de dispositivos são permitidos para fins comerciais, tipos de aplicações ou acesso a recursos internos, bem como o pessoal elegível para a utilização de dispositivos pessoais.
Importância de proteger os dispositivos pertencentes aos funcionários.
De acordo com estatísticas recentes, 83% das empresas têm determinadas políticas BYOD e 75% dos funcionários utilizam os seus telemóveis pessoais para trabalhar. As empresas com trabalhadores remotos e híbridos têm muitas vezes de acomodar a utilização de dispositivos pessoais, especialmente em situações em que o fornecimento atempado de hardware é um desafio.
A política BYOD revela-se benéfica para as organizações, uma vez que aumenta a produtividade e a satisfação profissional dos funcionários através de acomodações de trabalho flexíveis. As empresas também podem reduzir os custos relacionados com o aprovisionamento de computadores portáteis ou smartphones, uma vez que podem permitir que os funcionários utilizem os seus dispositivos pessoais.
Riscos de segurança BYOD
Secure Acesso
Enquanto trabalham remotamente, os funcionários podem ligar os seus dispositivos pessoais a redes Wi-Fi não seguras, que são vulneráveis a interceptores, especialmente quando os funcionários aceitam partilhar ficheiros e pastas acedidos em redes públicas.
Secure Navegação
Os funcionários podem utilizar os seus próprios dispositivos para visitar e interagir com sítios Web maliciosos ou de phishing na ausência de ferramentas eficazes para bloquear o acesso a sítios Web prejudiciais e garantir que a ligação é encriptada.
Secure Transferências de ficheiros
Os ficheiros não digitalizados descarregados de sítios Web ou de aplicações de mensagens podem incluir malware que se pode propagar quando os empregados ligam os seus computadores portáteis à rede da empresa. Permitir o descarregamento de ficheiros não seguros acarreta um enorme risco, uma vez que pode levar a fugas de dados críticos.
Acesso não autorizado
Quando os funcionários utilizam dispositivos pessoais para realizar o seu trabalho, uma segurança inadequada pode expor as redes e os dados das empresas a um acesso não autorizado. O risco é ainda maior quando os membros da família dos funcionários também utilizam estes dispositivos ou unidades USB para transferir dados.
Vulnerabilidades Software
Os dispositivos pessoais podem não ter o mesmo nível de segurança e actualizações de patches que os dispositivos emitidos pela empresa, tornando-os mais susceptíveis a malware e vírus. Os utilizadores com acesso BYOD podem, sem saber, abrir uma brecha para a exploração de maus actores através de dispositivos com software comprometido que acedem aos recursos da empresa.
Fuga de dados
Outra consequência significativa da perda, roubo ou comprometimento de dispositivos é a fuga de dados. Quando indivíduos não autorizados obtêm acesso a dispositivos BYOD, as organizações enfrentam o risco de fuga de informações e dados sensíveis.
Questões de conformidade
Os dispositivos pessoais com falta de encriptação, controlo de acesso e proteção de dados podem levar a desafios no cumprimento de normas como o GDPR, HIPAA e PCI DSS. As consequências legais são especialmente prejudiciais para as instituições financeiras e de saúde que têm de salvaguardar dados sensíveis.
Estudos de caso e exemplos
Acesso não autorizado aos repositórios de código privado do Slack
Em dezembro de 2022, foram detectadas actividades suspeitas em alguns dos repositórios GitHub do Slack. Após a investigação, descobriu-se que um indivíduo não identificado tinha acesso aos tokens de acesso dos funcionários, que eram usados para acessar repositórios de código privados. Depois de analisar os dados, descobriu-se que o utilizador não autorizado descarregou vários repositórios privados da plataforma de colaboração.
Fuga de dados da plataforma de troca de criptomoedas
Em 2017, a bolsa de criptomoedas sul-coreana Bithumb divulgou inadvertidamente informações pessoais de 30 000 clientes quando o computador de casa de um funcionário foi pirateado. O atacante recolheu dados como os nomes dos clientes, números de telefone mobile e endereços de correio eletrónico, que foram posteriormente utilizados em chamadas telefónicas de phishing. Mais tarde, a bolsa de criptomoedas teve de pagar multas e reembolsar todos os clientes cujas informações pessoais foram expostas e que sofreram prejuízos financeiros.
Malware Trojan disfarçado de aplicações legítimas Mobile
Em 2016, o malware trojan DressCode foi descoberto em jogos, temas e impulsionadores de desempenho de smartphones na Google Play Store. Uma vez instalada uma aplicação maliciosa com o DressCode, esta comunicava com o servidor de comando que podia enviar instruções para se infiltrar na rede à qual o dispositivo infetado estava ligado. Os investigadores reconheceram mais de 400 instâncias de aplicações incorporadas com o malware DressCode disponíveis no Google Play. Outras ameaças conhecidas ou desconhecidas incorporadas em aplicações podem representar um risco significativo para as organizações com políticas BYOD.
Como Secure BYOD
Estabelecer políticas BYOD
O primeiro passo crítico para um ambiente BYOD seguro é estabelecer formalmente os elementos essenciais de uma política de segurança BYOD:
- Contrato do utilizador: Descreve tudo o que se espera dos funcionários em termos de proteção dos seus dispositivos pessoais. Os elementos típicos de um acordo de utilizador incluem uma política de utilização aceitável, requisitos de conformidade de segurança e responsabilidade, especialmente em casos de rescisão e remoção de dispositivos.
- Actividades permitidas e proibidas: Define as tarefas relacionadas com o trabalho que os funcionários podem realizar nos seus dispositivos pessoais, tais como aplicações permitidas, acesso a e-mails ou acesso a documentos internos. As actividades que podem representar riscos para a empresa devem ser proibidas, como o armazenamento de dados sensíveis em dispositivos pessoais ou o descarregamento de ficheiros não autorizados.
- Dispositivos permitidos: Especifica quais os dispositivos pessoais permitidos, tais como smartphones, tablets, computadores portáteis, incluindo modelos específicos, marcas, sistemas operativos (por exemplo, iOS, Android, macOS, Windows) para garantir que os dispositivos são compatíveis com a configuração de segurança da empresa.
Mobile Gestão de dispositivos (MDM)
A tecnologia MDM fornece, gere e controla os dispositivos que são utilizados para trabalhar nas empresas. Para além de controlar os dispositivos empresariais, um programa MDM também pode registar os dispositivos pessoais dos funcionários. O software MDM integra dispositivos com dados de perfil, VPNs, aplicações e recursos necessários, bem como ferramentas para monitorizar a atividade do dispositivo.
Estabelecer uma política de Media amovível
A utilização de suportes amovíveis, como o USB e discos rígidos externos, para transferir dados apresenta riscos de segurança significativos. Esses dispositivos podem introduzir malware numa rede, o que pode levar a violações de dados ou interrupções do sistema. Uma solução física, como o MetaDefender Kiosk™, pode analisar suportes amovíveis utilizando vários motores anti-malware para garantir a sua segurança.
Implementação de soluções de segurança
Os dispositivos BYOD podem ser protegidos por soluções de segurança de pontos finais como MetaDefender Endpoint™. Este programa de segurança de terminais aplica medidas de segurança cruciais nos dispositivos para afastar ameaças.
Protege a confidencialidade exigindo que os utilizadores forneçam vários níveis de verificação, como palavra-passe, código OTP do segundo dispositivo ou dados biométricos.
Protege dados confidenciais em repouso e em trânsito. Ao encriptar dados legíveis ao longo do seu ciclo de vida, as organizações podem garantir que as informações permanecem ininteligíveis para utilizadores não autorizados em caso de perda, roubo ou comprometimento dos dispositivos.
Aplica políticas, garantindo que os dispositivos estão em conformidade antes de acederem a recursos empresariais. Estas políticas incluem frequentemente horários de verificação anti-malware, gestão de vulnerabilidades e patches, bloqueadores de registo de teclas e prevenção de captura de ecrã.
Alguns mandatos de conformidade não permitem a instalação de software em dispositivos transitórios de terceiros, proibindo a instalação de soluções de ponto final. Para garantir a conformidade com tais mandatos, uma solução como MetaDefender Drive™ pode ser implementada para efetuar análises bare-metal sem arrancar a partir dos sistemas operativos dos dispositivos transitórios.
Medidas de segurança da rede
A segurança da rede permite a gestão e o controlo de acesso dos terminais às redes empresariais, garantindo que apenas os dispositivos autorizados e em conformidade podem ligar-se.
Secure Acesso
Aplica políticas que protegem a ligação dos pontos terminais à rede, tais como firewalls, VPNs seguras para acesso remoto e privilégios baseados em funções para aceder a ficheiros e dados.
Segmentação de redes
Separa os dispositivos BYOD dos segmentos de rede críticos da empresa. Ao isolar o tráfego BYOD, no caso de qualquer dispositivo comprometido, os atacantes não teriam acesso a outras partes sensíveis da rede.
Auditorias e controlos regulares
Estabelece a visibilidade de todos os dispositivos ligados, permitindo a monitorização contínua da atividade da rede. Ao efetuar uma avaliação regular das vulnerabilidades, as organizações podem identificar proactivamente anomalias e falhas de segurança.
Melhores práticas para a segurança BYOD
Formação e sensibilização dos trabalhadores
Sessões de formação regulares
Instrua os funcionários sobre as melhores práticas de segurança BYOD, como a higiene das palavras-passe, as definições de segurança dos dispositivos, os hábitos de navegação seguros e a atenuação das mais recentes ameaças informáticas.
Simulações de phishing
Realizar ataques simulados de phishing para testar a sensibilização dos utilizadores, ajudando os funcionários a reconhecer e a responder a tentativas de phishing.
Planeamento da resposta a incidentes
Desenvolvimento de um plano de resposta a incidentes
Define funções e responsabilidades, identifica possíveis consequências e prescreve passos de ação antes, durante e depois de um incidente de segurança BYOD. Um plano de resposta abrangente envolve uma cadeia de comando clara, desde a equipa de segurança a outras partes interessadas, e protocolos de comunicação para atenuar as consequências de um incidente de segurança.
Manter uma abordagem holística
A política BYOD oferece benefícios significativos para as organizações, tais como uma maior satisfação dos funcionários através da flexibilidade e do equilíbrio entre a vida profissional e a vida privada, bem como poupanças de custos devido à redução da aquisição de dispositivos. Os desafios que a acompanham, como o acesso não autorizado, a conformidade regulamentar e os pontos de entrada vulneráveis para os agentes de ameaças, não devem ser subestimados.
As organizações que adoptam o BYOD devem adotar uma abordagem holística, abordando os riscos em todos os aspectos, desde o estabelecimento de políticas formais e acordos de utilizador, até à aplicação da segurança dos terminais e à formação para aumentar a sensibilização dos funcionários. Através de uma execução abrangente e de uma melhoria contínua, as empresas podem colher todos os benefícios do BYOD, mantendo-se à frente das ameaças à sua infraestrutura organizacional.
Segurança BYOD com OPSWAT MetaDefender IT Access ™
Enfrentar os desafios BYOD, MetaDefender IT Access é uma plataforma unificada de gestão da segurança dos terminais, que garante a conformidade, a visibilidade e o controlo da segurança dos utilizadores BYOD que acedem aos recursos da empresa. Utilizando a tecnologia SDP (perímetro definido por software), efectua verificações abrangentes da postura dos dispositivos, incluindo avaliações de risco e vulnerabilidade, e pode detetar quase 10 000 aplicações de terceiros. MetaDefender IT Access O sistema de segurança da rede, construído com base numa filosofia ZTNA (acesso à rede de confiança zero), garante que apenas as identidades autorizadas podem aceder à rede, proporcionando um ambiente de trabalho seguro sem prejudicar os fluxos de trabalho.
