Malware no celular é desafio para departamentos de TI

Quando CIOs começam a lidar com o movimento Bring Your Own Device (BYOD), uma das preocupações que deve ser levada em consideração é a falta de controle sobre os aplicativos móveis. Aplicativos maliciosos são um grande desejo, especialmente em relação a aplicações gratuitas disponíveis para download.

Mesmo que estejam em lojas oficiais, aplicações móveis podem ser intrusivas. No início deste ano, Apple, Facebook, Yelp e outras empresas foram autuadas por infringir a privacidade em apps que, entre outros procedimentos, identificavam o endereço de usuários.

Na época, especialistas em segurança alertaram que essa era apenas a ponta do iceberg do problema. Estudo recente da Appthority, fornecedor de soluções de segurança móvel, descobriu que aplicativos gratuitos são particularmente perigosos, pois eles têm a capacidade de acessar informações sensíveis.

Apesar dos riscos, a Riverside Medical Center, sediada em Illinois (EUA), acreditava que não tinha escolha, quando se tratava de BYOD. “Para um hospital como o nosso, BYOD é uma questão de marketing”, diz Erik J. Devine, CISO da Riverside.

Para fazer parte do programa de BYOD, os funcionários do hospital devem concordar que a Riverside MC tem o direito de apagar remotamente informações do dispositivo. Em aparelhos de propriedade da empresa, os riscos são mais fáceis de gerenciar. “Se fornecemos um iPad para um colaborador, não se pode simplesmente ir até a AppStore”, relata Devine.

Para setores altamente regulados, como o de Saúde, proibir o download de aplicativos é comum. A startup Happtique enxergou nesse cenário uma oportunidade e oferece uma loja de aplicativos móveis voltada para profissionais da área. “Um grande desafio para os médicos e seus departamentos de TI é saber em quais apps confiar e quais não confiar”, assinala Ben Chodor, CEO da Happtique.

Por enquanto, porém, a maioria das empresas que quer controlar o download de aplicações constrói lojas próprias, como fez Riverside. Proibir ou limitar apps é apenas parte da equação. O hospital também utiliza uma combinação da solução Enterprise Mobility Management, da McAfee, e um firewall da Fortinet para minimizar os riscos móveis.

O EMM dá à Riverside a capacidade de detectar dispositivos destravados, aplicar políticas como autenticação de dois fatores e apagar remotamente os dados se os equipamentos forem perdidos ou roubados. Uma vez que os riscos evoluem ao longo do tempo, a Riverside também depende de capacidades de análise da Fortinet para mapear exatamente o que os usuários estão fazendo com seus aparelhos.

Se uma empresa, por exemplo, descobre que a maioria dos usuários usa aplicações para jogar, ela pode educá-los, uma vez que malwares em jogos é algo comum e são os piores quando se trata de acesso às informações pessoais dos usuários.

Privacidade

Em 2011, pesquisadores da viaForensics estudaram mais de cem aplicativos para iOS e Android e descobriram que apenas 17 deles protegiam informações dos usuários.

A viaForensics testou diferentes tipos de aplicativos em quatro setores: Financeiro, Redes Sociais, Produtivo e Varejo. Os pesquisadores classificaram cada app com uma nota com base no seu potencial de manter os dados protegidos. Para eles atribuíram-se os selos: Aprovado, Reprovado e Alerta.

Para os apps que os pesquisadores foram capazes de acessar as informações armazenadas no aparelho, o aplicativo foi reprovado. Os Aprovados foram aqueles que os investigadores não puderam encontrar os dados. Já os que receberam sinal de Alerta, os pesquisadores descobriram dados, mas que não representavam risco.

Os de redes sociais foram os piores. A viaForensics testou 19 aplicativos de mídias sociais e 14 deles falharam. Eles expuseram dados confidenciais como senhas, o que pode levar ao roubo de identidade. A única categoria que foi bem nos testes foi a da área Financeira. Oito dos 32 aplicativos financeiros falharam.

A Appthority encontrou uma forma para reforçar a segurança de aplicativos móveis. A fornecedora de soluções móveis estudou recentemente os 50 melhores aplicativos gratuitos para iOS e Android e descobriu que 96% dos voltados para o mundo Apple têm a capacidade de acessar informações confidencias. Para Android, o número foi de 84%.

Diante desse quadro, não é uma surpresa que empresas estejam desenvolvendo suas lojas para efetuar o download de aplicativos.

Mix do pessoal e professional

Essa mistural apresenta uma série de riscos. “Do ponto de vista tecnológico, ainda é um desafio separar os dois mundos. A jornada tradicional de trabalho está desaparecendo e as pessoas estão trabalhando a qualquer hora e lugar”, avalia Dave Neve, CMO da Xigo, fornecedora de soluções de software EMM.

Isso significa que informações importantes de trabalho são levadas para casa e transferidas para dispositivos diferentes. Se um usuário faz backup de um smartphone (com listas de contatos, e-mails e outros dados) para um PC, um malware no computador pessoal poderia expor a organização.

Não há como negar que consumerização e BYOD invadiram as empresas. Tecnologias corporativas estão sendo adotadas pelos consumidores e forçando a corporação a se adaptar. Para os CIOs eliminarem os riscos de apps móveis, eles terão de aplicar a “corporatização” de tecnologias de consumo.

Companhias devem pensar em subsidiar antivírus para os usuários. Ataques estão tendo como alvo funcionários e podem atingir empresas. Para quem busca roubar informações, só é preciso um pouco de sondagem para encontrar o elo mais fraco no mundo social/profissional do usuário.
Site: IDG Now!
Data: 14/11/2012
Hora: 9h30
Seção: TI Corporativa
Autor: Jeff Vance
Link: http://idgnow.uol.com.br/ti-corporativa/2012/11/14/malware-no-celular-e-desafio-para-departamentos-de-ti/

 

Leave a Reply

You must be logged in to post a comment. Click here to login