Escolar Documentos
Profissional Documentos
Cultura Documentos
0
Emilio Tissato Nakamura
seõçatona reV
QUAIS SÃO OS RISCOS NO USO DE DISPOSITIVOS MÓVEIS NO MUNDO
CORPORATIVO?
Além dos riscos já comuns em outros ambientes, há também os riscos pelas próprias
características dos dispositivos móveis, que passam a ser mais distribuídos, os dados
corporativos passam a existir fora dos servidores da empresa e há a mistura com os dados
pessoais que podem comprometer a privacidade dos usuários.
Fonte: Shutterstock.
0
além dos dados corporativos, há os dados pessoais de seus usuários. E isso implica
no aumento da complexidade de proteção, além do intrínseco aumento de riscos.
seõçatona reV
Um exemplo desse desafio é quando um colaborador instala jogos em seu
dispositivo móvel, mas a partir de fontes não confiáveis. O resultado pode ser a
introdução no dispositivo de malwares que comprometem a privacidade do
colaborador, assim como dos dados confidenciais corporativos que podem estar
no dispositivo ou serem acessados a partir dele.
Você verá que os dispositivos móveis seguem um ciclo de vida que vai do
planejamento da implantação até as operações e descarte, que deve ser feito de
modo a não comprometer os dados pessoais e os dados confidenciais da
empresa.
Você é o especialista em segurança e privacidade de um inovador site de comércio
online em que pequenos negócios são conectados com os consumidores em uma
plataforma digital baseada no uso de inteligência artificial. A sua função é essencial
para a empresa, e você participa de todas as decisões sobre a evolução da
0
plataforma. Há as questões envolvidas com o desenvolvimento seguro, para que
seõçatona reV
vulnerabilidades não sejam inseridas indevidamente no sistema. Há ainda as
questões de segurança e privacidade envolvidas com o uso de provedor de nuvem.
E, como a empresa trabalha com inteligência artificial, há necessidade de fazer o
desenvolvimento utilizando bases de dados que não interfiram na privacidade dos
clientes.
0
seõçatona reV
Os desafios de segurança e privacidade relacionados aos dispositivos móveis são
grandes e oferecem grandes oportunidades. Seja para desenvolver aplicativos
móveis com mais segurança ou para implantar o uso de dispositivos móveis de
uma forma segura, esses tópicos são importantes e fazem parte de nossas vidas.
0
seõçatona reV
CONCEITO-CHAVE
DISPOSITIVOS MÓVEIS
Um dispositivo móvel é, segundo o National Institute of Standards and Technology,
NIST (NIST, 2020), um dispositivo computacional portátil que possui um formato
pequeno e que pode ser carregado por um indivíduo, sendo construído para
operar sem uma conexão física, com armazenamento de dados local não removível
e que funciona por um período de tempo com uma fonte de energia própria. Pode
incluir capacidades de comunicação por voz e sensores que possibilitam a captura
de informação e tem a capacidade de sincronização com locais remotos.
REFLITA
0
seõçatona reV
Figura 3.9 | Componentes de dispositivos móveis
0
em vazamento de dados e furto de identidades.
seõçatona reV
Conexões não confiáveis aceitas pela empresa, que precisa abrir o firewall para
as conexões de quaisquer dispositivos.
ASSIMILE
0
As principais ameaças relacionadas aos dispositivos móveis são descritas a seguir e
seõçatona reV
detalham os principais riscos vistos na figura 3.10 (HOWELL et al., 2020) (NCCoE,
2020) (FRANKLIN et al., 2020):
0
como microfone, câmera, giroscópio e Global Positioning System (GPS) podem
ser explorados para obter informações sensíveis ou comprometer a
seõçatona reV
privacidade dos usuários.
0
Acesso não autorizado a recursos da empresa a partir de dispositivos
seõçatona reV
comprometidos ou não gerenciados: dispositivos não gerenciados não
utilizam os mecanismos de segurança definidos pela empresa.
0
ambiente. Os dados de conformidade com a política de disponíveis móveis, por
exemplo, podem ser utilizados pela empresa para o controle de acesso, como um
seõçatona reV
parâmetro adicional para aceitar as conexões somente de dispositivos que estejam
cumprindo um determinado nível de segurança.
ASSIMILE
Usar antimalware nos dispositivos, bem como definir e aplicar uma política de
segurança clara sobre a instalação de aplicativos nos dispositivos.
0
Figura 3.11 | Objetivos de segurança no uso de dispositivos móveis no mundo corporativo
seõçatona reV
Fonte: adaptada de Howell et al. (2020).
0
seõçatona reV
Figura 3.12 | Pontos de ataques em um acesso a empresas
0
dispositivos móveis corporativos podem ser implementados (HOWELL et al., 2020):
seõçatona reV
Bloqueio de acesso e remoção dos dados (wiping): o uso do dispositivo para
fins profissionais e pessoais é comum. Solução: bloqueio do acesso corporativo
até uma nova concessão de acesso, de acordo com a política de segurança;
remoção seletiva de dados, e não de todo o dispositivo; política que exige o
backup dos dados pessoais, que poderão ser removidos.
0
Avaliação da segurança das aplicações móveis.
seõçatona reV
Proteção contra o acesso indevido aos dados do dispositivo móvel.
0
ou falha no uso de controles de segurança da plataforma, como as permissões
ou biometria.
seõçatona reV
2. Armazenamento inseguro de dados: a proteção deve considerar um agente
de ameaça que tenha a posse física do dispositivo móvel, ou um malware ou
outro aplicativo que é executado no dispositivo.
0
Os antivírus para dispositivos móveis devem ser considerados uma camada de
proteção, não podendo ser considerado uma solução para os problemas de
seõçatona reV
segurança e privacidade. Muitos antivírus fazem a detecção de malware com base
em assinaturas, o que significa que somente aqueles conhecidos poderão ser
detectados. Os malwares novos e o phishing são detectados com dificuldades
pelos antivírus e outros mecanismos devem ser utilizados pela empresa para
complementar a proteção.
O usuário recebe um phishing e clica em um link que pode levar a um site onde ele
entrega informações pessoais ou as suas credenciais de acesso, ou pode levar à
instalação de malware.
EXEMPLIFICANDO
0
contas, baixar aplicativos e postar mensagens usando a conta da vítima
seõçatona reV
(SECURITY, 2020).
0
com passos-chave para que os dispositivos cheguem aos colaboradores de
uma forma segura, incluindo a análise de riscos, o modelo adotado que pode
seõçatona reV
ou não permitir o uso de dispositivos particulares, inventário, monitoramento e
atualizações.
0
Fazer uma avaliação de riscos, considerando os dispositivos móveis,
aplicações e sistemas utilizados para gerenciar todo o sistema. É importante ter
seõçatona reV
uma visão no nível organizacional, além do tecnológico.
EXEMPLIFICANDO
SAIBA MAIS
0
Quando o ataque acontece por mensagens de texto SMS enviados ao
seõçatona reV
dispositivo móvel do alvo, o termo utilizado pode ser SMiShing.
PESQUISE MAIS
0
O modelo que não permite que o usuário da empresa utilize o dispositivo móvel
seõçatona reV
para fins particulares é o:
b. Corporate-Owned Personally-Enabled (COPE).
Questão 2
Considere as seguintes capacidades de segurança:
a. Dispositivos móveis.
b. Gerenciamento de riscos.
c. Phishing.
d. Auditoria.
e. Criptografia.
Questão 3
O Enterprise Mobility Management/Mobile Device Management (EMM/MDM) é um
0
dos principais controles de segurança para dispositivos móveis das empresas. O
seõçatona reV
EMM/MDM é uma solução para prover segurança em dispositivos móveis de
usuários que são autorizados a acessar recursos da empresa.
a. I, II e III.
c. III, apenas.
e. I, apenas.
REFERÊNCIAS
BROWN, C. et al. Assessing Threats to Mobile Devices & Infrastructure – The
Mobile Threat Catalogue. Draft NIST 8144. National Institute of Standards and
Technology. U.S. Department of Commerce, set. 2016. Disponível em:
https://bit.ly/39b20jr. Acesso em: 22 dez. 2020.
0
FRANKLIN, J. M. et al. Guidelines for Managing the Security of Mobile Devices in the
seõçatona reV
Enterprise. Draft NIST Special Publication 800-124, Revision 1. NIST, National
Institute of Standards and Technology. U.S. Department of Commerce, mar. 2020.
Disponível em: https://bit.ly/3vQqS9X. Acesso em: 22 dez. 2020.
HIGA, P. Por que o 5G vai mudar sua vida (mesmo que você não tenha nem
4G). Tecnoblog, 2016. Disponível em: https://bit.ly/39cejvE. Acesso em: 26 dez.
2021.
KRISTIINA. OWASP mobile top 10 security risks explained with real world
examples. The Startup, 17 mar. 2019. Disponível em: https://bit.ly/3vZnglR. Acesso
em: 27 dez. 2020.
0
NIST, National Institute of Standards and Technology. U.S. Department of
Commerce. Joint Task Force. NIST Special Publication 800-53 Revision 5 –
seõçatona reV
Security and Privacy Controls for Information Systems and Organizations, set.
2020 Disponível em: https://bit.ly/39cycmu. Acesso em: 26 dez. 2020.
OWASP. Intermediate update 1.1.3 (OSS Release), 4 ago. 2019. Disponível em:
https://bit.ly/3sj3HCN. Acesso em: 26 dez. 2020.
ROHR, A. O que são phishing, watering hole e golpes on-line: G1 Explica. G1
Segurança Digital, 18 ago. 2016. Disponível em: https://glo.bo/39bMLH2. Acesso
em: 22 dez. 2020.
SECURITY Magazine. 2020: The Year of Mobile Sneak Attacks?, 9 mar. 2020.
Disponível em: https://bit.ly/2QCgSks. Acesso em: 26 dez. 2020.