TSPD – Traga seu próprio dispositivo (nunca vi escrito em português)
BYOD é um conceito onde os colaboradores poderiam utilizar seu próprio dispositivo (computador, celular, tablet e qualquer “outro etc.” que possa existir) em atividades profissionais dentro da empresa.
Em outras palavras, se a empresa disponibiliza um notebook i3 com 4gb de RAM e 250 GB de HD que atende perfeitamente a necessidade do negócio, mas ao invés disso o geek do departamento de marketing gosta do top tecnológico e prefere ir trabalhar com um Alienware i9 de 64GB de RAM 2TB de disco e placa de vídeo de última geração (nem sei se existe), sem problemas, também pode.
Você vai perguntar: É isso mesmo? Virou festa? Agora qualquer um pode trazer o que bem quiser e acessar os dados da empresa?
Pois é. É isso aí, em um mundo onde fuga de dados, ramsoware, vírus, phishing são uma constante dor de cabeça para segurança da informação como isso pode ser concebível?
E celulares então, em alguns casos acaba envolvendo o ego da pessoa no processo. O negócio demanda um celular simples, mas você quer ter o último modelo do Iphone e obviamente não quer andar com dois telefones.
O tema não é recente o acrônimo BYOD, veio das festas BYOB (Bring your own Beer/Bottle) traga sua própria bebida. Para festa funciona que é uma maravilha, (bom, nem sempre as vezes o aparece cada cerveja que era melhor não trazer) e para empresas trazer cerveja realmente não daria certo, mas mesmo trocando o B (Beer) pelo D (Device) no acrônimo, ainda tenho minhas dúvidas.
Como maior parte das coisas da vida, o BYOD tem suas vantagens e desvantagens.
As vantagens são que empresas que tem adotado o BYOD, reportaram ganho de produtividade e redução de custos, além de parecerem mais atrativas por passarem a impressão de uma empresa mais flexível e portanto, uma imagem mais positiva, principalmente quando se trata de usar o próprio celular e o próprio tablet.
– E as desvantagens? Você me pergunta.
Bom. Você tem tempo? Porque a lista é grande.
Com os funcionários trabalhando em qualquer lugar e a qualquer hora a empresa precisa investir em medidas de segurança que impeçam que seus dados acabem onde não deve (em um leilão na deepweb por exemplo).
Outro ponto, questões trabalhistas podem ser levantadas alegando disponibilidade do colaborador em função do acesso aos dados da empresa a qualquer hora do dia incluindo fora do horário regular de trabalho. No Brasil isso pode ferir o Direito de Repouso previsto na Constituição Federal e na CLT.
Celulares são frequentemente perdidos e roubados, e com isso vão juntos dados ou o acesso a rede corporativa. Ainda nessa linha os colaboradores pedem demissão ou são demitidos e junto com isso podem levar os dados da empresa, já que o celular é dele, ele não tem que devolver o aparelho.
Celulares e Tablets também são compartilhados com membros da família e hoje são a ferramenta universal de distração de crianças durante o jantar ou quando os pais não querem ser importunados.
Se uma criança de 3 anos apertando os botões aleatoriamente em um celular consegue fazer uma chamada ou até mudar o idioma do aparelho para algo incompreensível. Qual a garantia que por um mero acidente, dados relevantes também não poderão ser apagados.
A equipe de TI tem que começar a monitorar a utilização de um dispositivo pessoal tomando um cuidado enorme para não invadir a vida privada do usuário e lembrando que essa separação pode ser bem tênue dentro do aparelho.
Muitas dessas ferramentas têm a capacidade de rastreio e pode ser que o celular com o sem o indivíduo seja encontrado em lugares pouco convencionais a um estilo de vida corporativo.
Tudo isso pode trazer consequências bem amargas para a organização em âmbito jurídico. Principalmente, se por meio de MDM (Mobile Device Management) a empresa resolve zerar (wipe) o celular inteiro do ex-funcionário para garantir a segurança das suas informações.
Atualizações são outra dor de cabeça, a imensa maioria das ferramentas de MDM não acompanha as constantes atualizações de versão dos sistemas operacionais dos telefones (pelo menos não imediatamente) e uma vez que o telefone pertence ao individuo ele certamente vai querer ter a ultima versão de sistema operacional instalada para poder usar os últimos e-mojis ou qualquer outro implemento.
Brilhante, lá se foi o sincronismo e o monitoramento com MDM por alguma incompatibilidade entre a versão nova do S.O. e o agente do MDM ou um eventual container.
Se o celular pertence a empresa, ela dita as regras (ainda que as vezes isso seja descaradamente ignorado), mas as políticas podem ser bem mais incisivas com respeito a utilização do dispositivo, o que não ocorre quando o celular pertence ao próprio indivíduo.
Se entre uma reunião ou outra ou entre um relatório ou outro ele resolve conferir as ultimas imagens enviadas pelo Whatsapp dos amigos do futebol ele estará livre para fazer, ainda que isso traga consequências catastróficas para ele, para sua conta bancária e para os dados da empresa caso acabe navegando por lugares pouco recomendados.
Sem falar no número do telefone, que indiscutivelmente pertence aos usuários e com um eventual desligamento dele da empresa todo o direcionamento dos contatos continua sendo para ele.
Outro aspecto está relacionado ao consumo de dados, quem paga a conta? Se for a empresa e o usuário estourar de tanto assistir os vídeos da SecAdvisory sobre segurança ou do DPFN e por conta disso tornar sua própria operação indisponível, como fica? Ou se for o próprio dono do aparelho, como fica a conta dele após aquela conferência de 4 horas com o cliente internacional via vídeo?
Os exemplos são intermináveis aqui, já vi casos de contas astronômicas de telefone porque o colaborador resolveu tirar férias e esqueceu de fazer uma gestão correta de Roaming Internacional e a conta do celular era paga pela empresa.
Parece que a lista de desvantagens dá de 7×1 (maldade com os brasileiros) na lista de vantagens.
Então porque temos números superiores a casa dos 50% em termos de adoção da prática do BYOD?
Porque é um movimento natural, assim como a nuvem e muitos outros que surgiram e irão surgir a muitas delas as custas do sono dos administradores de segurança.
E como disse um dos Diretores que tive:
“O time de segurança não tem que parar o rio, mas sim mostrar qual o melhor caminho para ele correr.”
Porque ele vai correr quer o time de segurança queira ou não.
Li muitos artigos chamando BYOD de tendência, mas acredito que algo que exista a mais de cinco anos no mundo de hoje já deixou de ser tendência a muito tempo, é um fato.
As empresas que têm visto isso como tendência, certamente já estão tendo que correr atrás do prejuízo tanto em termos de imagem como em termos de segurança porque certamente seus colaboradores já estão usando seus próprios dispositivos e sem as capas de proteção ou o treinamento necessário para isso.
– OK. Iberê e como eu saio dessa então?
Como tudo em tecnologia (e no mundo) não tem uma solução única e mágica para todos os tipos de problemas.
A equipe de TI, juntamente com a equipe de segurança de informação e riscos (se existir), devem entender o que está por traz da necessidade de um BYOD e principalmente. QUAIS OS RISCOS ENVOLVIDOS para não ficarem expostos a ataques cibernéticos, problemas legais e de reputação que a sua implementação pode trazer.
Pode ser que determinados departamentos sejam mais amigáveis ao BYOD do que outros.
Lançar mão de uma política bem escrita, MDM e criptografia de dados confidenciais pode ser um começo, mas nada disso deve ficar sem entendimento prévio.
Já existem soluções disponíveis no mercado que vem com o pacote completo, desde monitoramento passando por anti-virus, criptografia, anti-jailbreak até o full wipe do celular. Mas tem que ser acordado, o dono do dispositivo tem que estar ciente de que SE ele quer usar o dispositivo dele (serve para o notebook e o tablet também) ele arrumou um sócio e bem mandão e que de uma hora pra outra poderá requisitar o controle de algumas funções relacionadas ao negócio ou limitar a liberdade de uso do próprio aparelho.
É uma troca. Se todos estiverem de acordo, segue o jogo, do contrário melhor revisar o apetite de risco da empresa relacionado a implementação do BYOD ou até onde ela quer deixar isso ir adiante.
Esse texto também pode ser encontrado no meu Linkedin ou no Medium