Cinco erros sobre segurança móvel que devem ser corrigidos

No mundo dos negócios, grandes e pequenos, os dispositivos móveis estão sendo usados para acessar dados de missão crítica que devem ser protegidos. O celular é o novo ponto final quando se trata de segurança.

O uso mais comum dos dispositivos móveis no mundo dos negócios é para o acesso ao e-mail corporativo, que contém informações confidenciais e é frequentemente sujeito a conformidade regulamentar. No entanto, de acordo com o CEO e fundador da Amtel, Pankaj Gupta, os usuários móveis, rotineiramente, compartilham e acessam arquivos de negócios confidenciais e documentos para a colaboração na resolução de problemas.

Apesar destes padrões de uso conhecidos, algumas organizações lutam com suas políticas de BYOD e seu planejamento móvel. Porém, essas lutas estão baseadas em falsas noções.

Confira cinco mitos da segurança móvel, elencadas por Pankaj Gupta, aos quais é bom prestar atenção:

 1. Os dispositivos móveis não armazenam dados corporativos confidenciais.

A linha básica do pensamento é que o acesso a e-mails e arquivos a partir de dispositivos móveis é esporádico. E quando o acesso acontece, é por pouco tempo e as informações sensíveis nem sempre são acessadas. Assim, o risco de divulgação ou perda de dados críticos é baixo.

A verdade é que o acesso móvel é agora difundido, seja através de smartphones ou tablets. Um monte de informações é armazenada em cache em dispositivos modernos de alta capacidade, na forma de e-mails e arquivos. Se os dados sensíveis não são protegidos com controles de acesso e criptografia, podem facilmente acabar em mãos erradas.

2. Sistemas de autenticação forte, controles de gerenciamento de senhas e PINs são suficientes para impedir o acesso não autorizado.

Um problema conhecido com senhas complexas que são alteradas com frequência é que os usuários acham difícil lembrar delas.

Para alguns, isso significa anotar as senhas, o que frustra todo o processo de autenticação e gerenciamento desses códigos. É por isso que as organizações devem ter autenticação de dois fatores e mecanismos de controle de acesso.

Vale a pena usar a autenticação de dois fatores para autorizar o acesso a aplicativos corporativos. Sistemas modernos substituíram geradores de token por um código enviado para o celular via mensagem de texto.

3. Os usuários estão executando as versões mais recentes do iOS e Android, por isso seus dispositivos estão atualizados com correções de bugs e outros patches de segurança.

Quando se trata de Android, há milhões de dispositivos no mercado e em sua rede que usam software desatualizado, repleto de vulnerabilidades. A Google libera correções constantemente mas as operadoras preferem que os usuários comprem novos dispositivos. Por isso, é raro ver uma oferta OTA completa para as questões de segurança, a menos que os principais problemas impactem largas faixas do público - e mesmo assim não há garantia.

A versão do iOS que um usuário está executando é, infelizmente, ligada ao dispositivo. Por exemplo, a mais recente versão do iOS pode estar disponível apenas em iPhones e iPads novos ou recentes. Além disso, os usuários podem desativar a opção de atualização automática. A situação não é boa no mundo Android também. De acordo com relatórios da Google, menos de 5% dos usuários estão executando a versão mais recente do Android.

4. Lojas de aplicativos públicos, como a Apple App Store e a Google Play, são fontes seguras porque verificam aplicativos e bloqueiam malware.

Isso é um mito. As políticas para aplicativos da Apple e da Google fazem algumas checagens de alto nível, mas não podem impedir que muitos aplicativos de malware entrem no mercado.

A Dr. Web, empresa de segurança Russa, anunciou recentemente que mais de 25 mil smartphones Android foram expostos a malware, depois de terem descarregado aplicações provenientes da loja da Google Play.

5. Acesso seguro não é possível usando a rede WiFi pública.

Os funcionários remotos estão constantemente usando redes WiFi públicas em aeroportos, hotéis, restaurantes e cafés. O melhor plano é exigir conexões de rede virtual privada (VPN) para todos os acessos de fora do seu escritório corporativo.

VPNs usam uma combinação de conexões dedicadas e protocolos de criptografia para gerar pontos virtuais de conexão e podem permitir o acesso seguro através de redes WiFi públicas.

Fonte: Site Computerworld