O que é BYOD (Bring-Your-Own-Device)?

O que é BYOD?

“Bring Your Own Device” (BYOD) se refere a uma política corporativa que permite que funcionários usem dispositivos de sua propriedade para fins de trabalho. BYOD já era comum antes da COVID e agora é a norma, mesmo para empresas que se preocupavam com o possível risco de segurança da política. Dispositivos pessoais comuns incluem smartphones, laptops, tablets e pen drives.

A política BYOD existe em muitos formatos no ambiente corporativo, dependendo de quem é o proprietário do dispositivo e como ele pode ser usado.

• “Bring Your Own Device” (BYOD) significa que o dispositivo é de propriedade de um funcionário e é usado para tarefas comerciais e pessoais.
• “Choose Your Own Device” (CYOD) é quando a organização oferece aos usuários opções de dispositivos em uma lista limitada. Esses dispositivos podem ser de propriedade da empresa ou do funcionário, mas qualquer personalização precisa passar pelo departamento de TI.
• “Corporate Owned Personally Enabled” (COPE) é quando o dispositivo é de propriedade da empresa e emitido para o funcionário, que também tem permissão para usá-lo para atividades pessoais. A categoria mais restritiva é:
• “Company Issued Business Owned” (COBO), quando a empresa é a proprietária do dispositivo e o funcionário só pode usá-lo para atividades empresariais.

Por que a política BYOD é importante?

Os funcionários acessarão dados confidenciais da empresa em seus dispositivos pessoais, mesmo se isso for contra as regras ou até se eles usarem um dispositivo fornecido por outra empresa, seja para buscar maior eficiência ou por negligência. As organizações devem considerar a implementação de uma política de BYOD para benefício próprio e dos funcionários. Os principais benefícios incluem:

• Maior produtividade: os usuários já selecionaram os dispositivos adequados a como interagem com a tecnologia, e eles se sentem confortáveis com eles. Não é preciso treinamento, então os funcionários podem começar a trabalhar imediatamente sem necessidade de tecnologia educacional. Eles conhecem as capacidades dos próprios dispositivos, e os usam com facilidade para concluir as tarefas rapidamente. Ninguém precisa passar pela frustração de usar um dispositivo que não entende ou não gosta. Isso aumenta a moral e melhora o desempenho.
• Economia de custos: de acordo com a revista WIRED, a maioria das organizações relata economias de cerca de US$ 300 por usuário BYOD por ano. Isso pode ser pouco em empresas pequenas, mas significativo em empresas de médio porte e em empresas com centenas ou milhares de funcionários na força de trabalho.
• Tecnologia atualizada: dependendo do cargo, os funcionários costumam ter tecnologia muito atual. Isso elimina a necessidade do departamento de TI substituir tecnologia, gastar dinheiro extra em licenças de hardware ou software e atualizar dispositivos.

Quais são os riscos da política BYOD?

A política BYOD traz muitos benefícios, mas as organizações também precisam considerar os riscos.

Maior complexidade do gerenciamento de vulnerabilidades

Como todos os profissionais de segurança sabem, a maior vulnerabilidade de uma organização são os usuários. Cada dispositivo traz suas próprias vulnerabilidades. É arriscado permitir que usuários se conectem à rede da empresa com dispositivos pessoais que não são geridos pela organização e que misturam dados pessoais de funcionários com dados da empresa. Além disso, não é possível controlar um dispositivo de propriedade de um funcionário se ele for perdido ou roubado, e não é possível saber se um usuário conectado é o funcionário credenciado ou um amigo ou familiar. As organizações precisam criar protocolos complexos de gerenciamento de vulnerabilidades para garantir a segurança de cada dispositivo.

Maiores riscos de cibersegurança

Incluir dispositivos de propriedade de funcionários como parte da rede da organização aumenta o risco de ciberataques por meio de:

• Código aberto: aplicativos são uma grande preocupação porque o departamento de TI não consegue saber quais estão instalados no dispositivo BYOD. Quase todos os aplicativos usam código aberto, o que não é perigoso por si só. No entanto, se o desenvolvedor do aplicativo não acompanhar as notícias sobre vulnerabilidades recém-descobertas no código aberto e não tomar as medidas adequadas para proteger o aplicativo, isso será um problema. E essa é a regra. Os desenvolvedores costumam incorporar o código aberto e deixá-lo de lado para adicionar outras funcionalidades.
• Concessão de permissões desnecessárias: muitos aplicativos também solicitam permissões desnecessárias. Isso pode ocorrer porque os desenvolvedores estão pensando em uma funcionalidade que esperam desenvolver no próximo trimestre, porque não entendem o que estão pedindo ou porque são mal-intencionados. Não é possível descobrir o motivo, mas o risco é o mesmo em todos os casos: um possível comprometimento de dados corporativos. Os usuários precisam compreender o nível de acesso fornecido aos aplicativos baixados e garantir que outras pessoas que usem os dispositivos pessoais deles também entendam os níveis de acesso. Se o usuário emprestar seu dispositivo para os filhos, não é possível confiar que as crianças negarão solicitações de permissões inapropriadas.
• Redes desprotegidas: as redes onde o dispositivo BYOD é usado podem apresentar riscos. Redes Wi-Fi domésticas não têm os mesmos controles de segurança que redes corporativas. Nem as redes públicas em cafeterias, lojas e outros lugares onde funcionários remotos podem acessar a rede corporativa. As empresas precisam presumir que os funcionários acessarão dados confidenciais usando redes domésticas ou públicas inseguras e tomar as medidas necessárias para investigar intrusões de um número maior de pontos de entrada.
• Dispositivos roubados: quando um dispositivo corporativo é relatado como perdido ou roubado, o departamento de TI pode bloqueá-lo para torná-lo inutilizável. Quando um dispositivo pessoal é perdido ou roubado, isso não é possível. Embora o departamento de TI possa bloquear o acesso à VPN ou aos aplicativos corporativos, isso não garante que um ator mal-intencionado não consiga usar vulnerabilidades em outras partes do dispositivo (por exemplo, um aplicativo inseguro) como um meio de obter informações e aproveitá-las para atacar a rede corporativa. Também não é possível garantir que cada usuário instale todas as atualizações do sistema operacional e não armazene arquivos corporativos no dispositivo. Se um funcionário for demitido ou pedir demissão, não é possível excluir os dados da empresa baixados no dispositivo.

Perda de privacidade

Ambas as partes, o usuário BYOD e a organização, perdem privacidade ao implementar uma política BYOD. Todas as informações pessoais do usuário estão prontamente disponíveis para visualização pela rede da organização. Isso inclui credenciais de redes sociais, mensagens, informações de contas bancárias, etc. Por outro lado, os usuários têm acesso a informações confidenciais da empresa que podem ser compartilhadas por negligência ou exploradas propositalmente.

Há vários casos comerciais sólidos para o uso da política BYOD. No entanto, uma ressalva é garantir que ela não atrapalhe a inovação. Se uma empresa evitar a oportunidade de testar uma tecnologia inovadora por causa da incerteza sobre a execução em um ambiente BYOD sem perder dados ou degradar as capacidades de interoperabilidade, ela perderá a oportunidade de evoluir.

6 práticas recomendadas de implementação da política BYOD

Não existe um modelo de política BYOD que funcione em todas as empresas. Cada organização deve trilhar seu próprio caminho, mas sempre é possível seguir as práticas recomendadas a seguir para garantir a implementação adequada.

1. Buscar opiniões de diferentes departamentos

Comece buscando as opiniões de vários departamentos para entender como diferentes grupos de usuários executarão o trabalho em seus dispositivos móveis e, com base nisso, ultrapassar o que a política deve incluir. Espere implementar a política em etapas e conduzir uma prática de melhoria contínua guiada pela necessidade de flexibilidade, segurança e suporte aos funcionários.

2. Criar uma política independente de endpoint

Uma política de segurança de BYOD deve ser independente de endpoint para atender a dispositivos e plataformas novos e emergentes. Caso contrário, a equipe de segurança será forçada a revisar constantemente a política, dificultando a aplicação. Na maioria dos casos, deve haver uma política de BYOD diferente para funcionários em tempo integral, contratados e temporários.

3. Listar dispositivos permitidos

Nem todos os dispositivos são adequados para um programa BYOD, como dispositivos obsoletos ou com sistemas operacionais desatualizados. Especifique o que é permitido, o que será mantido pela empresa e o que o usuário é responsável por manter.

4. Incentivar a autenticação multifatorial (MFA)

Incentive expressamente a autenticação multifatorial (MFA). Os smartphones modernos exigem essa funcionalidade de segurança por padrão, mas a inclua na política de segurança para que usuários que desativaram as telas de bloqueio ou tomaram outras medidas para evitar a MFA saibam que seu uso é uma condição do BYOD.

5. Garantir que a política defina claramente as autorizações

A política deve ser clara sobre quem é o proprietário de quais dados do dispositivo e a qual número de telefone os dados estão associados. Explique o que acontece com os dados se o usuário do dispositivo móvel deixar a empresa.

6. Empregar uma política de privacidade

Por fim, certifique-se de ter uma política de privacidade bem pensada e em conformidade com as regulamentações de privacidade de dados dos EUA e locais. Essa política deve proteger não só a empresa, mas também o usuário BYOD.

BYOD e CrowdStrike

As equipes de TI devem priorizar o uso das ferramentas e soluções certas para garantir que a organização permaneça o mais segura possível ao implementar uma política BYOD.

A CrowdStrike oferece um amplo conjunto de soluções que ajudará sua organização a manter a visibilidade e a higiene em dispositivos gerenciados e não gerenciados das partes interessadas.