7 práticas recomendadas para segurança de dispositivos móveis em empresas

1. Gerencie dispositivos móveis com um MDM

Qualquer organização que forneça acesso a dados corporativos em dispositivos móveis deve considerar o gerenciamento de dispositivos móveis (MDM). O MDM é a primeira linha de defesa do administrador de TI na proteção de dispositivos móveis.

A função do MDM é fornecer à organização a capacidade de aplicar controles de conformidade de segurança em dispositivos.

Algumas das configurações de perfil e conformidade mais comuns incluem o seguinte:

• Código PIN e criptografia do dispositivo
• Autenticação baseada em certificado
• Configurações de e-mail
• Configurações de Wi-Fi
• Permissões e restrições de recursos do dispositivo
• Aplicações em listas de bloqueio e permissão
• Login único
• Conformidade e automação de atualizações de iOS e Android
• Configurações de prevenção contra perda de dados (DLP)
• Detecção e correção de jailbreak/root
• Limpeza corporativa e redefinição completa do dispositivo pelo ar

Uma plataforma MDM pode gerenciar vários dispositivos, incluindo iOS, Android, Windows, macOS e, em alguns casos, até mesmo o Chrome OS. O MDM é uma ferramenta flexível que oferece aos administradores controles abrangentes para garantir a segurança dos dispositivos e o suporte adequado. Além disso, para dispositivos móveis destinados exclusivamente a empresas, considere o Apple Business Manager e o Android Enterprise. Eles se integram ao MDM para conceder às organizações mais privilégios em um dispositivo e implementar configurações de segurança de alto nível, como restrições e controles avançados de configuração, layout da tela inicial, modo de aplicativo único, modos multiusuário e de compartilhamento, e inscrições automáticas.

2. Gerenciar autenticação e acesso

Há muitas abordagens diferentes que os administradores de TI podem adotar para habilitar a autenticação móvel, incluindo as seguintes:

Gerenciamento de código PIN

O PIN geralmente serve como senha para dispositivos móveis, impedindo o acesso não autorizado por agentes mal-intencionados. Para a segurança dos usuários finais e da organização, as organizações devem implementar uma política de PIN. Essa política pode, por exemplo, exigir um mínimo de oito dígitos para o PIN. Isso garante que os dispositivos estejam sempre em conformidade com as normas. A TI pode implementar essa política de forma mais eficaz por meio de um MDM.

Autenticação multifator

Os administradores podem fazer o possível para garantir a segurança dos dispositivos móveis, mas, uma vez que um dispositivo sai do prédio do escritório, ele fica suscetível a inúmeros ataques. Um administrador nem sempre pode controlar a qual rede o dispositivo se conectará em seguida ou as condições de risco em que entrará. A autenticação multifator (MFA) fornecerá segurança mais abrangente, confirmando que o usuário final que efetua login é quem ele diz ser. Ela requer dois ou mais métodos de autenticação, que podem incluir PIN ou senha, verificação por SMS e autenticação biométrica. Um administrador pode então definir parâmetros para determinar quando exigir a MFA com base na confiança do dispositivo e nas condições de risco. O MDM também pode ser um mecanismo para estender o requisito aos dispositivos, integrando a MFA preferencial ao fluxo de trabalho de registro do MDM e permitindo que o MDM sirva como o centro para todas as configurações de registro e segurança do dispositivo.

3. Habilite políticas de prevenção contra perda de dados

Os usuários dependem de diversos aplicativos em seus dispositivos móveis para realizar seu trabalho, portanto, os administradores de TI devem garantir que os dados corporativos não sejam copiados ou acessados por um aplicativo não gerenciado ou não confiável. As organizações podem usar a proteção de aplicativos e políticas de DLP para impedir que os dados da empresa sejam salvos localmente no dispositivo. Os administradores de TI também podem restringir a transferência de dados — ou a opção "Abrir em" — para outros aplicativos não aprovados e não gerenciados, limitando recursos específicos, como copiar e colar.

Plataformas como o Microsoft Endpoint Manager permitem até mesmo políticas de proteção para aplicativos Microsoft sem exigir que os administradores registrem dispositivos em um MDM. Para dispositivos registrados no MDM de uma organização, o MDM é o mecanismo para criar e aplicar essas restrições de segurança e garantir a proteção contra perda de dados.

4. Defina políticas remotas de bloqueio e limpeza para dispositivos corporativos e BYOD

O que acontece se um funcionário perder um dispositivo ou sair da empresa? Toda empresa deve desenvolver uma política corporativa e de BYOD para gerenciar a perda de dispositivos e o apagamento de dados.

Com esse tipo de política, quando um dispositivo móvel é perdido ou roubado, a organização pode tomar medidas para proteger os dados, incluindo apagá-los, redefinir o dispositivo ou bloqueá-lo.

Esse tipo de política se torna confuso com ambientes BYOD; nem todos os usuários gostam da ideia de permitir que a TI tenha esse tipo de controle sobre seus dispositivos. No entanto, tanto o Google quanto a Apple resolveram esse problema com atualizações em suas plataformas. No iOS 13, a Apple introduziu o Registro de Usuário, que restringe significativamente o que uma plataforma MDM pode fazer em um iPhone BYOD pessoal — incluindo a remoção da capacidade de executar uma redefinição de fábrica em um dispositivo. Para dispositivos Android, o recurso de perfil de trabalho Android Enterprise do Google permite que os usuários mantenham aplicativos e dados de trabalho e pessoais distintos. Cada perfil é completamente separado; a organização gerencia aplicativos e dados de trabalho, enquanto os aplicativos, dados e uso do usuário final permanecem intactos. Isso restringe tarefas administrativas invasivas, como redefinições de fábrica.

5. Mantenha os dispositivos BYOD e corporativos atualizados

Manter os dispositivos atualizados não é uma tarefa fácil, mas é fundamental. Dispositivos móveis são um alvo crescente para malware e outros ataques, e uma das melhores maneiras de combatê-los é garantir que todos os dispositivos gerenciados estejam totalmente atualizados.

Os administradores de TI podem adotar diversas estratégias para manter os dispositivos atualizados em tempo hábil. Exigir que os usuários implementem atualizações é uma estratégia simples, mas nem sempre eficaz. Uma das melhores maneiras de incentivar as atualizações do usuário final é implementar controles por meio do MDM. Para dispositivos registrados em uma plataforma MDM, um administrador de TI pode agendar uma atualização do sistema operacional móvel para todos os usuários — idealmente durante um horário de baixo uso, como no meio da noite. Para dispositivos corporativos, a TI pode ir além, e o MDM pode agendar, baixar e instalar atualizações automaticamente.

Com ambientes BYOD, a situação pode ser um pouco mais complicada. Os administradores de TI móveis podem agendar uma solicitação para que o usuário baixe e instale a atualização, mas o usuário final ainda precisa iniciar o processo. No entanto, existem mecanismos que os administradores de TI podem implementar por meio do MDM; um deles é uma política de conformidade. Uma política de conformidade permitiria que um administrador criasse uma automação "se isso, então aquilo" para dispositivos.

Um exemplo disso seria uma política de conformidade direcionada a dispositivos com uma versão específica do iOS. Um administrador pode criar uma ação que envie uma notificação ao usuário para atualização. Se o dispositivo não for atualizado após dois dias, o administrador pode tomar medidas como colocá-lo em quarentena ou remover o e-mail corporativo e o acesso ao dispositivo. Essas restrições permanecerão em vigor até que o usuário atualize o sistema operacional do dispositivo.

Essas políticas de conformidade ajudam a manter os dados corporativos seguros e, ao mesmo tempo, incentivam os usuários finais a se manterem atualizados. Embora este exemplo tenha se concentrado no iOS, as mesmas políticas podem ser aplicadas a dispositivos Android.

6. Monitore a conformidade do dispositivo e automatize com defesa contra ameaças móveis

O MDM é uma ferramenta de gerenciamento com controles de segurança em nível de dispositivo, mas pode não ter a capacidade de detectar e prevenir ataques de aplicativos e redes maliciosos, bem como phishing. Recentemente, houve um aumento nos ataques de phishing contra dispositivos móveis.

Dispositivos móveis, assim como computadores desktop, ainda são endpoints e a TI precisa protegê-los. Plataformas de defesa contra ameaças móveis (MTD) detectam ataques do tipo "man-in-the-middle" via Wi-Fi, identificam comportamentos suspeitos em um dispositivo e verificam proativamente malware, aplicativos nocivos e ataques de phishing. Elas podem então corrigir problemas usando uma variedade de métodos, como desligar a conexão Wi-Fi ou celular do dispositivo para evitar novos vazamentos de dados ou trabalhar em conjunto com um MDM para colocá-los em quarentena. Em termos gerais, uma plataforma MTD pode executar as seguintes funções:

• Monitore a atividade do dispositivo para detectar ataques cibernéticos em tempo real.
• Monitore aplicativos do dispositivo em busca de comportamentos suspeitos que possam vazar dados do usuário para fontes não confiáveis.
• Monitore vulnerabilidades do sistema operacional e explorações do kernel.
• Monitore a atividade da rede do dispositivo em busca de tentativas de interceptação, remoção de Secure Sockets Layer (SSL) e descriptografia de SSL.

Juntas, as plataformas MTD e MDM oferecem segurança aprimorada para dispositivos móveis e usuários.

7. Mantenha seus usuários finais informados

Os administradores de TI podem implementar toda a tecnologia que desejarem para resolver um problema, mas os usuários finais são a chave para o sucesso. É fundamental treiná-los e mantê-los informados sobre ameaças e vulnerabilidades atuais.

Ajudar os usuários finais a entender a importância das atualizações — e como elas podem afetar os dados corporativos — deve ajudá-los a tomar as decisões corretas em relação à segurança do dispositivo.

Sobre o autor: Michael Goad é um escritor freelancer e arquiteto de soluções com experiência em gerenciamento de mobilidade em um ambiente empresarial.