Portal GSTI
Portal GSTI

PublicarCadastre-seLogin
Menu
foto de
Bruno Horta Soares

Consultório Portal GSTI #18 – BYOD com Blackberry ou iPhone? Com COBIT 5!

Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br

Consultório Portal GSTI #18 – BYOD com Blackberry ou iPhone? Com COBIT 5!


“Qual a diferença entre a segurança de um celular Blackberry e de um iPhone?"
P. Rego (Lisboa)
Caros leitores,

Esta semana durante uma conversa com amigos falava-se sobre as qualidades e os defeitos dos celulares de cada um e, inevitavelmente, foi referida a ascensão e queda dos Blackberry e a “culpa” que o iPhone pode ter tido nesse fenômeno . Entre muitas análises, umas mais tecnológicas que outras, foi consensual que o Blackberry é um equipamento mais adaptado ao contexto profissional e o iPhone uma excelente combinação de comunicações, entretenimento e design . Mas quando o mesmo celular passa a ser utilizado para assuntos profissionais e pessoais, configurando um ambiente hoje normalmente designado de Bring Your Own Device (BYOD), qual o peso da Segurança na escolha das Empresas? Quando dei por mim estava a explicar as diferenças entre “Segurança por desenho” (relacionando com a arquitetura de segurança Blackberry ) e “Segurança por defeito” (fator crítico na segurança do iPhone ), o que para a plateia em causa não foi tarefa fácil.

Se olharmos para a realidade atual, sobretudo tendo em consideração o quase desaparecimento da Blackberry, somos levados a acreditar que a “Segurança por defeito” ganhou à “Segurança por desenho”, no entanto o que realmente aconteceu foi que quem perdeu foi a Segurança e quem ganhou foi o “fácil de usar”.

A utilização de celulares como o iPhone num contexto profissional obriga ao desenho e implementação de mecanismos de proteção dos recursos, principalmente ao nível do equipamento, aumentando as vulnerabilidades e a necessidade de um melhor ambiente de controle para mitigar os riscos relacionados . Com as configurações de Segurança adequadas e uma gestão eficaz, seria possível garantir um bom nível de segurança, no entanto isso iria comprometer a variável “fácil de usar”, descaracterizando o principal fator diferenciador desta solução. Resultado: os controles de Segurança acabam por ser comprometidos deixando as vulnerabilidades mais expostas às ameaças , quer sejam intencionais ou não.

Já a arquitetura Blackberry é reconhecida como sendo mais adequada para o contexto profissional, em grande medida por garantir um modelo operacional onde alguns requisitos de segurança são assegurados pelo desenho da solução. No entanto, os custos associados e a complexidade da gestão da plataforma levaram muitas Empresas a abandonar esta opção.
Analisando os dois cenários, talvez a melhor solução de compromisso seja a utilização de equipamentos como o iPhone num ambiente de Segurança que não esteja tão dependente de uma “Segurança por defeito” (suportada em configurações tecnológicas) mas sobretudo assente numa visão holística da Segurança que valorize outros fatores além dos controlos pela tecnologia.

Num mundo cada vez mais conectado onde a mobilidade não é uma opção mas uma certeza, soluções de Segurança focadas em regras ficam rapidamente desatualizadas e são cada vez mais difíceis de gerir, motivo pelo qual são cada vez mais adotadas arquiteturas de segurança orientadas a princípios (como foi referido no documento “Partnering for Cyber Resilience” do World Economic Forum [1]).

Um bom exemplo desta abordagem é o COBIT 5 for Informatuon Security, um guia de apoio à governança e gestão da segurança da informação orientada aos cinco princípios COBIT 5 e que considera uma visão da segurança suportada nos sete facilitadores. Aqui ficam os princípios e facilitadores COBIT 5 aplicados à segurança.
  1. Segurançada Informação focada nas necessidades dos stakeholders ;
  2. Segurançada Informação responsabilidade de toda a Empresa;
  3. Utilização de estruturas integradoras e que possibilitem um alinhamento dos vários requisitos de negócio e técnicos;
  4. Visão holística da Segurançada Informação suportada em sete facilitadores:
    1. Princípios, Políticas e Frameworks de Segurança da Informação;
    2. Processos de Segurançada Informação ;
    3. Estruturas Organizacionais de Segurançada Informação ;
    4. Cultura, Ética e Comportamentos de Segurançada Informação ;
    5. Informação relacionada com a Segurançada Informação ;
    6. Serviços, infra-estruturas e aplicações de suporte à Segurançada Informação ; e
    7. Pessoas e Competências de suporte à Segurança da Informação.
    8. Separação das atividades de governança, gestão e operação da Segurança da Informação.
Algumas Empresas já começaram a implementar esta abordagem à segurança da informação, tendo recentemente sido publicados alguns casos de estudo muito interessantes no COBIT Focus da ISACA [2].

Em jeito de conclusão, independentemente da solução de celular que a Empresa escolha para considerar na sua estratégia de BYOD, o tema da segurança deverá ser sempre considerado e balanceado com o “fator fácil de usar”. Não existem soluções de controles infalíveis e de nada vale a pena achar que se está 100% seguro porque se tem o segredo da melhor proteção. Sendo assim, mais vale uma abordagem holística à Segurança da Informação orientada a princípios que os utilizadores conheçam, entendam e apliquem, do que abordagens tecnológicas orientadas a regras que os utilizadores não gostam, não entendem e que vão procurar contornar à primeira possibilidade.

Espero ter ajudado!

Bruno Horta Soares, CISA®, CGEIT®, CRISC ™ , PMP®
"The more you know, the less you no!"

[1] http://www.weforum.org/issues/partnering-cyber-resilience-pcr
[2]http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-Volume-1-January-2014.aspx#1

COMPARTILHE

Bruno Horta Soares
Bruno Horta Soares3 Seguidores 72 Publicações
Seguir

Comentários