SEGURANÇA EM DISPOSITIVOS MÓVEIS

Petter Anderson Lopes[1]

Michele Henz[2]

Luiz Correa[3]

Tiago Schwengber[4]

RESUMO

O presente artigo aborda o tema “Segurança em dispositivos móveis”, assunto que trata sobre questões relacionadas às atividades profissionais de gestão e análise dos mais diversos tipos de técnicas digitais, utilizados direta ou indiretamente em prol da segurança da informação, avaliando os métodos de invasão e evasão de informações que são relativas a este assunto. O objetivo deste estudo é investigar os aspectos que envolvem a criação de boas práticas, as quais são avaliadas por profissionais da área de segurança cibernética, com alto grau de complexidade, que coletando informações críticas sobre novos tipos de ataques, ameaças virtuais e vulnerabilidades reúnem recursos para intervir no processo de ação criminosa, combatendo-as. As atividades deste ramo são destinadas a preservar, disponibilizar e manter as informações. O estudo acerca deste tema propiciou uma revisão teórica literária sobre este assunto, contemplando os aspectos descritos no artigo a seguir.

Palavras-Chave: Segurança em Dispositivos Móveis. Segurança da Informação. Cibercrime.

 1 INTRODUÇÃO

O presente artigo sobre o tema “Segurança em Dispositivos Móveis” tem como objetivo descrever este assunto, apresentando os resultados das investigações realizadas acerca do mesmo.

Atualmente, devido à facilidade e a velocidade com que o computador processa, armazena e transmite informações, tornou-se um bem de consumo indispensável, bem como dispositivos móveis comumente conectados, tais como, smartphones, tablets, smart tv, entre outros. Desta forma, este estudo é de extrema relevância social, apresenta reflexões relacionadas aos cibercrimes e técnicas de preservação.

O problema investigado refere-se às indagações sobre como os técnicos, analistas e gestores atuam para combater as ações cibernéticas criminosas e as intervenções realizadas para o combate às mesmas. Para a obtenção de uma melhor compreensão sobre a construção desta pesquisa, realizar-se-á a divisão metodológica. O presente artigo acadêmico contempla o resumo, a introdução, o desenvolvimento (referencial teórico), a conclusão e as referências bibliográficas.

2  SEGURANÇA EM DISPOSITIVOS MÓVEIS

Esta ciência usa métodos científicos para preservar, coletar, validar, identificar, analisar, documentar e apresentar qualquer tipo de evidência digital.

Tablets e smartphones estão cada vez mais tomando conta do mercado e da vida das pessoas. Diferente dos computadores estes dispositivos têm menos capacidade de processamento armazenamento dos dados e comunicação diferenciada com o usuário.  Estes dispositivos devem conter proteções diferentes dos computadores tradicionais, pois as ameaças aos mesmos são maiores e mais frequentes.

É muito comum o uso de redes sociais e ferramentas que mantém a informação disponível em qualquer situação, como por exemplo, o próprio compartilhamento de local onde o usuário de algum dispositivo móvel se encontra. É interessante mostrar que estamos fazendo uma viagem? Ou que estamos comprando um carro? Pois é, esse tipo de atitude pode representar um enorme risco de segurança, visto que pessoas mal intencionadas podem utilizasse dessas informações para efetuar um ato criminoso.

O ato de manter-se sempre conectado sem nunca fazer um logoff das aplicações, pode e é prejudicial para a segurança das informações do utilizador, isso pode ser facilmente exemplificado quando a pessoa sofre um roubo, o criminoso por sua vez pode acessar o dispositivo e sem nenhuma restrição ter acesso direto a essas informações. A partir desse ponto passamos a ter os atos de calúnia, difamação, extorsão, sequestro de dados, entre outros problemas. Por isso é sempre fundamental saber o valor da informação que está sendo compartilhada e sempre que possível efetuar o logoff das redes sociais.

Com milhões de novos aparelhos IOS e Android entrando nas empresas todos os dias é importante saber quantos riscos estes dispositivos trazem para dentro das corporações que um sistema operacional móvel pode se vangloriar de ter vantagens sobre o outro no que se diz respeito à segurança das aplicações corporativas e de seus dados.

Um relatório publicado no ano passado pelo departamento de Justiça do U.S.A descobriu que apenas 0,7% de todo malware móvel mirava os dispositivos IOS, enquanto 79% das ameaças cibernéticas tinham como alvo dispositivos Android.

Dizer que o IOS é de fato mais seguro que o Android depende de quais aparelhos são usados na comparação. A Samsung fez bastante pelo Android no que diz respeito a integrar no hardware alguns dos recursos de segurança.

As características de proteção dos dados do IOS são bem complexas contando com sistemas de senhas alfanuméricas, criptografia baseadas em senhas para melhor proteção dos arquivos e criptografia de nível de arquivo para eliminar as falhas de disco cheio criptografado. Isto significa que mesmo se um criminoso ganha acesso físico ao dispositivo, os dados permanecem criptografados, mesmo que a senha não está presente. Isso também significa que alguém não pode ter uma imagem de disco e executar um ataque de força bruta contra a senha, pois a chave do dispositivo está disponível apenas no hardware do dispositivo. Isso transforma os ataques de força bruta em ataques online apenas – sem preocupação para o usuário.

2.1 DICAS PARA UM USO MAIS SEGURO E EFICAZ DESTES DISPOSITIVOS MÓVEIS

Em ambiente corporativo a plataforma considerada com melhores recursos de segurança para empresas é o Blackberry. Há muitos anos uma empresa chamada RIM a fabricante destes dispositivos oferece soluções para o gerenciamento remoto dos dispositivos por meio do Blackberry Enterprise Server, mais conhecido como BES.

Os mecanismos de criptografia dos Blackberry são conhecidos por serem superiores desde transferência de dados até o armazenamento de dados oferecido pelo próprio dispositivo sem o download de aplicativos adicionais. O Google Android e a Apple também possuem recursos remotos para dispositivos que são parte uma corporação.

Segundo uma pesquisa realizada pela unidade latino americana ESET empresa premiada pelo Antivírus ESET NOD32 e 79% dos usuários de dispositivos móveis utilizam seu smartphones e Pc’s de bolso para realizar pesquisas na web e 40% revelou que já perderam ou foram vitimas de roubo no ultimo ano.

3 SEGURANÇA FÍSICA

Devemos proteger o ambiente físico onde estão localizados os dispositivos móveis de uma organização, para que não sejam furtados, que o seu conteúdo não seja corrompido, excluído ou alterado indevidamente.

Consideramos fazer uma análise de ambiente para criar áreas seguras e verificar quais são as ameaças internas e externas e consequentemente, qual é o risco que podem causar.

Os principais exemplos de soluções para proteção física e do ambiente são:

  • Controle de acesso por biometria;
  • Extintores de incêndio;
  • Câmeras de vídeo;
  • Detectores de fumaça.

4 DESCARTE DE MATERIAIS INFORMÁTICOS

A venda, o descarte e a doação de dispositivos móveis devem ser feitas de forma cautelosa. Descartar informações exige cuidado.

A Política Nacional de Resíduos Sólidos, instituída pela lei nº 12.305 de 2 agosto de 2010, responsabiliza as empresas pelo recolhimento de produtos descartáveis, estabelece a integração de municípios na gestão dos resíduos e responsabiliza toda a sociedade pela geração de lixo. A lei obriga que o gerador do resíduo dê a destinação final adequada, com critérios ambientalmente corretos. Chama-se também de “Política da TI Verde”.

Há algumas recomendações para o descarte correto das informações, pois este fato muitas vezes é negligenciado:

  • Para descartar pendrives velhos, utilizar softwares para exclusão dos arquivos ou destruí-los;
  • Apenas a formatação do HD externo não basta. É preciso sobrescrever a informação (dados) com software especial ou destruir fisicamente o HD. Remover sempre todos os dados.
  • Dispositivos móveis de telefonia devem ser levados a pontos de coleta, totalmente formatado, retirando cartões de memória ou chips que possam ter algum tipo de informação. Em alguns casos, deve-se destruí-lo.
  • Há também ataques relacionados com o mal descarte de informações, como o Vazamento eletrônico de dados. Acontece através da cópia ou restauração de dados acessíveis (mídias removíveis) ou supostamente apagados (formatação lógica básica de disco) em discos revendidos, doados e emprestados a terceiros (vale lembrar sobre a possibilidade de roubo do equipamento).

5 BACKUP – CÓPIAS DE SEGURANÇA

A informação possui uma forte característica: se for destruída e não tiver uma cópia, nunca mais será recuperada. Se uma dessas mídias ficarem guardadas em um local não apropriado ou forem destruídas por acidente, aquelas informações (imagens e sons) nunca mais serão recuperadas. Elas ficarão apenas na memória de quem esteve presente em cada acontecimento.

Infelizmente, na maioria das vezes, não fazemos cópia dessas informações. De forma semelhante, no mundo organizacional as informações também podem ser perdidas e nunca mais serem recuperadas, caso sejam destruídas por erro ou de forma intencional. Isso vale tanto para informações armazenadas no ambiente de tecnologia como as registradas em papel.

No ambiente da TI, as informações também podem ser alvo de ações criminosas. Mas, geralmente a perda de informação gravada em mídia acontece por erro. De acordo com Fontes (2006), “Independente do que motivou a perda da informação, a organização precisa ter condições de recuperar essa informação, caso ela tenha sido destruída.”.

Toda informação crítica deve possuir, pelo menos, uma cópia de segurança atualizada em local seguro. Deve-se analisar e identificar quais informações devem ter cópias de segurança. A informação deve ser avaliada em relação à sua criticidade e em relação à necessidade de haver cópias de segurança.

Em algumas organizações, existem métodos automáticos de realização de cópias de segurança sobre os dados que estão dispositivos móveis utilizados pelos usuários. É muito importante a criação de uma política de backup, definindo:

  1. Responsável pelo backup;
  2. O que salvar no backup;
  3. Quando será feito o backup;
  4. Como será feito o backup;
  5. Onde será feito o backup;
  6. Onde será salvo o backup;
  7. Onde as mídias de backup serão armazenadas;
  8. Testes de restauração – restore.

5.1 ARMAZENAMENTO

O armazenamento das mídias de backup devem ser realizadas em localidades diferentes de onde estão armazenados os equipamentos geradores da informação, de preferência em ambientes físicos separados.

A integridade e disponibilidade dos backups são comprometidas quanto às mídias estão armazenadas juntamente com os equipamentos onde os dados são gerados (servidores).

Desastres (incidente causado pela natureza, tais como, incêndios, terremotos ou incidentes causados por atos maliciosos) poderão causar destruição ou danificação dos equipamentos e de seus backups, consequentemente, comprometendo o processo de reconstituição do ambiente.

5.2 RESTORE OU RESTAURAÇÃO

É dever fazer o backup e testar a restauração. Essa parte é muito importante, pois se devem fazer testes de restauração para garantir a recuperação do arquivo salvo. Nesses testes pode-se descobrir alguma irregularidade ou problema no backup, como mídias defeituosas, arquivos faltantes, arquivos corrompidos, entre outros.

6 CLOUD BACKUP – BACKUP NA NUVEM

A computação na nuvem não seria apenas uma tecnologia, pois envolve aspectos sociais como a segurança e privacidade dos dados armazenados. Salvar as informações da empresa em algum servidor (datacenter) localizado em algum lugar do mundo, buscando uma empresa especializada, confiável e com know how no assunto.

De acordo com Taurion (2009), “(…) todos os sistemas computacionais de uma organização (…) podem ser compartilhados. (…). Implementa o conceito de virtualização, permitindo que inúmeros computadores interligados gerem a imagem de um poderoso supercomputador virtual.”.

Ainda, o autor afirma que é possível criar um Data Center virtual, com inúmeros servidores interligados pela internet e redes de banda larga, por um custo menor. O cloud backup agiliza o processo de recuperação de arquivos, sendo que se pode conectar a estes arquivos de qualquer lugar do mundo.

7 MOBILE COMPUTING

A tecnologia de comunicação Mobile Computing está em evolução constante e vivemos um novo cenário com novos conceitos sobre a utilização de dispositivos móveis para comunicação. A utilização dessa tecnologia é parte de um novo modelo caraterizado pelo uso de dispositivos móveis de forma rápida e em alta escala de mobilidade sendo considerada muito positiva a inserção desses equipamentos nas organizações.

A mobilidade associada a possibilidade de acessar dados de qualquer lugar e a qualquer momento com os dispositivos móveis traz vantagens consideráveis, pois é possível reduzir custos de comunicação como entrada e processamento de dados, agilizar e otimizar o processo de registro de informações relevantes a tomada de decisão.

Neste contexto, a Política de Segurança da Informação deve ser revisada e ampliada para atender a demanda de mudanças tecnológicas. Devemos considerar a utilização de práticas de estratégias e políticas de uso que corroboram com as regras definidas na politica de segurança da informação existente. O setor de tecnologia da informação deve liderar o processo de implantação da tecnologia Mobile Computing no ambiente corporativo e conta com o movimento BYOD como modelo para utilização.

8 BYOD

O movimento BYOD ou Bring Your Own Device, do português “traga seu próprio dispositivo” é uma tendência que vem ganhando força no ambiente corporativo. Segundo relatório apresentado pelo Gartner[6], até 2017 metade das empresas solicitarão a seus empregados que tragam seus próprios dispositivos pessoais para o trabalho. O BYOD é um programa que autoriza os colaboradores a usar seus aparelhos pessoais para a realização de suas atividades profissionais.

Com a disseminação acelerada das tecnologias de comunicação e os usuários finais cada vez mais interagindo com essas, as empresas perceberam que é melhor não fechar os olhos para essa tendência que segundo especialistas é impossível de bloquear. Sendo assim, constataram que é necessário criar alternativas para controlar o fluxo de informações corporativas nesse novo cenário.

Como se trata de um programa direcionado às pessoas, certamente encontrara resistência por parte dos usuários, então como tratar a questão dos colaboradores que não quiserem aderir ao programa é uma situação que deve ser analisada, assim como a propriedade do dispositivo no caso dos que aderirem ao BYOD. Os responsáveis pelo setor de tecnologia da informação da organização devem liderar o projeto para implementação do programa, mas devem ser acompanhados pelo setor de Recursos Humanos e Jurídico para auxiliar nas questões legais e trabalhistas.

É fundamental que a política de segurança da informação da organização esteja alinhada com a proposta do BYOD, é necessário criar normas especificas e devidamente documentadas. A seguir veremos algumas dicas de segurança em BYOD:

  • Utilizar sistemas de autenticação que permita identificar todos os acessos e quais informações estão sendo acessadas;
  • Conexões wireless devem ser configuradas em rede particular privada VPN;
  • Monitorar o tráfego de todos os dispositivos;
  • Analisar as tendências de mercado para avaliar qual dispositivo é mais indicado em cada caso;
  • Todos os dispositivos móveis devem ser protegidos com mecanismos de segurança, a fim de manter a integridade das informações;
  • E principalmente invista na educação dos colaboradores, haja vista que é uma pratica direcionada às pessoas e esses são o elo mais vulnerável em um sistema de informações.

9 CONSIDERAÇÕES FINAIS

Com o rápido avanço do uso dos dispositivos móveis, percebe-se que há uma tendência a ataques as informações contidas neles. Portanto, zela pela sua segurança é muito importante.

Atualmente, as pessoas estão usando seus próprios dispositivos para acessarem suas redes pessoais, dentro de uma rede corporativa. Por isso, há uma preocupação das empresas em tentar diminuir os impactos causados pelas ameaças aos dispositivos.

No presente artigo, foram analisadas formas e métodos para amenizar ameaças e diminuir as consequências das vulnerabilidades. A informação é o maior bem que deve ser assegurado, mantendo a sua autenticidade, confiabilidade e confidencialidade. A segurança em dispositivos móveis auxilia na continuação das práticas da política de Segurança da Informação, onde qualquer dispositivo que estiver conectado a rede, deve ser acessos restritos e limitados, para não comprometer a organização onde está inserida.

REFERÊNCIAS

BEAL, Adriana, Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. – São Paulo: Atlas, 2005.

BRASIL, Legislação da República Federativa do. Política Nacional de Resíduos Sólidos, Lei nº 12.305 de 2 agosto de 2010. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2010/lei/l12305.htm. Acesso em: 08 de nov. 2014.

C.E.S.A.R – Centro de Estudos e Sistemas Avançados do Recife – A informação na palma da mão: a evolução dos dispositivos móveis. 2013. Disponível em: <http://www.slideshare.net/CesarRecife/a-informao-na-palma-da-mo-a-evoluo-dos-dispositivos-mveis> Acesso em 15 de Set. 2014.

CANALTECH, Corporate. BYOD. 2014. Disponível em: <http://corporate.canaltech.com.br

/noticia/mercado/BYOD-empresas-deixarao-de-fornecer-celulares-e-laptops-a-funcionarios-em-breve/> Acesso em 18 de Out. 2014.

EDUCACIONAL, GS. Segurança da informação. Belo Horizonte, 2012.

FONTES, Edison, Segurança da informação: o usuário faz a diferença – São Paulo: Saraiva, 2006.

MARTINS, D. Lixo Eletrônico, Descarte e Vazamento de Informações. Rio Grande do Sul. Disponível em: http://www.ulbra.inf.br/joomla/images/documentos/TCCs/2011_02/PRO

JETO_RC_DIEGO_MARTINS.pdf.  Acesso em 04 de set. 2014;

PAPOINFOSEC. Descarte Seguro de Informações. Disponível em: http://papoinfosec.blogspot.com.br/2013/04/descarte-seguro-de-informacoes.html. Acessado em 05 de set. 2014.

TAURION, César. Cloud computing: computação na nuvem: transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009.

UOL, Portal Olhar Digital. A empresa na era do BYOD. 2014. Disponível em: <http://olhardigital.uol.com.br/noticia/8-dicas-para-proteger-a-empresa-na-era-do-byod/35872>. Acesso em 16 de Set. 2014.