Escolar Documentos
Profissional Documentos
Cultura Documentos
smartphones
ÍNDICE
1. INTRODUÇÃO ....................................................................................................................... 3
ANEXOS ....................................................................................................................................... 9
[2]
1. Introdução
[3]
elementos essenciais do sistema de informação da organização. Em particular, a
tendência dos utilizadores para o uso inadequado de passwords. Nomeadamente, o uso
da mesma password para o acesso a vários serviços e plataformas levanta preocupações
com o armazenamento dessas passwords. É também necessário avaliar o risco de
modificação, destruição ou divulgação dos dados da organização.
O risco de divulgação de informação armazenada em dispositivos móveis sempre foi
significativo mas, atualmente, o risco é ainda maior sendo proporcional às
características que os smartphones e tablets agora apresentam.
O contexto profissional deve ser tido em consideração aquando do uso de dispositivos
móveis com acesso a documentação profissional. Um hacker pode, por exemplo,
procurar atacar uma organização através de um sistema de informação utilizando como
porta de entrada um dispositivo móvel de um colaborador. Isto acontece devido ao
grande número de vulnerabilidades que os sistemas operativos móveis apresentam,
mas essencialmente pelos comportamentos pouco seguros dos utilizadores desses
dispositivos.
3. Recomendações de Segurança
Em seguida são apresentadas 21 boas práticas que deve ter em consideração para
garantir uma utilização mais segura dos dispositivos móveis, em ambiente
organizacional.
Importa ressalvar que é uma ilusão esperar atingir um nível de segurança elevado com
um smartphone ou com um tablet comum, independentemente dos cuidados que são
tidos na configuração dos mesmos. As boas práticas apresentadas neste documento
pretendem apenas proteger, o melhor possível, os dados armazenados nos dispositivos
móveis.
O acesso, a partir dos dispositivos móveis, a qualquer informação interna dos sistemas
da organização também devem ser protegidos.
3.1 Generalidades
As várias recomendações deste documento devem ser incluídas num perfil de utilizador
não-editável e a configuração deve ser aplicada usando soluções de gestão de
[4]
dispositivos móveis. Esses perfis de segurança devem ser criados a partir de um ponto
central para permitir mudanças rápidas e em grande escala. Naturalmente, não será
viável para todos os tipos de dispositivos no mercado e as soluções de gestão de “grupo”
devem ser bem avaliadas em função dos dispositivos em utilização.
Para além das medidas técnicas de segurança e das medidas organizacionais (ex. política
de utilização aceitável dos recursos, política de segurança, procedimentos operacionais,
etc.) é essencial garantir a segurança dos sistemas de informação.
Finalmente, a segurança deve ser tida em conta durante todo o ciclo de vida do
dispositivo:
[5]
desbloqueio padrão. Em todos os outros casos, a utilização de um PIN
com 5 carcarteres ou algarismos será suficiente.
[6]
recomendação é, mais uma vez, para as aplicações pré-instaladas que
devem ser desinstaladas caso se verifique necessário.
[7]
16 Evitar a ligação a redes sem fios desconhecidas.
1
BYOD = Bring Your Own Device
[8]
Anexos
A – Perda de dispositivo
B – Aplicações maliciosas
Uma aplicação que tem permissão para aceder ao cartão de armazenamento de dados
e à Internet móvel poderia, por exemplo, copiar todos os dados para um servidor de
indivíduos maliciosos. Grande parte das aplicações atualmente disponíveis em lojas de
aplicações online executam operações que fogem da sua função principal, sem o
conhecimento dos utilizadores. Estas aplicações são na sua grande maioria gratuitas e
oferecem serviços muito atrativos.
Sabendo-se que é difícil perceber que determinada aplicação pode ser maliciosa (ex.
Trojan) e, sem posterior análise, deve ser considerada como tal. Por conseguinte, é
essencial controlar rigorosamente as aplicações que se instalam nos dispositivos. Os
atacantes observam o mercado das aplicações e tentam obter a aplicação mais popular,
depois adicionam-lhe uma carga maliciosa e distribuem-na noutro mercado.
[9]
Note-se que os dispositivos desbloqueados ou routers expõem o utilizador,
especialmente se o seu sistema for de baixa qualidade e muitas vezes dificultam a
implementação de patches de segurança. O processo "jailbreak" é geralmente baseado
na exploração de uma falha que permite executar um código privilegiado que pode
mesmo desativar proteções impostas pelo fabricante (ex. verificação de integridade de
atualizações de software). Da mesma forma, os sistemas alternativos disponíveis para
alguns dispositivos não são recomendados devido à sua qualidade altamente variável e
difícil de avaliar.
Por outro lado, as aplicações legítimas e confiáveis também podem ser vulneráveis.
Deve-se implementar perfis de configurações de segurança adaptados que não podem
ser editados pelo utilizador.
[10]