Dispositivos móveis: um novo desafio para a segurança nas empresas



Nos últimos anos, temos assistido a mais uma revolução no campo das telecomunicações. Com o aparecimento do sistema GSM e dos primeiros telefones móveis, a forma de trabalhar nas empresas tem mudado radicalmente, permitindo às pessoas estarem disponíveis em qualquer lugar e a qualquer momento. O aparecimento dos novos dispositivos e as novas tecnologias de transmissão de dados (GPRS, UMTS, etc.) trazem um novo paradigma na forma de trabalhar.

No início, os dispositivos móveis permitiam apenas estabelecer e receber chamadas de voz, assim como enviar e receber mensagens de texto de tamanho mínimo (apenas 160 caracteres). Alguns possuíam agendas eletrônicas simples. Já os novos dispositivos são potentes computadores em miniatura, que reúnem as características dos telefones móveis clássicos com a capacidade de processamento dos desktops, permitindo a expansão do seu uso em novas aplicações.

Tradicionalmente – apesar dos modelos GSM permitirem o desenvolvimento de aplicações de dados – existia uma série de fatores que dificultava a expansão deste tipo de solução nos dispositivos móveis.
O primeiro deles era a própria capacidade de processamento dos mecanismos, geralmente muito limitada. Um outro fator primordial era o grau de exclusividade: baseados em plataformas fechadas, com sistemas operacionais não “Standard”, específicos de cada fabricante ou de cada modelo, eles impediam a implantação de soluções de negócios além das já incluídas (tipicamente um cliente de correio eletrônico e um navegador).

Também não podemos esquecer as características intrínsecas desses aparelhos que, pelo fato de serem dispositivos móveis, têm restrições de design muito importantes: tamanho do visor muito reduzido, interfaces do usuário (teclado principalmente) básicas, autonomia limitada por causa da duração das baterias, conectividade reduzida, etc.

Contudo, pouco a pouco, todas estas barreiras foram ultrapassadas até chegarmos aos dispositivos que encontramos atualmente no mercado. Dois foram os fatores principais dessa evolução: por um lado, as melhorias realizadas nos próprios mecanismos; por outro, os avanços nas próprias redes de telecomunicações.

Dessa forma, os novos dispositivos dispõem de visores maiores e resolução dotada de interfaces “touch screen” e/ou teclados QWERT, baterias de alta duração, capacidade de processamento da ordem de centenas de MHz, memórias persistentes de gigabytes de capacidade etc.

As redes de telecomunicações oferecem conectividade permanente a este tipo de aparelho, já alcançando larguras de banda de 2Mb por segundo (com UMTS/WCDMA) e até 54Mb com as novas redes HSDPA, além da diminuição dos preços, tornando-se mais acessíveis. A velocidade de transmissão dos dados já não supõe barreira alguma para qualquer tipo de aplicação empresarial.

Um último elemento foi fundamental para permitir a expansão das soluções empresariais nos dispositivos: a aparição de plataformas abertas baseadas em sistemas operacionais padronizados. Graças a iniciativas como o Symbian, o Windows Mobile ou o PalmOS, e à aceitação por parte desses fabricantes, hoje é possível customizar os terminais acrescentando as aplicações de negócio necessárias para transformar estes dispositivos em pequenos escritórios móveis: clientes de CRM, ERP, aplicações de “reporting”, entre outros, baseadas em clientes pesados ou clientes leves (navegadores web e wap).

Agora que a tecnologia está disponível, surge um último desafio às organizações: como integrar estes dispositivos dentro da gestão da sua plataforma TI tradicional: servidores, desktops, portáteis e etc? E o que é mais importante: como integrá-los dentro do seu plano de segurança?

Os aparelhos móveis apresentam características que os tornam completamente diferentes do restante dos sistemas de informática das organizações. A primeira e mais evidente é a própria mobilidade. Não são terminais que permanecem fisicamente dentro da organização, mas que acompanham os empregados aonde quer que estejam.

Esta característica influi muito negativamente na segurança física e lógica das empresas. Os roubos e perdas destes dispositivos estão na ordem do dia. Recentemente, um estudo mostrou que só nos últimos seis meses foram perdidos, aproximadamente, 85 mil telefones móveis e agendas pessoais na cidade de Chicago.
Este fato deve preocupar seriamente as empresas: aquela informação altamente protegida e armazenada em seus servidores com toda a tecnologia de segurança perimetral existente no mercado (firewall, sistemas de detecção de intrusos, etc) poderia estar em qualquer dos 85 mil dispositivos que se perderam. E dificilmente se sabe nas mãos de quem vai cair o aparelho perdido. A espionagem industrial pode ter encontrado aqui um aliado.

Mas não devemos levar em conta apenas os documentos armazenados, já que o próprio PDA perdido pode converter-se em uma porta de entrada para toda a rede da organização: sessões VPN que ficaram abertas (ou com o usuário e senha gravados), uma nota com o usuário e senha da intranet, etc. Também não podemos esquecer da segurança lógica: ao estarem em uso remoto, é impossível garantir que a rede a qual esses mecanismos se conectem seja totalmente segura. O acesso WiFi do aeroporto ou do cybercafé pode não estar protegido por criptografia, permitindo assim que os dados enviados ou recebidos sejam lidos, ou que um hacker se conecte remotamente ao dispositivo e roube informação.

Este último exemplo pode parecer ficção científica. Mas o mesmo ceticismo era aplicado diante da idéia de que pudesse haver vírus nos telefones móveis: hoje, já são conhecidos mais de 220 vírus e variantes diferentes que afetam tanto os terminais Symbiam quanto os Windows Mobile. Nomes como “Commwarrior” ou “Skulls” deixaram de ser ficção científica para se tornarem uma realidade cotidiana.
É possível estabelecer um paralelo entre o crescimento do malware em dispositivos móveis e o seu análogo na internet fixa convencional. Estima-se que o malware mais avançado nestes aparelhos do momento seja equivalente ao da internet há seis anos. As ligações de banda larga e a aparição de sistemas operacionais abertos permitem que os hackers e criadores de vírus disponham das condições necessárias para produzir uma explosão similar à da internet, o que está previsto para os próximos dois anos.

Porém, não é necessário infectar-se com um vírus para fazer com que o dispositivo móvel deixe de funcionar. Basta, por exemplo, que o usuário – de maneira involuntária, ou por instalar um programa inadequado – desconfigure a ligação GPRS do dispositivo para que o cliente CRM (o motivo porque se atribuiu o dispositivo ao usuário) fique inutilizado.

Se desejar garantir a segurança e disponibilidade dos dados e os dispositivos e aplicações que contêm, não é possível confiar nas ferramentas básicas de segurança. O PIN do telefone pode evitar que sejam feitas chamadas do telefone roubado, mas não evita o acesso aos dados que já estão gravados no aparelho, assim como a senha do PDA não protege os dados armazenados na memória SD externa.

O que mais chama a atenção é que estes mecanismos não estão especificamente desenhados para o uso corporativo. Por exemplo, não dispõem de ferramentas que permitam implantar de maneira centralizada uma política de segurança (controle de acesso, proteção da informação, controle de execução de aplicações, etc) como as que são encontradas nos PCs. Também não é possível atualizar remotamente o sistema operacional com novas diretivas de segurança, devido ao fato de este estar gravado em memória ROM.

Apesar dos requisitos de segurança serem os mesmos que nas demais plataformas de TI das empresas, os dispositivos móveis carecem de ferramentas no próprio sistema operacional que garantam sua segurança. É necessário recorrer a produtos de terceiros, que devem ser capazes de se integrar com o resto das diretivas da empresa, de forma a oferecer ao administrador uma visão única e global da segurança da organização: os aparelhos não devem ser tratados como uma exceção, mas sim como parte integrante da segurança corporativa.

Por último, resta lembrar que a segurança não é apenas um fator tecnológico. Afinal, é um ser humano quem tem nas mãos o bom funcionamento do dispositivo. O usuário comete erros, realiza processos erroneamente e pode não dar a devida atenção ao dispositivo.

Como exemplo temos o vírus Commwarrior, que é ativado quando o usuário aceita uma mensagem Bluetooth de um outro usuário que desconhece, ou um MMS de uma pessoa conhecida. Se a pessoa que utiliza o dispositivo for consciente do risco que assume abrindo uma mensagem MMS, é possível neutralizar o vírus antes deste se propagar.

É necessário conscientizar os usuários dos novos riscos existentes no uso destes dispositivos, mediante uma correta educação e incentivos.

Orlando Rodrigues é diretor geral da Mossec. E-mail: [email protected]

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima