Em Debate
Publicado: 10/07/2006
Sua corporação está preparada para conviver com a tecnologia móvel?
Eduardo Prado
Trabalhos Publicados
Weblog: Smart Convergence
Provavelmente não e o CIO da Corporação não sabe disto!
Vejamos 02 casos pitorescos que eu conheço no Brasil em relação a segurança Wi-Fi:
(1) em FEV.2005 uma grande Corporação brasileira se vangloriava que tinha uma Política de Segurança de Wi-Fi bastante abrangente e robusta ... quando tive conhecimento de parte desta Política que ela era aderente apenas ao padrão WPA do Wi-Fi que intrinsicamente tinha falhas de segurança. Cabe ressaltar que a segurança completa do Wi-Fi só foi homologada em JUN.2004, com a certificação do padrão WPA2 ou IEEE 802.11i. Veja as seguintes referências sobre segurança de Wi-Fi: Wi-Fi já tem segurança, JUL.2004, ComUnidade WirelessBRASIL e Draft Special Publication 800-97, Guide to IEEE 802.11i: Robust Security Networks [um arquivo pdf], JUN.2006, NIST; (2) em DEZ.2004 um CFO de uma Corporação brasileira todo dia conectava seu Notebook na Rede de Wi-Fi da sua empresa. Uma determinada “segunda-feira” ele não conseguiu conectar-se ao “seu hotspot”. Quando foi investigar, ele descobriu que o “seu hotspot” era um ponto de acesso falso na Rede e não homologado pela Gerência de TI (Tecnologia da Informação) e foi removido da Rede de Wi-Fi no fim de semana por não ser homologado na empresa. A Gerência de TI desta Corporação demorou muito tempo para identificar o hotspot falso na Rede pois não possuia um procedimento rotineiro de checar os pontos de acesso na sua Rede de Wi-Fi. Este tipo de hotspot é conhecido como Rogue Hotspot (ou Rogue Access Point). Conheça aqui uma Corporação que patrulha sua Rede diariamente atrás de hotspots falsos: Case study: Deutsche Bank tries to marry wireless and security, MAI.2003, Computerworld.
Estes são apenas 02 casos que mostra aonde a Corporação pode estar susceptível a problemas de segurança! Estes casos referem-se apenas a tecnologia Wi-Fi. Quantos outros casos não devem existir nas Corporações no Brasil e no mundo?
Atualmente existe uma forte demanda por mobilidade nas Corporações e a coisa vai piorar muito nos próximos 03 anos com a oferta cada vez maior de dispositivos móveis. Veja aqui alguns destes dispositivos que são objeto de desejo do Mercado Corporativo: Top 10 business phones, The best business phones available now e How to make the most of your business phone, JUN.2006, InfoSync World e Who´s Going To Kill Blackberry?, MAI.2006, GigaOM.
O Mercado Corporativo hoje em dia tem 02 tecnologias principais de conectividade: a Telefonia Móvel (Famílias GSM e CDMA) e o Wi-Fi. No futuro teremos também o WiMAX Nomádico e Móvel. Sem falar no Bluetooth que vem incorporado na maioria dos dispositivos móveis.
Os dispositivos móveis que o Mercado Corporativo está utilizando atualmente são os seguintes: Aparelhos Celulares, Notebooks, PDAs ou Smartphones (uma mistura de PDA com Telefonia Móvel). Tanto dependente quanto independentemente do dispositivo móvel utilizado, a Corporação está sujeita a falhas na sua segurança.
Consideremos, a título de exemplo, um caso bem simples de um Aparelho Celular simples com a tecnologia de Bluetooth. Veja aqui uma lista de problemas que sua Organização pode estar sujeita através de uma interface de Bluetooth nos seus dispositivos: Don't get bitten by Bluetooth, NOV.2005, SearchSecurity.com.
Um dos elementos primários para qualquer Corporação frente a necessidade de utilização de dispositivos móveis em função da conveniência de comunicação, aumento de produtividade ou redução de custos é definição de uma Política de Utilização de Tecnologia Móvel.
Este é o passo número um para uma Corporação! Definir sua Política de segurança na utilização de dispositivos móveis. A redução do risco na utilização de dispositivos móveis começa com a definição de uma Política da Corporação. Por exemplo, muitos funcionários sincronizam o e-mail da empresa nos PDAs ou encaminham mensagens para os Smartphones.
Portanto, se eles forem perdidos ou roubados, estes dispositivos podem ser utilizados para permitir acesso não autorizado para redes privadas ou aplicações estratégicas da empresa ou mesmo dados estratégicos da Organização. Adicionalmente, múltiplos dispositivos móveis podem suportar diferentes interfaces sem fio, criando novas e diferentes alternativas de ataque.
Para gerenciar estes riscos, as Corporações precisam definir quais dispositivos móveis são permitidos acessar a sua rede e/ou manipular informações corporativas. A definição destes procedimentos estabeleceria limites de acesso à rede e aplicações. Medidas e práticas de segurança seriam necessárias como também a definição de processos para monitorar e reforçar o atendimento as primitivas de segurança da Corporação.
Veja nestas referências idéias para definição de uma Política de Utilização de Tecnologia Móvel de uma Corporação: Policies for reducing mobile risk, MAI.2006 [sujeita a registro grátis] e Compliance in the mobile enterprise, JUN.2006, SearchMobileComputing.com.
Não esqueça de dar este primeiro passo na sua empresa!
Comente!
Para enviar sua opinião para publicação como comentário a esta matéria para nosso site, clique aqui!
Nota: As informações expressadas nos artigos publicados nesta seção são de responsabilidade exclusiva do autor.
Newsletters anteriores
Mais Eventos
Mais Webinares