BYOD: Bring Your Own Device

BYOD: Bring Your Own Device

Impedir BYOD é práticamente impossível


 Estamos entrando a passos largos no mundo Pós-PC, onde o centro nervoso passa a ser a nuvem. O PC muda seu significado de Personal Computer para Personal Cloud e a nuvem passa a ser o centro da nossa vida digital. Este é um processo que está se acelerando rapidamente e pesquisas como a da Cisco estimam que em 2016 o tráfego de dados via smartphones e tablets será 50 vezes maior que hoje em dia. O IDC diz que em 2015 o número de usuários americanos acessando a Internet por dispositivos móveis será maior que os usando PCs. Mobilidade, portanto, passa a ser uma das top 3 prioridades para os CIOs.

E no cenário da mobilidade surge o fenômeno da consumerização e o BYOD, ou seja, Bring Your Own Device para dentro da empresa. Na prática isto ocorre porque, usando-se um tablet ou smartphone, torna-se cada vez mais difícil separar as atividades que executamos profissionalmente das que são estritamente pessoais. Acessar via smartphone ou tablet um buscador como o Google ou entrar no Facebook pode representar obter de imediato uma informação útil para o cumprimento de uma tarefa de negócios. A pressão por parte dos usuários, sejam eles executivos ou operacionais, pelo uso de seus dispositivos pessoais no trabalho é grande e tende a aumentar, à medida que eles se disseminam. Hoje um tablet ou smartphone já é o objeto de desejo de quase todos nós, suplantando o “velho” PC.

Impedir BYOD é práticamente impossível. Se a área de TI tentar impedir seu uso vai descobrir que os usuários por conta própria vão descobrir meios de acessar os dados corporativos. Por outro lado, embora TI não deva e nem possa impedir a onda do BYOD entrar nas empresas, é necessário desenhar uma estratégia de mobilidade clara e objetiva. Uma pesquisa da Symantec mostrou que embora 90% dos funcionários das empresas pesquisadas admitissem poder usar seus próprios dispositivos móveis no trabalho, 60% das empresas não tinham uma política específica para BYOD. Claramente existe uma lacuna que gera insegurança e riscos de exposição indevida de informações corporativas.

As empresas devem adotar uma política de BYOD de acordo com suas próprias características e necessidades. Na verdade podemos pensar em um balanceamento entre duas forças: uma inibidora, que seriam as pressões por segurança, sejam elas internas (cultura organizacional avessa a riscos e a novidades tecnológicas) ou externas (aderência a regras específicas do setor de indústria) e outra, impulsionadora, que é o valor que a mobilidade e a estratégia de BYOD trarão para o negócio. Assim, salvo poucas exceções de empresas que avaliem que a pressão por segurança seja muito alta e o valor para o negócio baixa, e portanto BYOD será inibido ou impedido, a maioria vai identificar claramente que os riscos existem e a pressão por segurança não é desprezível, mas os benefícios de uso de smartphones e tablets serão claros e tangíveis. Compensará, portanto, desenhar uma estratégia de BYOD, que defina uma política para acesso e uso seguro aos dados e sistemas corporativos. Mas não é só isso. É necessário estimar os custos para manter esta política, pois o ciclo de atualização dos smartphones e tablets é muito mais rápido que os dos PCs, bem como a área de RH deve ser envolvida, uma vez que os usuários estarão potencialmente conectados 24 horas. A estrátegia BYOD deve ser implementada de forma corporativa e multidisciplinar, e não apenas por TI. Além de TI, que deve liderar o porcesso, também as áreas jurídicas, RH e claro, as de negócio deverão desenhar em conjunto esta estratégia.

O que deve constar na estratégia? Sugiro listar alguns pontos importantes que incluem:

a) Quem vai pagar os gastos com compra dos aparelhos e suas taxas mensais de uso? Geralmente os funcionários pagam e a empresa arca com os custos mensais de sua utilização.

b) Quem fornecerá o suporte técnico? Algumas empresas suportam um conjunto finito de aparelhos, deixando os demais por conta dos fornecedores. Neste último caso o funconário é quem deve correr atrás do suporte. No caso de suporte interno, não se esqueça de preparar os técnicos para que tenham os skills adequados. O esforço maior do suporte interno provavelmente será de resolver problemas mais ligados à interfaces dos dispositivos móveis com os aplicativos internos e menos com as caracteristicas técnicas dos aparelhos.

c) Que aparelhos serão aceitos na política BYOD? Hoje existe uma profusão de aparelhos e é necessária uma limitação, principalmente por questões de segurança. Assim, sugiro, para minimizar estes riscos, que sejam definidos limites mínimos de funcionalidades de segurança que o aparelho implementa, para que possa ser aceito na política BYOD da empresa. Por exemplo, é necessário dispor de funcionalidades que permitam controle de sincronização, roaming, uso de senhas, timeout por inatividade, criptografia de dados e desabilitação remota, em caso de roubo ou perda.

d) Enfatize educação no uso destes equipamentos, mostrando claramente os riscos de uso indevido, que softwares são permitidos, o que é bloqueado e assim por diante.

e) Estabeleça claramente as regras de uso e torne obrigatória sua divulgação e aceite formal por todos funcionários que fizerem parte da politica BYOD.

d) Implemente tecnologias e processos de segurança adequados a este novo contexto, com tecnologias que incluem virtualização do dispositivo, MDM (Mobile Device Management) e NAC (Network Access Control).

A IBM é um exemplo interessante. Está implementando uma estratégia BYOD para seus mais de 400.000 funcionários no mundo todo. É uma força de trabalho altamente móvel e, portanto, adotar uma estratégia BYOD faz todo o sentido, pois traz alto valor para o negócio. Por outro lado não pode correr o risco de perder o controle sobre dados essenciais e críticos a sua operação, uma vez que o mercado de TI é altamente competitivo. Assim, a IBM adotou uma politica BYOD que libera seu uso, mas mantém controle sobre aspectos críticos. Por exemplo, a política explícita que o funcionário que quiser usar seu próprio dispositivo concorde que seja instalado uma tecnologia chamada Tivoli Endpoint Manager que permite que a empresa apague o conteúdo dos dispositivos em caso de perda, roubo ou mesmo saída do funcionário da companhia. Além disso, a politica BYOD impede o uso de nuvens públicas como Dropbox e iCloud, além do Siri, assistente pessoal criado no iPhone 4S. O Siri, por exemplo, envia dados de voz para a nuvem da Apple para que seja feito o reconhecimento e interpretação da voz. O Siri também exige acesso a informações pessoais como contatos e ganha acesso à localização do aparelho. Todas estas informações são enviadas para a nuvem da Apple, na qual a IBM não tem nenhum controle. Assim, o framework de MDM (Mobile Device Management) adotado desabilita o acesso ao Siri para os dispositivos usados na politica BYOD. A idéia é que tarefas simples como agendar reuniões, enviar emails, adicionar contatos e configurar lembretes podem parecer tarefas inocentes à primeira vista, mas embutem riscos potenciais se forem gravadas e analisadas em um local inadequado.

A nuvem pessoal merece um capítulo a parte. A sua facilidade de uso incentiva os usuários a adotarem nuvens como iCloud e Dropbox para armazenarem suas informações pessoais, mas entre elas podem estar também muitas informações corporativas. Por exemplo, entre as fotos pessoais podem estar fotos de produtos ainda em testes, não lançados ao público. Ou o conteudo de webinares internos. E, o pior, um usuário pode fazer uso de diversas nuvens, o que amplifica a complexidade das iniciativas de segurança.

O cenário da consumerização e o fenômeno do BYOD irão ganhar a guerra, se é que existe mesmo tal guerra contra ela por parte da TI, mais cedo ou mais tarde. Portanto, em vez de lutar contra, a área de TI deve liderar o processo de aglutinar a empresa em uma estratégia corporativa de mobilidade e política BYOD, definindo claramente o que pode, e o que não pode e nem deve ser usado. Com o BYOD e a consumerização, o foco das iniciativas de segurança deve passar da gestão e controle do equipamento físico (como fazemos no mundo atual do PC) para gestão e controle da informação, onde quer que ela esteja. Este é o cerne da mudança de paradigma de MyDocuments (tipico do PC) para MyDropbox, emblemático do novo mundo centrado nas nuvens. Aliás, BYOD está se tornando um acrônimo tão badalado quanto ITIL... Muita gente está falando, mas nem todos estão colocando em prática da forma adequada.

 

  1. Nome: