5 ameaças para levar a sério na mobilidade em 2018

Em comparação com o malware há factores de risco muito mais perigosos a considerar.

A segurança dos dispositivos móveis está no topo da lista de preocupações de cada empresa hoje em dia, e por uma boa razão: quase todos os trabalhadores acedem a dados das organizações em smartphones, e isso significa que evitar manter informações confidenciais em mãos erradas é um enigma cada vez mais intrincado. O que está em risco, basta dizer, é maior do que nunca: o custo médio de fuga de dados empresariais é de 21,1 mil dólares por dia, de acordo com um relatório de 2016 do Ponemon Institute.

Embora seja fácil, para muitos fornecedores de tecnologia de segurança, destacar o tema mais sensacionalista do malware, a verdade é que as infecções são incrivelmente invulgares. As hipóteses de haver infecção são significativamente menores do que as de um utilizador ser atingido por relâmpagos (e sem ser usar smartphone), de acordo com uma estimativa.

Isso é devido à natureza do malware móvel e às protecções já incorporadas nos sistemas operativos móveis. Os riscos mais realistas proliferam nalgumas áreas facilmente negligenciadas.

E espera-se que se tornem mais perigosos no próximo ano.

Fuga de dados

A fuga de dados é amplamente vista como sendo uma das ameaças mais preocupantes para a segurança corporativa à medida que nos dirigimos para 2018. O que torna a questão especialmente irritante é que muitas vezes não é nefasto por natureza.

Em vez disso, é uma questão de utilizadores, inadvertidamente, tomarem decisões mal recomendadas sobre que aplicações podem ver e transferir as informações. “O principal desafio é saber como implementar um processo de verificação de aplicações que não sobrecarregue o gestor de TI e nem cause frustração aos utilizadores”, diz Dionisio Zumerle, director de pesquisa sobre segurança móvel na Gartner.

Ele sugere o recurso a soluções de defesa contra ameaças de mobilidade (MTD, sigla em inglês). Estes utilitários monitorizam as apps para detectar aplicações com “comportamentos de perda de dados”, diz Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Claro que isso nem sempre evita as fugas ocorridas como resultado de um erro do utilizador. Algo tão simples como transferir ficheiros de uma empresa para um serviço público de armazenamento em cloud computing, colocar informações confidenciais no lugar errado ou encaminhar por acidente um email para um determinado destinatário.

Para esse tipo de fuga, as ferramentas de prevenção de perda de dados (DLP) podem ser a forma mais eficaz de protecção. cenários acidentais.

Engenharia social

Os esquemas de tentativa e erro, por exemplo, são tão preocupantes na frente móvel como na dos desktops. Apesar de se poder considerar que é fácil evitar o sucesso da engenharia social, esta é surpreendentemente eficaz.

Uma classificação de 90% das fugas de dados observadas pela Verizon são o resultado de phishing, de acordo com o relatório “2017 Data Breach Investigations Report”. Embora apenas 7 % dos utilizadores se deixam levar por tentativas de phishing, a Verizon diz esses tendem a ser reincidir: 15% serão pirateados pelo menos mais uma vez no mesmo ano.

Apesar de tudo , inúmeros investigadores sugerem que os utilizadores são mais vulneráveis ​​ao phishing de dispositivos móveis do que ao de desktops: até três vezes, de acordo com a IBM.

Isso acontece em parte porque um smartphone é o dispositivo no qual há maior propensão para as pessoas verem uma mensagem pela primeira vez. Robinson observa que a linha entre trabalho e computação pessoal continua a atenuar-se.

Consequentemente, a ideia de receber o que parece ser um email pessoal no meio de mensagens relacionadas com trabalho não parece estranha.

Interferência nos pontos de acesso Wi-Fi

Um dispositivo móvel é tão seguro quanto a rede através da qual está a transmitir dados. Numa época em que todos estamos constantemente a ligar a redes públicas de Wi-Fi, isso significa que a nossa informação muitas vezes não está tão segura quanto podemos assumir.

“Mas hoje em dia, não é difícil cifrar o tráfego”, assinala Kevin Du, professor de informática da Universidade de Syracuse, especializado em segurança de smartphones. “Quando não se tem uma VPN, deixam-se muitas portas abertas no perímetro”.

Todavia seleccionar a VPN de classe empresarial correcta, não é tão fácil. Tal como acontece com a maioria das considerações relacionadas com a segurança, é quase sempre necessário aceitar um equilíbrio.

“As VPN precisam de funcionar de forma mais inteligente nos dispositivos móveis, para reduzir o consumo de recursos ‒ principalmente a bateria ‒ é primordial”, sublinha Zumerle (Gartner). Uma aplicação de VPN eficaz deve ficar activa somente quando absolutamente necessário, lembra, e não quando um usuário está a aceder site de notícias, por exemplo.

Dispositivos desactualizados

Smartphones, tablets e equipamentos com IoT, representam um novo risco para a segurança empresarial sobretudo, quando não há geralmente garantias de actualizações de software atempadas. Isso é verdade, particularmente na área dos Android, onde a grande maioria dos fabricantes são embaraçosamente ineficazes em manter os seus produtos actualizados, mas também no segmento dos dispositivos IoT.

“Muitos daqueles para IoT nem têm um mecanismo de actualização incorporado e isso está tornar-se cada vez mais uma ameaça nos dias de hoje”, diz Du. Novamente, uma política forte permite ir longe, cai sobre uma empresa a responsabilidade de criar uma rede de segurança em torno dos equipamentos.

Acidentes de segurança física

Por último mas não menos importante, as perdas de equipamento continuam a ser uma ameaça perturbadora e realista. Um dispositivo perdido pode ser um grande risco de segurança, especialmente se não estiver protegido com código PIN, password forte ou cifra completa de dados.

Um estudo do Ponemon Institute em 2016, revelou que quase metade dos entrevistados não usava password, PIN ou mecanismo biométrico para proteger os seus dispositivos. Cerca de dois terços disseram que não usavam cifra.

Deixar a responsabilidade nas mãos dos utilizadores é muito arriscado. O melhor é fazer políticas em vez de suposições.

 FONTE: COMPUTERWORLD