Que cuidados devemos ter ao utilizar um dispositivo móvel no mundo corporativo?
A principio quando estamos numa empresa seguimos todas as abordagens e diretrizes de segurança impostas pela empresa, isso é mais do que esperado. Exemplos: padrões para pagamento de indústria normatizadas na corporação como PCI-DSS, ou políticas de segurança já preestabelecidas quando o caso são grandes multinacionais, como a ISO 27001.
As abordagens variam de mesa limpa, proteções de tela com senhas, biometria em notebooks, desativação da utilização de portas USB, trava antifurto para fixação em sua mesa, criptografia de dados armazenados no sistema operacional Linux - LUKS; Windows - Bitlocker, restrição a pen-test em vulnerabilidades de segurança utilizando SELinux em sistemas abertos, utilização de cartões e notificação da sua atuação na passagem pela segurança interna quando da entrada na empresa ou em ambientes restritos (portaria \ datacenters e departamentos sensíveis - como RH, Financeiro por exemplo que são restritos pela função), restrições de utilizações de sites ou de instalação de softwares (proxy, web filters via firewall), o que evita vazamento de dados ou espionagem por agencias de segurança, e principalmente termos de confidencialidade das informações dos clientes quando somos admitidos.
Essas informações podem ser propagadas numa empresa por instruções aos funcionários através de canais de comunicação como as lideranças, ou pelas políticas de segurança contidas em documentação ou intranet. Mas no mundo atual em que vivemos estamos conectados quase que diariamente por um smartphone corporativo ou pessoal (BYOD). Muitas dessas medidas são negligenciadas dependendo da cultura da empresa e do seu porte. Muitas vezes deixamos de lado questões simples, e por questão de tempo e produtividade temos instalados o email corporativo, documentação de clientes, telefones, ou dados armazenados em nuvem que podem ser vazados por exemplo.
Para isso torna-se cada vez necessário adotarmos medidas protetivas com ferramentas simples, que em caso de roubo e utilização indevida de seu dispositivo fornecem camadas restritivas a circulação indevida de dados..
Por isso acho valido pensarmos na segurança de seu smartphone ou notebook com ferramentas que validem com a política da interna empresa e que podem ser inclusas.
Autenticação em 2 vias - Apps 2FA (Authy, Google Authenticator, Microsoft Authenticator).
App Signal que é um mensageiro similar a outras ferramentas como Telegram e Whatsapp.
Medidas de proteção' quanto a remoção de dados.
Cofres de senha: aplicativos para guardar senhas com 2FA (two factor authentication) como KeePassXC (que possui suporte a chaves criptograficas, e um desafio (challenge) quando se altera a base de dados em que é armazenada as senhas - não é nativo 2FA), pode se utilizar o LastPass com 2FA o que não é o foco da EFF por ser proprietário mas possui gratuidade com limitação.
Outra ferramenta utilizada e gratuita é um clone da ferramenta TrueCrypt (utilizada por Eike Batista para criptografar dados de hard disks) chamada VeraCrypt, aplicativo utilizado que armazena em um arquivo seus dados, mas que quando montado o arquivo se transforma numa unidade de disco. Ou seja se você quer guardar 100Gb tera um arquivo como este tamanho e quando montado terá uma unidade nessa capacidade. Esse aplicativo para utilizar num notebook possibilita a criação de containeres de dados que so podem ser abertos via uma senha mestra, essa que jamais pode ser esquecida! Para quem deseja utilizar algo nativo do Windows pode-se fazer o mesmo com o software Bitlocker Virtual HardDrive (VHD).
Repare que dentre as ferramentas existem modos de circunscrever ações de segurança via VPN por exemplo e também a utilização de camadas de proteção como o software TOR por exemplo - que já foi alvo de operações policiais, mas que facilmente podem ser impedidas via restrições no SO, Rede, e principalmente no cumprimento (validação) das políticas internas da empresa.
Como a EFF é um orgão dos primórdios da internet ela luta pela defesa da privacidade digital, livre expressão e inovação e seu foco esta nessa garantia da autoproteção contra a vigilância (eles defendem a internet livre de corporações).
Mas isso não invalida as ferramentas aqui abordadas no link abaixo para utilização benéfica, pois do mesmo modo que podemos utilizar uma ferramenta para uso indevido, podemos proteger os dados corporativos através dessas mesmas ferramentas, que bem utilizadas e acordadas em política internas se tornam extremamente úteis.
Ferramentas úteis: https://ssd.eff.org/pt-br/module-categories/guias-de-ferramentas
Lista de sites e se eles suportam ou não 2FA: https://twofactorauth.org/#social
Artigo
