BYOD: gestão da informação é essencial

Agora que o fenômeno do BYOD é notícia velha e a realidade começa a se instalar, a TI e as unidades de negócio podem tomar decisões estratégicas importantes em torno de gestão de informações em uma era onde os funcionários estão trabalhando em uma vasta variedade de dispositivos pessoais e de negócios (smartphones, tablets , e/ou PCs), em uma igualmente vasta variedade de locais (no escritório, em casa, na estrada, e/ou nas instalações do cliente).

Mesmo que sua empresa ainda não suporte BYOD, a computação heterogênea significa que você precisa de uma estratégia de gestão de informação “BYOD-like”. Pouco importa quem compra os dispositivos. Ainda assim você estará lidando com funcionários que trabalham em qualquer lugar, a qualquer hora, e cada vez mais de qualquer dispositivo.

Estas decisões não são novas, mas são adiadas normalmente, dependendo do processo de aceitação de que a maioria dos trabalhadores deixe de realizar o seu trabalho obrigatoriamente a partir de um local fixo e um único dispositivo.

Além disso, muitas empresas que tomaram decisões sobre o gerenciamento de informações em um ambiente heterogêneo o fez de uma abordagem fragmentada, que cria complexidades de gestão enormes e implementações inconsistentes. Por exemplo, é típico que as empresas desativem a abertura de anexos em dispositivos móveis, mas não em PCs domésticos; exijam a criptografia em dispositivos móveis, mas não em PCs; limitem o uso de VPNs apenas para PCs; ou forneçam opções de armazenamento remotos acessíveis apenas em PCs com Windows. Não admira que muitos funcionários optem por trabalhar com sua própria nuvem de armazenamento, encaminhem e-mails para contas pessoais, e busquem outras soluções alternativas, principalmente em empresas que não dão a eles outra escolha.

O que você deve fazer? Depende do que você está tentando proteger, mas não há um único princípio orientador que você deva seguir. Use políticas comuns para o acesso às informações e ferramentas comuns de gerenciamento, sempre que possível.

Políticas de senhas, políticas de acesso, políticas de criptografia e permissões de edição devem ser consistentes em todos os dispositivos: computadores, tablets e smartphones.

Três aspectos para a implantação das políticas precisam ser trabalhados:

  1. Que capacidades de acesso a dados corporativos, aplicativos e redes os dispositivos suportam e podem ser permitidos;
  2. Que informações devem estar visíveis e acessíveis para cada grupo de funcionários (com base no papel e talvez nível de confiança individual), já que é mais fácil proteger os dados na origem do que se preocupar com o que acontece com eles depois que foram disponibilizados;
  3. Que ambientes são considerados demasiado arriscados para serem acessados até mesmo por dispositivos e pessoas confiáveis.

A Intel é uma empresa que tem trabalhado com estes três aspectos de acessibilidade da informação e pode fornecer um bom modelo conceitual.

Ferramentas de tecnologia ao seu dispor

No lado da tecnologia, o Microsoft Exchange e o System Center 2012, bem como várias ferramentas de terceiros que usam o protocolo Exchange ActiveSync (EAS), podem impor políticas de senhas comuns em todos esses dispositivos, e as políticas de criptografia em dispositivos móveis. O  System Center também pode reforçar as políticas de criptografia em PCs com Windows e, através de extensões de terceiros, em Macs. A Symantec oferece ferramentas multiplataforma similares à  System Center. Da mesma forma, as ferramentas de gestão de dispositivos móveis da MobileIron e da AirWatch, bem como da própria Apple OS X Server, podem reforçar as políticas de criptografia em Macs e dispositivos móveis , além das políticas de senhas e afins.

Depois de determinar as políticas de acesso à informação e descobrir as ferramentas de gerenciamento alinhadas a elas, é hora de decidir como dar acesso à informação. Anexos de e-mail são, de longe, o meio mais utilizado de divulgação de dados nas empresas hoje, que é conveniente e multiplataforma, mas pode levar a inconsistências na gestão de documentos e informação e a encaminhamentos ilícitos.  Para dados confidenciais ou dados que precisam ter uma auditoria completa, você pode precisar de um mecanismo diferente.

Muitas empresas têm usado o Microsoft SharePoint como tecnologia padrão para projetos compartilhados, mas o suporte  da plataforma para dispositivos não-Windows é pobre, não sendo  uma opção viável para muitas empresas hoje. Serviços de armazenamento em nuvem são um substituto lógico, mas poucos funcionam bem em dispositivos móveis.

Entre os serviços de armazenamento em nuvem mais viáveis ??está o Dropbox, amplamente apoiado por aplicativos móveis e para sistemas desktop como Windows, Mac OS X, e Chrome OS, além de fornecer recursos de gerenciamento de acesso.

Finalmente, você deve decidir se precisa de gerenciamento de acesso e recursos de auditoria  em seus aplicativos desenvolvidos internamente, seja na Web ou nas plataformas móveis. Vários fornecedores oferecem SDKs que permitem assar em permissões de acesso e ferramentas de auditoria em aplicações desenvolvidas internamente e, em seguida, gerenciar os aplicativos por meio de uma ferramenta de gerenciamento móvel (MDM).

Alternativa: aplicativo Web
Uma abordagem alternativa é optar por aplicações Web que mantêm os dados e sua auditoria e gestão no back-end, usando o dispositivo móvel ou o PC  para acesso.  Uma aplicação Web bem concebida pode ser utilizada em todos os dispositivos, reduzindo o desenvolvimento e manutenção de esforço em relação ao desenvolvimento de várias aplicações específicas para várias plataformas móveis. Mas a abordagem aplicativo Web requer uma ligação à Internet confiável e um design adaptável para diferentes tipos de dispositivos.

Como você pode ver, a decisão estratégica é a de tratar a informação por meio de políticas, independentemente dos dispositivos. Com as decisões estratégicas tomadas, a TI pode passar para as decisões táticas sobre as tecnologias mais apropriadas. Trabalhar desta forma talvez seja a decisão mais importante de todas.

BYOD: gestão da informação é essencial – Tecnologia – CIO.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *