5 conselhos para aumentar a segurança de dispositivos móveis
*Leonardo Carissimi
Atualmente, os dispositivos móveis são um dos ambientes que mais preocupam em termos de segurança. Seu uso aumentou exponencialmente nos últimos anos, tendo inclusive substituído o uso do PC para milhões de usuários no mundo todo. Notadamente para acesso à Internet, entre os mais jovens ou de mais baixa renda. A natureza das transações realizadas com eles mudou de patamar. Estudos recentes levantam que ao menos um quarto das contas bancárias ativas no País realizam transações através de dispositivos móveis. Estabelecimentos comerciais e prestadores de serviços têm aplicativos móveis nos quais permitem transações sensíveis, como compras. Empresas desenvolvem aplicativos para uso interno, buscando aumento da eficiência de suas operações. E adotam políticas como "Traga seu próprio Dispositivo" (Bring your Own Device - BYOD), que abraçam os equipamentos móveis dentro do ambiente corporativo.
Esse crescimento na importância dos dispositivos móveis decorre da evolução dos mesmos, que incorporaram ao longo do tempo um conjunto de capacidades e funcionalidades sem precedentes na história da tecnologia. Infelizmente, não se observa um nível de segurança compatível com essa importância. A verdade é que, ao contrário do PC que é uma plataforma madura, vemos nos dispositivos móveis uma segurança incipiente.
Isso não decorre em virtude de limitação da tecnologia. Talvez seja um tema cultural. Talvez o dispositivo não seja visto com a importância que tem. Fato é que há alternativas tanto de hardware quanto de software que podem ser usadas para aumentar a segurança das aplicações móveis. Buscamos aqui identificar algumas delas.
1. Política de senha
A senha de bloqueio do dispositivo sem dúvida é uma obviedade no mundo dos computadores, mesmo para usuários leigos. Mas ainda com espaço para melhorias no mundo dos dispositivos móveis. É importante que a empresa que aceite o uso corporativo de dispositivos móveis (para correio ou outras aplicações) estabeleça e aplique automaticamente uma política de senha, exigindo a definição de uma senha, sua regra de formação, tamanho mínimo, troca periódica, etc.
2. Antivírus (e antimalware)
Esse é outro mecanismo bastante conhecido do "mundo PC", mas com espaço para crescer no mundo móvel. As ameaças de vírus e malwares já são uma realidade nos aparelhos móveis, e a tendência de crescimento é explosivo. Curiosamente, é um tema negligenciado. Parece que o inconsciente coletivo manteve-se preso no passado, na época em que um telefone não tinha dados que pudessem ser roubados, alterados ou mesmo sequestrados.
3. Micro Segmentação
As técnicas de micro segmentação não se limitam ao ambiente de rede corporativa ou do Centro de Dados. Podem ser adotadas em ambientes de Nuvem e em ambientes móveis. A micro segmentação, neste caso, permite a criação de um "container" seguro, dentro do qual um aplicativo pode ser instalado, armazenar e processar dados de forma isolada e sem permitir o acesso de terceiros não autorizados. Além disso, a micro segmentação permite que o tráfego entre o aplicativo que ele protege e o servidor seja criptografado e igualmente protegido. Esteja o servidor no Datacenter da empresa ou na Nuvem.
O benefício dessa abordagem é a possibilidade de instalar a aplicação de forma isolada, não importa de quem seja o dispositivo (do funcionário ou corporativo) e se há aplicativos não confiáveis. Também protege os dados em trânsito em qualquer canal de comunicação (seja 3G, 4G, Wifi etc). E sem requerer nenhuma alteração na aplicação.
4. Autenticação por múltiplos fatores (Voz, Face, Digitais, Localização)
Conforme comentado acima, a evolução dos dispositivos móveis aumentou os riscos de segurança. Mas não esqueçamos que as capacidades e funcionalidades incorporadas a esses equipamentos ao longo dos últimos anos também serviu para popularizar algumas tecnologias que podem fortalecer o processo de autenticação de usuários.
Algumas dessas tecnologias são as biométricas, onde podemos começar pelo reconhecimento de voz, aproveitando-se do microfone. De forma análoga, atualmente todo dispositivo apresenta uma câmera, que pode ser utilizada para reconhecimento facial. Em ambos os casos, houve uma evolução significativa no desempenho dos algoritmos que permitem o uso destas tecnologias como fator adicional de autenticação. Não esquecer que alguns aparelhos contam ainda com leitores de digitais (inclusive para desbloquear a tela, substituindo ou complementando a proteção por senha). Pode-se também incorporar tecnologias que dão informação contextual, como o GPS. Combine estes fatores entre si, e com uma boa senha, e terá uma autenticação de nível superior.
Isso sem mencionar a possibilidade de usar senhas de único uso (OTP – One Time Password), antigamente disponíveis apenas em tokens, mas agora acessíveis com custos mais baixos em suas versões de aplicativos móveis.
5. Conscientização
Encerramos com a questão da conscientização dos usuários, que nunca é de menor importância. Ao longo do texto citamos questões culturais, melhores práticas e a possibilidade de usar recursos do próprio dispositivo para aumentar o nível de segurança no mundo móvel. Mas os diferentes controles podem ser ameaçados se o usuário tem um comportamento inadequado. Conscientização e treinamento são temas relevantes de segurança, seja qual for o ambiente tecnológico em discussão!
Enfim, se é fato que os dispositivos móveis tornaram-se uma das plataformas mais preocupantes para gestores de tecnologia e segurança, é fato também que controles já existem para endereçar os riscos de sua adoção. O mais interessante é que alguns dos controles são inclusive nativos dos dispositivos. Assim, eles não são apenas parte do problema. São também parte da solução. Aliás, com o uso adequado das suas capacidades, tornam-se uma plataforma de autenticação não apenas para o mundo móvel, mas também para sistemas tradicionais.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina