UM PLANO EM 3

ETAPAS PARA A
SEGURANA MVEL

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Um problema complexo
que requer uma abordagem
holstica
A mobilidade est aqui. A mobilidade agora.
A mobilidade (junto com a nuvem e as mdias
sociais) uma das trs tecnologias novas que
trazem novas oportunidades de produtividadee
os riscos de segurana associados. Acrescente
a consumerizao da TI, uma exploso de
dispositivos corporativos e pessoais mveis, e o
fato de que no existem solues de segurana
mvel simples, e voc tem um dos maiores desafios
de estratgia de segurana de TI para 2012.
O desafio como habilitar a produtividade e reduzir
ameaas, vulnerabilidades e riscos para obter o
melhor equilbrio e os mais baixos custos totais.
Este documento identifica contramedidas e
controles de administrao especficos, que
voc pode usar para estabelecer uma estratgia
de segurana mvel que abrange dispositivos
corporativos e pessoais. Tambm avalia os cenrios
de ameaas, riscos, complicaes e solues que
os profissionais de TI devem usar para orientar
suas decises nessa rea crtica da vulnerabilidade
empresarial.
As organizaes que estabelecem um foco
restrito em um aspecto do problema e no
abordam holisticamente os desafios de segurana
apresentados pela mobilidade, assim como a
consumerizao e a proliferao de dispositivos,
arriscam-se a satisfao e produtividade dos
usurios muito mais baixas, alm de reduo dos
ganhos empresariais, custos mais elevados e at
exposio de dados confidenciais.

Comece com as suas metas

No importa quais sejam os dispositivos envolvidos
e quem os possui, o que voc est tentando fazer?
A meta fornecer acesso mvel para recursos
corporativos teis, como email, servios de
arquivos e aplicativos da intranet? Neste caso, ter
dispositivos mveis altamente limitados e isolados
fornece pouco valor. Para fornecer acesso mvel
seguro a esses recursos valiosos (o que o objetivo
da maioria das organizaes), voc deve:

1. Proteger os dados acessados, que agora so

locais no dispositivo cliente, e
2. Proteger o dispositivo cliente em si, que atua
como conduto para recursos locais e remotos.
medida que esclarece os seus objetivos, voc
comea a revelar as ferramentas e tecnologias de
segurana de que precisar. Alguns exemplos:

A comunicao em redes inseguras requer

um tnel autenticado e criptografado.

Proteger dados armazenados e em uso em

dispositivos mveis requer criptografia e
preveno contra perda de dados (DLP).

A proteo a dispositivos requer

administrao de configurao e software
antimalware.

Identificar e entender as
ameaas
fcil ver por que a perda de dados uma
prioridade to alta para a segurana mvel.
Os requisitos regulatrios e o baixo custo dos
dispositivos mveis contribuem para o problema.
Como esta tabela ilustra, a maioria das organizaes
deveria comear com um foco em ferramentas e
tcnicas para ajudar a proteger os dados mveis.
Ameaa

Risco

Dispositivo perdido
ou roubado

Acesso no autorizado a
dados locais ou baseados
na rede; perda de dados

Carto de mdia
perdido ou roubado

Perda de dados locais

Uso inadequado de
comunicaes locais
(por exemplo,
Bluetooth,
infravermelho)

Dispositivo adulterado/
infectado, perda de dados
e operao potencialmente
corrompida

Aplicativos
adulterados

Perda de dados e operao

potencialmente corrompida

Malware

Perda de dados e operao

potencialmente corrompida

Ataques baseados
em Internet/redes

Perda de dados e operao

potencialmente corrompida

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Contramedidas e outros
controles relacionados

A maioria das organizaes identificam a perda

de dados como a principal preocupao no
cenrio mvel. por isso que a nfase primria
deve ser em ferramentas e tcnicas que ajudam a
proteger os dados mveis.

Considerando os objetivos, as ameaas e os riscos

discutidos acima, apresentamos abaixo trs nveis de
contramedidas e controles para ajudar voc a definir
e manter uma estratgia de segurana mvel.
Devido ao escopo do problema, recomendamos
que voc comece com o primeiro conjunto.
Em seguida, adote itens dos outros dois, com
uma programao baseada em fatores como
a tolerncia a riscos de sua organizao, a
natureza do negcio em que atua, os requisitos
regulatrios e o nvel de maturidade mvel em sua
organizao. Alguns dos controles de segurana
listados abaixocomo DLP mvel, caixa de areia
corporativa e aplicativos com autodefesaso
solues que esto surgindo atualmente. A no ser
que a sua necessidade seja crtica, adie a adoo
delas. Existem solues mais maduras, que sero
mais fceis de implementar e administrar.

Nvel 1: Administrao de
Dispositivos Mveis (MDM, Mobile
Device Management)
O termo administrao de dispositivos mveis
til para convenincia neste contexto. O que
mais importa so os recursos, e no a categoria
especfica de produto. Algumas organizaes
obtm tudo o que precisam com Exchange
ActiveSync ou BlackBerry Enterprise Server,
enquanto outras requerem uma soluo de MDM
de classe empresarial completa. No importa
qual soluo de MDM faa sentido, a maioria das
organizaes acabar considerando necessrio
implementar tambm algumas das medidas de
segurana complementares descritas abaixo.
Como as ofertas de MDM atual tm segurana
restrita, podemos esperar que o setor evolua.
Especificamente:
1. Os fornecedores de MDM podero agregar
mais recursos de segurana em suas solues.

2. Os fornecedores de segurana mvel

agregaro recursos de MDM s suas solues
- isso mais provvel, porque mais fcil
adicionar o simples ao complexo (ou seja,
MDM segurana) do que vice-versa.
3. MDM e segurana mvel avanada poderiam
se manter como solues independentes.
Todos esses cenrios podem entregar boas
solues ao mercado, mas a melhor integrao e os
custos gerais mais baixos so mais provveis se os
fornecedores de segurana mvel agregarem MDM.
Embora o objetivo primrio da MDM seja
administrao de ciclo de vida centralizada de
dispositivos mveis como smartphones e tablets,
muitos dos chamados recursos de administrao
de dispositivos tambm so relevantes de uma
perspectiva da segurana. Por exemplo, se voc
pode definir configuraes de Wi-Fi e atualizar
aplicativos, pode usar esses mesmos recursos para
reduzir a rea de superfcie de um dispositivo para
ataques. E outros recursos, como apagamento
remoto e controle de criptografia, fornecem
camadas adicionais de proteo de dados.
As solues robustas de MDM devem incluir:

Administrao de aplicativos -Inclui a

capacidade para inventariar os aplicativos de
um dispositivo, distribuir/atualizar software,
e restringir o uso (se no a instalao) de
aplicativos individuais. Com frequncia,
tambm inclui suporte para um portal
de autosservio e/ou loja de aplicativos
corporativa.

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Administrao de configurao e
controle de recursos - Isso envolve ter
controle sobre uma grande variedade
de recursos e parmetros em nvel de
dispositivos, incluindo requisitos de senha,
funcionalidades de cmera, uso de carto
SD, e configuraes para VPN, Wi-Fi,
Bluetooth e criptografia.

Integridade de dispositivos - Todas as suas

defesas so erodidas com eficcia quando um
dispositivo mvel submetido a jailbreak ou
root. Portanto, a capacidade para detectar
esta condio essencial.

Recuperao de dispositivos e reduo de

perdas Inclui rastreamento de dispositivos,
bloqueio manual e automtico, apagamento
manual e automtico de todos os dados ou
de dados selecionados, e apoio para backup
e restaurao em nvel de dispositivo.

Administrao de suporte e manuteno O controle remoto til para suporte

tcnico, e o controle de despesas tem por
objetivo o uso moderado, especialmente
quando os custos so altos (por exemplo,
roaming no exterior).

E quanto a polticas, acordos e conscientizao

de usurios? As polticas so uma ferramenta
essencial para qualquer estratgia de segurana
mvel, e as polticas que voc escolhe determinam
os controles tcnicos especficos de que precisa.
Obter que os usurios assinem contratos de
uso mvel que documentam seus direitos, suas
responsabilidades e os direitos da empresa
tambm essencial (por exemplo, onde voc
incluiria uma clusula que permite que a empresa
apague o dispositivo em troca de fornecer
acesso aos recursos corporativos para o usurio).
A assinatura dos acordos especialmente
importante quando modelos de trazer dispositivo
prprio e uso subsidiado so apoiados,
primariamente devido s incertezas jurdicas
relacionadas a responsabilidades e direitos
aos dados. Alm disso, embora o treinamento
constante de conscientizao dos usurios para
a segurana mvel provavelmente seja uma boa
ideia, a histria comprova que com frequncia
esses esforos no costumam ser muito eficazes.

Nvel 2: Segurana suplementar

Os recursos de segurana orientados para
MDM so um ponto inicial excelente para uma
estratgia de segurana mvel. Porm, medida
que os cenrios de acesso mvel continuam a se
expandir e o desenvolvimento de malware mvel
se acelera (em outras palavras, medida que
vulnerabilidades, ameaas e riscos continuam
a crescer), a eficcia da MDM para a segurana
fica cada vez menor. A TI precisa implementar
medidas que partem dos limites da MDM para
fortalecer a segurana do acesso, a proteo
contra ameaas e a proteo aos dados.
Acesso seguro - A segurana baseada em
ActiveSync e/ou MDM pode ser suficiente
quando os usurios mveis esto usando
apenas email. Quando voc fornece acesso
alm do email, trs contramedidas adicionais
orientadas ao acesso tornam-se cada vez mais
relevantes: (1) autenticao forte para a rede
por exemplo, com tokens (2) um recurso
de tunelamento criptografado com suporte a
acesso para todos os tipos de aplicativos por
exemplo, uma VPN SSL e (3) um recurso de
verificao da integridade de hosts que restrinja
o acesso com base no estado de segurana
do dispositivo do usurio (disponvel de forma
independente ou como um componente
integrante das principais VPNs SSL).
Proteo contra ameaas - O malware mvel
no tem sido historicamente uma grande
preocupao, mas isso comeou a mudar em
2011 e espera-se que cresa ainda mais rpido
em 2012. Como resultado, o antimalware para
plataformas mveis est se tornando cada
vez mais importanteespecialmente porque
a natureza altamente dinmica da Web atual
e as ameaas que hospeda significam que as
tecnologias e os mecanismos convencionais
nessa rea (por exemplo, assinaturas) so
claramente insuficientes.

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Em vez disso, as organizaes precisam de

um coquetel robusto para segurana Web,
que examine o contedo de todos os ngulos
possveis para detectar novas ameaas. Isso
requer inteligncia de ameaas em tempo
real usando vrios mecanismos de inspeo
complementares, com capacidade para anlise
de ameaas e classificao de contedos
em tempo real. Tambm ser igualmente
valiosa a capacidade para filtrar aplicativos
mveis com base em reputao. Ainda em
desenvolvimento, este recurso anlogo
filtragem de reputao para email, URLs e
arquivos obtidos por download, mas tem foco
em prevenir que os usurios faam download de
aplicativos mveis infectados por malware um
problema crescente, especialmente para lojas
de aplicativos sem curadoria.
Proteo de dados - A cobertura adicional
nesta rea ocorre primariamente na forma de
tecnologia de DLP. O ponto inicial para uma
soluo completa fica na sede, onde gateways
para email e Web com recursos de DLP
incorporados devem ser usados para controlar
quais dados podem chegar aos dispositivos
mveis (por exemplo, por email, ou servios
de compartilhamento de arquivos com base na
Web, como o Dropbox). Para dados que chegam
s plataformas mveis, a camada seguinte de
proteo deve ser um recurso de DLP mvel
que ajude a impedir que os dados sejam
expostos, tanto de forma involuntria como
maliciosa. Especialmente, a necessidade de DLP
mvel tambm est sendo impulsionada pela
dependncia cada vez maior por aplicativos
SaaS, em que usurios e dados esto fora
do permetro corporativo e da proteo que
geralmente fornece.
Agente vs. Nuvem
Qual a melhor forma de implementar recursos
complementares para proteo contra ameaas
e para dados: agentes de software locais ou
servios baseados na nuvem? Para algumas
das plataformas mais populares como Apple
iOS no h opo. A arquitetura limita a
funcionalidade ou impede totalmente o uso de
agentes de segurana. O Android tem suporte

para agentes, mas o footprint no dispositivo deve

ser o mais leve possvel para reduzir o impacto
sobre o desempenho. Favorecendo ainda mais
os servios baseados na nuvem esto vantagens
como: implementao mais rpida, fcil e com
custo mais baixo; compatibilidade universal com
plataformas; e maior adaptabilidade. Os agentes
locais podem fornecer funcionalidade e eficcia
incrementalmente melhor, mas parece improvvel
que isso ser uma vantagem suficiente para
compensar os pontos fortes de uma abordagem
baseada na nuvem.

Nvel 3: Medidas de segurana

emergentes
Este terceiro nvel de contramedidas
bastante novo no mercado e, com frequncia,
classificado como avanado ou emergente.
Os adotadores primrios dessas tecnologias
tendem a ter uma tolerncia muito baixa a riscos,
dados extremamente confidenciais, ou requisitos
regulatrios muito rigorosos.
Virtualizao de aplicativos/estaes de trabalho
- Nunca permitir que dados confidenciais saiam
do centro de dados fornece claramente um grau
de proteo superior. Uma forma de fazer isso
sem deixar de habilitar o acesso somente leitura
para recursos essenciais implementar solues
de virtualizao de aplicativos e reas de trabalho
hospedadas em servidor (por exemplo, de Citrix
ou VMware).
Aplicativos com autodefesa - Em algumas
instncias, as organizaes tero a opo
de selecionar aplicativos mveis que foram
elaborados desde o incio para ser inerentemente
mais seguros por exemplo, incorporando
recursos prprios de criptografia e administrao
de chaves, e se baseando menos em recursos de
plataformas nativas e locais de armazenamento
de dados para proteo.
Caixa de areia corporativa - O objetivo de uma
tecnologia de caixa de areia criar uma rea
isolada no dispositivo mvel, onde os usurios
podem trabalhar com recursos corporativos.
O acesso rea depende de autenticao e

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

autorizao, e todos os dados transmitidos

de, para e dentro da rea so criptografados.
Para dispositivos mveis compatveis com esta
tecnologia, o resultado outra camada poderosa
de proteo aos dados. As desvantagens incluem
suporte relativamente limitado a aplicativos
e restries experincia do usurio, porque
aplicativos nativos de email e calendrio no
podem ser usados para acessar recursos
corporativos.
VPN sempre ativa - Esta abordagem envolve
rotear todo o trfego de dados de volta sede
por um tnel criptografado. Assim, podem
ser protegidos por todas as contramedidas
centralmente implementadas de uma
organizao, incluindo DLP completo de
classe empresarial. As desvantagens incluem
desempenho mais lento, aumento da carga de
trfego sobre a infraestrutura de segurana e
redes da empresa, e a complexidade de criar
polticas que tambm abranjam objetivos de uso
pessoal.

Advertncias e complicaes
Nada relacionado segurana da informao
to simples como parece primeira vista, e
isso duplamente verdadeiro para a segurana
mvel. Estes so dois temas que vale a pena
mencionar:
Diversidade de dispositivos e plataformas A maior complicao para a estratgia de
segurana mvel de uma organizao de longe
a diversidade de plataformas e dispositivos
mveis. Isso se manifesta de vrias formas. Em
primeiro lugar, as diferenas na arquitetura
das plataformas tm impacto na necessidade
e disponibilidade de muitos recursos de
segurana adicionais. Por exemplo, o modelo de
isolamento utilizado pelo Apple iOS no apenas
reduz a eficcia da maioria dos malwares, mas
tambm simultaneamente impede o uso de
agentes de segurana totalmente funcionais.
Outras plataformas tm resistncia variada a
malwares e outros tipos de ameaas, e tambm
graus variados de suporte para agentes de

segurana locais. Uma questo relacionada

que a diversidade de plataformas, dispositivos
e provedores de servios tambm tem impacto
na disponibilidade e eficcia de recursos de
segurana nativos. A concluso que h uma
variao considervel de um dispositivo para
outro em termos de (a) o que necessrio do
ponto de vista da segurana e (b) como isso pode
ser concretizado da melhor forma.
Diferentes cenrios de propriedade e uso Complicaes adicionais tm origem com os
modelos novos e diversificados de propriedade e
uso. Os dispositivos clientes no so mais todos
pertencentes organizao e usados apenas
para objetivos de negcios. Os funcionrios
esperam poder usar seus dispositivos mveis
para tarefas pessoais. E as diferentes disposies
de propriedade e reembolso com frequncia
levam a diferentes polticas e capacidades.
Por exemplo, nos casos de uso de dispositivo
prprio e ausncia de reembolso para usurios,
o apagamento de dados precisa ser um ltimo
recurso e deve ser seletivo (por exemplo, apagar
todos os dados empresariais, mas nenhum dado
pessoal). O acrscimo de reembolso por servios
ao mix, porm, muda a situao.
Agora, o pagamento de todos os dados torna-se
uma parte mais aceitvel e, portanto, destacada
do plano de segurana, enquanto outros recursos
tambm se tornam mais relevantes, como o
controle das despesas.

Caractersticas de uma
soluo empresarial ideal
Ningum devolve o notebook ou o computador de
mesa quando recebe um smartphone. Portanto, a
mobilidade s aumenta os desafios da segurana
corporativa. Issoe as presses oramentares
impulsionam a necessidade de eficincia
administrativa e baixo custo de propriedade
ao selecionar solues para segurana mvel.
Para as empresas atuais, as solues ideais
teriam classe empresarial, e reduziriam os custos
com a minimizao do nmero de produtos e
fornecedores.

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Classe empresarial - Os principais recursos que

deveriam ser parte de todas as solues de
segurana mvel para reduzir custos e aumentar
a eficcia incluem: administrao centralizada,
administrao baseada em funes, integrao de
diretrios, polticas de grupo, relatrios flexveis e
trilhas de auditoria de configurao.
Consolidao - Atender s necessidades da
organizao com um conjunto menor de produtos
e fornecedores invariavelmente reduz o custo
e a complexidade, e aumenta a integrao e a
efetividade. por isso que os administradores de
TI/segurana em geral favorecem fornecedores
de solues que oferecem o maior portflio de
recursos para o maior nmero de dispositivos
para os quais pretendem oferecer suporte
(especialmente nos nveis 1 e 2). Ganhos adicionais
podem ser obtidos se os recursos avanados
de proteo contra ameaas e para dados
necessrios para apoio aos dispositivos mveis
estiverem disponveis como extenses integrais
das solues que j esto sendo usadas para
fornecer recursos semelhantes para os usurios/
dispositivos fixos da organizao.

Concluso
A necessidade de apoiar e proteger uma populao
crescente de dispositivos mveis existe agora. O
desafio de concretizar isso, porm, complicado por
diversos fatores, especialmente: (a) a diversidade
de plataformas e dispositivos, e como isso tem
impacto na necessidade de determinados controles
e tambm nas solues disponveis, e (b) a
diversidade de cenrios potenciais de propriedade,
reembolso e uso, e como manter um equilbrio entre
as expectativas dos usurios e da empresa.
Devido a essas complexidades, no h uma
receita direta e nica para o xito em solucionar o
problema da segurana para a mobilidade. Porm,
as organizaes devem:

Manter o foco no objetivo mais importante

garantir uma proteo adequada para
os dados mveis e equilibrar isso com
a necessidade de experincia de usurio
positiva e custo de propriedade razovel;

Ganhos adicionais podem ser obtidos se

os recursos avanados de proteo contra
ameaas e para dados necessrios para apoio
aos dispositivos mveis estiverem disponveis
como extenses integrais das solues que
j esto sendo usadas para fornecer recursos
semelhantes para os usurios/dispositivos fixos
da organizao.

Desenvolver uma abordagem em camadas,

onde os recursos de segurana orientados
por MDM so complementados pelos
controles avanados descritos aqui para
acesso seguro, proteo contra ameaas e,
acima de tudo, proteo para os dados; e,

Favorecer solues que entreguem um

alto nvel de eficincia administrativa e
baixo custo total de propriedade geral,
com base em sua capacidade para
consolidao e incorporao de recursos
de classe empresarial, como administrao
centralizada, integrao de diretrios e
relatrios robustos.

UM PLANO EM 3 ETAPAS PARA A SEGURANA MVEL

Autor Colaborador
Mark Bouchard, CISSP, fundador do AimPoint Group, uma empresa de pesquisa e anlise de TI
especializada em segurana da informao, administrao de conformidade, entrega de aplicativos
e otimizao de infraestruturas. Ex-analista do META Group, Mark analisa tendncias de negcios e
tecnologia relacionadas a uma grande variedade de temas de segurana da informao e redes h
mais de 15 anos. veterano da Marinha dos EUA e apaixonado por ajudar as empresas a abordar
seus desafios de TI. J ajudou centenas de organizaes no mundo inteiro a cumprir objetivos
tticos e estratgicos.

Sobre a Websense
As ferramentas de produtividade atuais esto cada vez mais mveis, sociais e na nuvem. Mas isso
tambm ocorre com os ataques avanados para furto de dados, que os antivrus e firewalls no
conseguem evitar sozinhos. Voc pode se manter um passo frente com a segurana Websense
TRITONTM, que associa mdulos melhores da categoria para segurana Web, segurana de email e DLP
(disponveis juntos ou separadamente) em uma soluo poderosa. Com anlises compartilhadas, opes
de implementao flexveis e um console de administrao unificado, a soluo eficaz e econmica
para os desafios de segurana atuais.

Websense Brasil
Morumbi, So Paulo Brasil
tel +55 11 3568 2050
fax +55 11 3568 2200
www.websense.com/brasil

2012 Websense Inc. Todos os direitos reservados. Websense, o logotipo Websense e ThreatSeeker so marcas registradas
e TRITON, TruHybrid, Security Labs e TruWeb DLP so marcas comerciais da Websense, Inc. A Websense tem muitas outras
marcas comerciais e registradas nos Estados Unidos e internacionalmente. Todas as outras marcas registradas pertencem s
respectivas empresas.
13/02/2012