5 ameaças de segurança móvel que você deve levar a sério em 2018

Vazamento de dados, engenharia social, redes de Wi-Fi abertas… Deixar a responsabilidade nas mãos dos usuários não é suficiente, é preciso criar políticas de segurança


A segurança móvel está no topo da lista de preocupações das companhias e por uma boa razão: aproximadamente todos os funcionários agora rotineiramente acessam dados corporativos a partir de seus smartphones pessoais. E isso significa também que manter dados sensíveis longe das mãos erradas pode ser um quebra-cabeça difícil de ser resolvido. E as apostas, diga-se de passagem, são mais altas do que nunca: o custo médio de um vazamento de dados é de US$ 21,155 por dia, de acordo com um relatório do Ponemon Institute.

Enquanto é fácil focar no tema sensacionalista acerca das ameaças por malware, a verdade é que invasões do tipo são incrivelmente raras no mundo real. De acordo com uma estimativa, as chances de ser infectado com malware são menores do que ser atingido por um raio. Isso graças a natureza do malware móvel e as proteções inerentes construídas dentro dos sistemas operacionais móveis. 

Mas os riscos de segurança móveis mais realistas estão em áreas facilmente negligenciadas, que só se espera que se tornem mais urgentes no próximo ano. Veja na lista abaixo quais são elas:

1. Vazamento de dados 

O vazamento de dados é amplamente visto como sendo uma das ameaças mais preocupantes para a segurança corporativa à medida que avançamos para 2018. O que torna a questão especialmente irritante é que muitas vezes ele não é nefasto por natureza. Em vez disso, é uma questão de usuários, inadvertidamente, tomar decisões mal recomendadas sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustra os usuários”, explica Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner. Ele sugere recorrer às soluções de defesa de ameaças móveis (MTD) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e a zIPS Protection da Zimperium. Esses utilitários digitalizam aplicativos para um “comportamento de vazamento”, diz Zumerle, e pode automatizar o bloqueio de processos problemáticos.

É claro que mesmo isso não cobrirá sempre vazamentos que acontecem como resultado de um erro de usuário – algo simples como transferir arquivos da companhia em um serviço de armazenamento em nuvem pública, colando informações confidenciais no lugar errado ou encaminhando um e-mail para um destinatário não intencional. Esse é um desafio que o setor de saúde está atualmente lutando para superar. De acordo com o fornecedor de seguros Beazley, a “divulgação não intencional” foi responsável por 41% das brechas de dados relatadas por organizações de saúde nos três primeiros trimestres de 2017.

Para esse tipo de vazamento, as ferramentas de prevenção de perda de dados (DLP) pode ser a forma mais eficaz de proteção. Esse software foi projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

A tática de enganar usuários é tão preocupante na frente móvel como é para computadores e ela continua sendo efetiva. Cerca de 90% das brechas de dados observados pela divisão Enterprise Solutions da Verizon são resultado de phishing, de acordo com o relatório Data Breach Investigations Report de 2017. Enquanto apenas 7% dos usuários caem em tentativas de phishing, é provável que os mesmos repitam o erro futuramente. A companhia estima que em uma organização típica, 15% dos usuários que caíram em uma campanha de phishing, serão enganados mais uma vez no mesmo ano.

Além disso, inúmeros pesquisadores sugerem que os usuários são mais vulneráveis ​​ao phishing em dispositivos móveis do que em desktops – em até três vezes, de acordo com um estudo da IBM, em parte porque um telefone é o local onde as pessoas são mais propensas a ver uma mensagem pela primeira vez. “Nós vemos um aumento geral na suscetibilidade móvel impulsionado pelo crescimento global da computação móvel [e] o crescimento contínuo dos ambientes de trabalho BYOD”, diz John “Lex” Robinson, estrategista de segurança da informação anti-phishing na PhishMe – uma empresa que usa simulações do mundo real para capacitar os trabalhadores no reconhecimento e resposta às tentativas de phishing.

Robinson observa que a linha entre trabalho e computação pessoal também continua embaçada. Mais e mais trabalhadores estão visualizando várias caixas de entrada – conectadas a uma combinação de trabalho e contas pessoais – em um smartphone, ele observa, e quase todos conduzem algum tipo de negócio pessoal online durante a jornada de trabalho. Consequentemente, a noção de receber o que parece ser um e-mail pessoal junto com mensagens relacionadas ao trabalho não parece ser nada incomum, mesmo que de fato se trate de uma fraude. 

3. Interferência do Wi-Fi

Um dispositivo móvel é tão seguro quanto a rede através da qual está transmitindo dados. Numa época em que todos estamos constantemente nos conectado a redes públicas de Wi-Fi, isso significa que nossa informação muitas vezes não é tão segura quanto podemos assumir.

Quão significativa é essa preocupação? De acordo com pesquisa lançada pela empresa de segurança Wandera nesta semana, os dispositivos móveis corporativos usam Wi-Fi quase três vezes mais do que eles usam dados móveis. Quase um quarto dos dispositivos se conectou a redes abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque do tipo man in the midle – quando alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente.

“Hoje em dia, não é difícil criptografar o tráfego”, ressalta Kevin Du, professor de informática da Universidade de Syracuse, especializado em segurança de smartphones. “Se você não tem uma VPN, você deixa muitas portas em seus perímetros abertos”.

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Tal como acontece com a maioria das considerações relacionadas com a segurança, quase sempre é necessária uma compensação. “A entrega de VPNs precisa ser mais inteligente com os dispositivos móveis, pois minimizar o consumo de recursos – principalmente a bateria – é primordial”, ressalta o Zumerle da Gartner. Uma VPN eficaz deve saber ativar somente quando absolutamente necessário, ele diz, não quando um usuário está acessando um site de notícias, por exemplo, ou quando um usuário está trabalhando dentro de um aplicativo que é conhecido por ser confiável e seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos conectados menores – comumente conhecidos como Internet das coisas (IoT) – representam um novo risco para a segurança corporativa em que, ao contrário dos dispositivos de trabalho tradicionais, eles geralmente não recebem garantias de atualizações de software. Isso é verdade, particularmente no Android, onde a grande maioria dos fabricantes é embaraçosamente ineficaz ao manter seus produtos atualizados. Tanto com atualizações do sistema operacional (OS) quanto com os pequenos patches de segurança mensais entre eles – e também com dispositivos IoT, muitos dos quais nem sequer são projetados para obter atualizações em primeiro lugar.

“Muitos deles nem têm um mecanismo de correção incorporado, e isso está se tornando cada vez mais uma ameaça nos dias de hoje”, diz Du.

Mais uma vez, uma política forte vai por um longo caminho. Existem dispositivos Android que recebem atualizações contínuas. Até que a paisagem de IoT se torne menos um cenário selvagem, cai sobre a empresa a responsabilidade de criar sua própria rede de segurança em torno deles.

5. Violações do dispositivo físico

Por último, mas não menos importante, é algo que parece bobo, mas continua a ser uma ameaça perturbadora e realista: um dispositivo perdido ou desatendido pode ser um grande risco de segurança, especialmente se ele não possui um PIN ou senha forte e criptografia de dados completa.

Considere o seguinte: Em um estudo do Ponemon Institute de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disse que não tinham senha, PIN ou segurança biométrica que guardavam seus dispositivos – e cerca de dois terços disseram que não usavam criptografia. 68% dos entrevistados indicaram que às vezes compartilhavam senhas em contas pessoais e de trabalho acessadas através de seus dispositivos móveis.

A mensagem aqui é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições; crie políticas. Você vai agradecer mais tarde.

 

via IDG Now!

Deixe uma resposta