O site Security Report[1], apresenta relevante artigo, sob o título “A importância da política de segurança mobile”, donde aborta a importância e os cuidados com o uso de dispositivos móveis. Tão presentes na atualidade, os gadgets móveis tem função dupla, a inserção da pessoa natural em um novo ambiente social, o virtual, e, o poder de alavancar negócios e manter-se conectado com a base operacional, assim, dentro do bojo das obrigações profissional.
Os avanços tecnológicos crescentes e experimentados na atual sociedade da informação, seguindo as premissas da lei de Moore[2], parecem se tornar inesgotáveis, fazendo com que os usuários de dispositivos móveis necessitem, quase que diuturnamente, reavaliar aprendizados e tomar medidas que possam trazer a necessária segurança no ambiente cibernético, tendo, atualmente, como porta de acesso principal a este universo virtual, celulares com o poder computacional de uma notebook ou computador qualquer.
Émile Durkein[3], sociólogo francês, considerado o pai da sociologia moderna, afirma que o crime é um fato social, desta forma, onde existir riqueza, haverá crime.
De fato, cibercriminosos não atuam de maneira ética, deve-se considerar que um ataque cibernético pode apresentar diversos motivadores, seja a propriedade intelectual, capital, caráter político, bélico e outros. Nesta ótica, não importa o tamanho da empresa, ou mesmo que seja um indivíduo, mas o resultado esperado.
Indubitavelmente, é notório que empresas precisam tomar maiores cuidados tendo em vista a quantidade de ativos tangíveis e intangíveis que giram na órbita dos negócios do mundo corporativo. Neste liame, talvez não seja, então, o tamanho da empresa que ditará quais medidas de segurança deverão ser tomadas, mas o escopo de sua atuação e quantidade de dados e informações relevantes que são utilizados para a tomada de decisões, sejam em nível estratégico, tático ou operacional, evidentemente, ponderando o gerenciamento de risco que envolve a sua atuação no mercado e os reflexos negativos que podem refletir na reputação da sua marca.
Assim, não há saída neste mundo globalizado, as ameaças são constantes, o que exige avaliações e validações pautadas em metodologias cíclicas de revalidação e aprimoramento do planejado e estruturado. O ciclo PDCA[4] – Plain, Do, Check and Act, é um exemplo, mas, não é o único, alternativas tem surgido com a promessa de entregar métodos mais ágeis e simples, pois com a crescente onda de empresas inovadoras, em um mercado altamente competitivo, o tempo é um fator preponderante e que influi diretamente na tomada de decisões.
Com o surgimento das startups, mecanismos mais simplificados foram desenvolvidos, através da junção de outros métodos de aperfeiçoamento, seja ele um serviço ou um bem de consumo, ainda que abstrato. Eric Ries[5] autor de “A startup enxuta” apresenta um método de validação rápida do produto em desenvolvimento baseado no sistema lean usado pela gigante japonesa produtora de automóveis, a Toyota. Seu método, conta, ainda com os ensinamentos de Steve Black e Bob Dorf[6], chamado de customer development.
Com a junção de diversos modelos de aprimorando, Ries, criou o conceito de startup enxuta ou lean startup, baseado em um modelo cíclico de aprendizado chamado de “construir-medir-aprender”.
Face ao exposto, percebe-se que cada vez mais o mercado volta-se a valorizar as predições do consumidor, abandonando a imagem de um produto pronto, em que o cliente adquiria em seu estado bruto, seguindo a risca o projeto idealizado. Com o barateamento e o avanço da tecnologia, associado a concorrência de mercado, a indústria tem se voltado aos gostos do cliente, customizando o produto, exibindo-o em diversos formatos.
O que se extrai, portanto, é que a própria segurança da informação não pode ser arcaica, pronta, ela deve seguir a dinâmica e o desenvolvimento tecnológico, visando promover a proteção de todos os ativos que estão direta ou indiretamente ligados com a cadeia produtiva.
Atualmente, empresas de todo o mundo buscam se adaptar em torno da segurança e o vazamento de dados pessoais, estes que se tornaram epicentro em uma sociedade movida pelo uso desordenados dos dados das pessoas naturais. Com o fito de impedir o desenvolvimento inquinado as custas da exploração dos dados pessoais, governos de diversos países tem implementados Leis que visam impelir empresas de todos os portes a aplicar em seus sistemas de gestão corporativa processos que aprimoram o controle sobre o ciclo de vida da informação, de forma que o cidadão tenha conhecimento e controle do efetivo destino de seus dados. Transparência é a palavra de ordem!
Pautado nestas premissas, a Security Report, exibe em seu web site, um rol de apontamento que servem de orientação para o implemento de controles sobre dispositivos móveis, evitando, desta forma, que atacantes imbuídos de interesses escusos possam se valer da fragilidade do ambiente eletrônico, bem como da desatenção do usuário, que é o elo mais fraco desta cadeia.
Os pontos elencados são: a. a elaboração de políticas e procedimento de segurança; b. as limitações quanto ao uso de dispositivos móveis particulares; c. treinamentos adequados; e, d. auditoria para avaliar os riscos.
Os pontos não são exaustivos, são exemplificativos, cada empresa precisa entender a sua realidade e, assim, adaptar. Redação (2016)
As políticas de segurança são a base para a perfectibilização do comportamento humano dentro da empresa, tem o condão de criar uma cultura de segurança em torno dos ativos físicos e digitais, visando conscientizar os funcionários acerca das cautelas que devem ser tomadas, evidentemente, estabelecendo regras para que os objetivos alicerçados no planejamento estratégico sejam alcançados. A mesma política deve conter elementos punitivos, para os casos extremos de descumprimento do plano estabelecido.
Uma política de segurança, segundo Solomon e Kim[7] deve ser construída respeitando-se determinados critérios, ou seja, considerando que uma política exibe “que se pretende” é preciso que ela aponte uma estratégia, que demonstrará “como se alcançará”.
Desta forma, uma política de segurança deve ser hierarquizada e nela conter, padrões que devem ser seguidos – táticas, procedimentos – operacional – e, por fim, as diretrizes – estratégias.
Por outro lado, é cristalino que uma política de segurança desenvolvida e aplicada com extremo rigor deve ser rejeitada, uma vez que tais métodos somente conduzirão os usuários, mesmo os mais cumpridores, a encontrar formas de “encurtar a distância”, pelo óbvio, se para cada ação exigir-se uma autorização, uma validação ou a realização de uma atividade adicional, o usuário buscará formas de descaracterizar as medidas e controles de segurança implementados, colocando por terra todo a validade política de segurança.
De outro turno, considerando a premissa anterior, faz-se necessário que a empresa considere em sua política de segurança o uso de dispositivos pessoais, o chamado BYOD – bring your on device – dentro do ambiente corporativo. Tal proposta, que tem como escora, a redução dos custos de aquisição de equipamentos e a portabilidade, permitindo que o usuário transite com estes aparatos dentro e fora da empresa, permeando, inclusive, as facilidades do home office. Contudo, é imperativo que se adote um padrão para este perfil, pois, além da conscientização, alguns controles devem ser entabulados, tendo em vista que o usuário passa a ter maior controle sobre o item em uso, já que o fim deixa de ser somente o corporativo.
Algumas medidas podem ser adotadas, objetivando que, quando o equipamento estiver em uso em um espaço ausente dos controles corporativos o risco seja minimizado, elas incluem, por exemplo, a criação de um perfil pessoal e um profissional, sendo este último monitorado por um sistema de gestão remoto, como os disponibilizados pela Microsoft[8] (Microsoft Intune) ou pela Google[9] (Google Workspace). Ainda, como outras medidas, senhas de acesso, duplo fator de autenticação, criptografia dos dados, o uso de softwares originais, o armazenamento de dados em servidores seguros dispostos pela empresa e o uso de VPN – virtual private network.
De toda forma, nenhuma das medidas de proteção garantem totalmente o controle do ambiente e dos dispositivos em uso, pois, se os usuários não receber o treinamento adequado, tornam-se potencialmente perigosas.
Por oportuno, convêm destacar que, somente é possível proteger aquilo que se conhece!
Sem o devido treinamento, funcionários servem de condução, o meio de acesso, para diversos tipos de ataques cibernéticos, abrindo as portas virtuais da empresa, para atacantes dos mais variados interesses. Os principais métodos empregados na atualidade fazem uso da engenharia social, phishing, vishing, SMShinig, além de das suas variações mais sofisticadas como o spear phishing e o whaling.
A maior ferramenta de combate ao cibercrime é a propagação do conteúdo, seja através de treinamentos com empresas terceiras, parceiros de negócios, vídeos elaborados, notificações em intranet, banner em áreas de circulação e outras formas que podem ser adaptadas a cultura da empresa, seja ela mais conservadora ou moderna.
A auditoria, é um aliado importante no combate a ausência de implantações de controles, mas, lamentavelmente grande parte das empresas desconsidera o processo de ser auditada, relegando um fator preponderante para a avaliação dos riscos e falhas, sujeitando-se as vulnerabilidades e riscos que a sociedade da informação exibe através de códigos binários, colocando em detrimento a confidencialidade, a integridade e a disponibilidade das informações.
É mais do que sabido, que o intuito das empresas e seus diversos stakholders é auferir determinado resultado, sejam os sócios, colaboradores, parceiros ou prestadores de serviços, assim, evidencia-se que a busca pelo aprimoramento do produto deve representar, para o mercado, confiabilidade, o que, indubitavelmente, irá refletir diretamente em sua reputação. Neste cenário, considerando o atual rompimento das barreiras geográficas distintas entre países, estabelecidas pelo comércio global, consumidores tem se tornado cada vez mais seletivos e criteriosos, o que, por efeito, impõe que as empresas sejam conduzidas a tomarem decisões estratégicas de melhorias contínuas, visando garantir que os processos internos, sejam estes executados pelo intermédio de recursos humanos ou sofisticados sistemas computacionais, evitando não serem afetados por ausência de previsões, culminando, assim, com a exibição de um resultado não adequado ou esperado.
O trabalho de auditoria é garantir ao mercado consumidor, além dos stakeholders envolvidos, que o produto, tangível ou intangível, foi pensado, planejado e construído seguindo os rigores que atendem as normas legais e de segurança para uso e consumo.
Neste cenário, deve pertencer ao corpo da empresa, equipes voltadas a prestação de auditorias internas, que podem ser realizadas pelos funcionários mais gabaritados dos setores, avaliando constantemente os ritos preparados e impostos para o cumprimento das obrigações, porém, por outro lado, auditorias externas regulares, podem exibir falhas humanas, propositais ou não, que não são percebidas ou reveladas pelas equipes internas, deixando o produto inapto a ser posto em circulação.É indiscutível que o a segurança da informação e a gestão da tecnologia da informação se tornaram o ponto convergente, e crucial, para a sobrevivência das empresas, pois, alavanca a tomada de decisões e da celeridade ao planejamento estratégico, assim, sobressai a importância de controles de segurança satisfatórios para que os dados sejam coletados, armazenados, extraídos e exibidos nos sistemas voltados a dar suporte a tomada de decisões, como SAD, BI e BA, com a garantia de que são coesos, confiáveis e íntegros, evitando que deliberações pouco assertivas conduzam a empresa a derrocada.
[1] REDAÇÃO. A importância das políticas de Segurança mobile: roubo ou perda de dispositivos móveis pode resultar em exposição de informações sensíveis e abrir caminho para ciberataques de vírus, malware e trojan. Roubo ou perda de dispositivos móveis pode resultar em exposição de informações sensíveis e abrir caminho para ciberataques de vírus, malware e trojan. 2016. Disponível em: https://www.securityreport.com.br/overview/mobile/importancia-das-politicas-de-seguranca-mobile/#.X5NDqC_5Q1g. Acesso em: 23 out. 2020.
[2] GOGONI, Ronaldo. O que diz a Lei de Moore?: o que é a lei de moore? descubra o que ela significa para a computação, e por que está cada vez mais difícil segui-la. O que é a Lei de Moore? Descubra o que ela significa para a computação, e por que está cada vez mais difícil segui-la. 2018. Disponível em: https://tecnoblog.net/277370/o-que-diz-a-lei-de-moore/. Acesso em: 23 out. 2020.
[3] PORFÍRIO, Francisco. “Fato social”; Brasil Escola. Disponível em: https://brasilescola.uol.com.br/sociologia/durkheim-fato-social.htm. Acesso em 23 de outubro de 2020.
[4] BRASIL, Endeavor. PDCA: a prática levando sua gestão à perfeição: o ciclo pdca, uma metodologia que proporciona melhora contínua de processos por meio de planejamento e medição de resultados. O ciclo PDCA, uma metodologia que proporciona melhora contínua de processos por meio de planejamento e medição de resultados. 2020. Disponível em: https://endeavor.org.br/estrategia-e-gestao/pdca/. Acesso em: 23 out. 2020.
[5] RIES, Eric. A startup enxuta: como os empreendedores atuais utilizam a inovação contínua para criar empresas extremamente bem-sucedidas. São Paulo: Leya, 2012.
[6] BLANK, Steve; DORF, Bob. Startup: Manual do empreendedor: o guia passo a passo para construir uma grande empresa. Rio de Janeiro: Alta Books, 2014.
[7] KIM, David; SOLOMON, Michael G.. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: Ltc, 2014.
[8] MICROSOFT. Transforme a prestação de serviços de TI em seu local de trabalho moderno. 2020. Disponível em: https://www.microsoft.com/pt-br/microsoft-365/enterprise-mobility-security/microsoft-intune. Acesso em: 23 out. 2020.
[9] GOOGLE. O G Suite ficou ainda melhor: conheça o Google Workspace: agora todos os recursos necessários para qualquer tarefa estão em um só lugar. 2020. Disponível em: https://workspace.google.com. Acesso em: 23 out. 2020.