Desafios e Problemas do Bring Your Own Device

Tal como os outros dispositivos apresentam diversos desafios a nível da segurança, BYOD também apresenta desafios a nível de segurança semelhantes a outros dispositivos. Como apresentado anteriormente pode-se constatar que BYOD também levantam alguns problemas de segurança e desafios, devido à sua dupla finalidade (utilização pessoal e profissional) (Wang, Wei, & Vangury, 2014).

43

A prática do BYOD está a tornar-se numa “regra” versus “exceção” nas organizações devido aos benefícios que trazem para a mesma. No entanto, embora a evidência satisfatória é ampla que mostra que BYOD pode ajudar a agregar valor e melhorar os processos de negócio das organizações, não é sem custo. O esforço de investimento e implementação de uma nova infraestrutura segura para suportar e gerir a utilização de diferentes dispositivos móveis com diferentes SO pode ser muito desafiante e muito caro. Por outro lado, há que ter muita atenção aos perigos e ameaças inerentes à segurança e à privacidade que podem afetar os recursos da rede da organização e do utilizador do dispositivo móvel (Bello Garba et al., 2015).

O principal problema do BYOD é que não existe garantia de que os riscos de segurança e privacidade podem ser eliminados. Sempre que um dispositivo móvel aceda a um recurso da rede, os vestígios de informações e dados pessoais podem ser facilmente recolhidos. Os dispositivos móveis podem ser perdidos com facilidade ou roubados devido às suas pequenas dimensões, o que pode levar à exposição das informações contidas nos mesmos. A utilização dos dispositivos móveis não controlados, bem como a utilização dos mesmos sem restrições pode causar sérios problemas para a organização (pode infetar a rede da organização com vírus e malware) (Bello Garba et al., 2015; Kestle & Self, 2013).

Os desafios e problemas do BYOD apresentados a seguir, foram identificados por vários autores (Bello Garba et al., 2015; Dhingra, 2016; Kestle & Self, 2013; Wang et al., 2014):

➢ Ameaças e Ataques – BYOD são dispositivos móveis, pelo que são vulneráveis a várias ameaças e ataques como todos os outros dispositivos. Essas ameaças e ataques são normalmente realizadas por meio de malware que são disfarçados como aplicações móveis normais, tais como jogos, um patch de segurança ou então outros tipos de aplicações desejadas pelo utilizador, que são baixados para o dispositivo móvel. O

malware móvel encontra-se dividido em três categorias: vírus, cavalo de troia e spyware,

sendo os dois últimos os mais predominantes nos dispositivos móveis.

➢ Vulnerabilidades do BYOD – BYOD integram muitas funções tais como e-mails, calendários, notas, dados pessoais do utilizador e informações confidenciais das organizações. Além disso, BYOD é utilizado nos negócios para partilhar dados sensíveis da própria organização. As informações contidas no BYOD podem incluir, mas não são

44

limitados a informações pessoais (como endereço da residência, contacto telefónico, fotos, lista de contacto, entre outros), correspondência de informações comerciais (e- mails, mensagens de texto, mensagens MMS, registo de chamadas, entre outros), informação de cartão de crédito e credenciais secretas (nome do utilizador e a palavra passe), ficheiros de memória ou no cartão de memória, documentos organizacionais (documentos de texto e planilhas) e localização geográfica. O centro de gestão de dados do BYOD é muito atraente para os hackers. As vulnerabilidades do BYOD ocorrem devido à falta de confidencialidade, isolamento e conformidade no próprio BYOD.

Confidencialidade – BYOD utiliza dados sensíveis das organizações, pelo que não

devem ser armazenados em BYOD com formato de texto simples. Nesse aspeto torna-se essencial proteger a confidencialidade dos dados da organização em um BYOD. Para além disso, não é apenas essencial proteger a confidencialidade dos dados da organização, mas também é importante para monitorizar e rejeitar o acesso não autorizado e ilegal aos dados da organização. O acesso não autorizado provém dos colaboradores internos (colaboradores ou ex-colaboradores) quando eles não devem aceder aos dados da organização, enquanto que, o acesso ilegal provém de terceiros quando eles pretendem recuperar dados da organização armazenados em um BYOD (como por exemplo, utilizadores mal-intencionados que tentam roubar dados de um BYOD perdido).

Isolamento – BYOD são adotadas para a utilização pessoal e profissional, ambos

com diferentes requisitos de segurança. Quando um BYOD é utilizado para uso pessoal, o proprietário do mesmo procura a flexibilidade e a convivência de decidir quais as aplicações que podem ser baixados e quais podem ser instalados. Por outro lado, quando é utilizado em serviço da organização, é essencial que as organizações garantam que os dispositivos móveis estejam em conformidade com as políticas de segurança da organização. O isolamento do espaço é uma característica desejada e torna possível aplicar políticas de segurança diferentes no espaço pessoal e organizacional de um BYOD.

Conformidade – BYOD são extensões das organizações, mas, no entanto, é difícil

de garantir que os estes cumpram com as políticas de segurança da organização. Apesar de existirem já algumas soluções BYOD, todos eles têm limitações ao aplicar políticas de

45

segurança em um BYOD. Alem disso, BYOD são dispositivos móveis pessoais que são adotados para a utilização profissional nas organizações e é impraticável auditar manualmente o dispositivo móvel pessoal de um colaborador devido à propriedade e também à grande quantidade de dispositivos. As opções automáticas alternativas devem ser exploradas para aplicar as políticas de segurança das organizações em um BYOD.

➢ Descoberta do BYOD – uma vez que o BYOD faz parte da própria organização, torna-se essencial efetuar a monitorização e o rastreamento do mesmo. Essa descoberta do BYOD pode ser dividida em duas categorias: o sistema de descoberta BYOD baseado em

agentes e o sistema de descoberta BYOD à base de digitalização.

O sistema de descoberta BYOD baseado em agentes requer um agente (uma aplicação para dispositivo móvel) instalada em um BYOD. Este será o responsável para relatar o estado do dispositivo móvel para o sistema central de gestão da rede, como por exemplo o Mobile Device Management (MDM). De igual modo, o agente acaba por ser o representante dos administradores do sistema ao estabelecer certas políticas de segurança em um BYOD. O sistema de descoberta BYOD baseado em agentes é fácil de ser utilizado e não causa muita sobrecarga de comunicação na rede da organização, mas, no entanto, este requer que seja instalado uma aplicação em um BYOD primeiro.

O sistema de descoberta BYOD baseado em digitalização não requer a instalação de qualquer tipo de aplicação em um BYOD. Neste caso, as ferramentas de digitalização das redes como o nmap (Network Mapper) são utilizadas para detetar o BYOD com base na sua impressão digital. Como o BYOD está normalmente ligado a rede da organização através do Wi-Fi, torna-se assim possível realizar a sua digitalização. Por outro lado, a digitalização pode ser baseada em interfaces Bluetooth no BYOD. Esta abordagem apresenta uma limitação, pois só funciona em pequenas áreas e é difícil de dimensionar para grandes áreas de trabalho. A digitalização de uma rede pode levar muito tempo a ser implementado, e por outro lado adiciona tráfego extra a rede da organização.

46