gavgavka.com

Malware móvel é desafio para departamento de TI

14 de Novembro de 2012 às 19:09:04 por Computerworld

Empresas devem pensar em subsidiar programas de antivírus para os utilizadores. Ataques estão a ter como alvo os funcionários mas podem atingir as empresas.

Quando os CIOs começam a lidar com o movimento Bring Your Own Device (BYOD), uma das preocupações que deve ser tida em consideração é a falta de controlo sobre as aplicações móveis – especialmente aplicações gratuitas disponíveis para download.

Mesmo que estejam em lojas oficiais, as aplicações móveis podem ser intrusivas. No início deste ano, Apple, Facebook, Yelp e outras empresas foram multadas por infringirem a privacidade em apps que, entre outros procedimentos, identificavam o endereço de utilizadores.

Na altura, especialistas em segurança alertaram que essa era apenas a ponta do iceberg do problema. Um estudo recente da Appthority, fornecedor de soluções de segurança móvel, descobriu que aplicações gratuitas são particularmente perigosas, pois têm a capacidade de aceder a informações sensíveis.

Apesar dos riscos, o Riverside Medical Center (RMC), sediado no Illinois (EUA), acreditava que não tinha escolha quando se tratava de BYOD. “Para um hospital como o nosso, BYOD é uma questão de marketing”, diz Erik J. Devine, CISO do RMC.

Para fazer parte do programa de BYOD, os funcionários do hospital têm de concordar que o RMC tem o direito de apagar remotamente informações do dispositivo. Em aparelhos de propriedade da empresa, os riscos são mais fáceis de gerir. “Se fornecemos um iPad para um colaborador, não se pode simplesmente ir até à AppStore”, relata Devine.

Para sectores altamente regulados, como o da saúde, proibir o download de aplicações é comum. A startup Happtique viu nesse cenário uma oportunidade e oferece uma loja de aplicações móveis voltada para profissionais da área. “Um grande desafio para os médicos e os seus departamentos de TI é saber em quais apps confiar ou não”, assinala Ben Chodor, CEO da Happtique.

Por enquanto, porém, a maioria das empresas que quer controlar o download de aplicações desenvolve lojas próprias, como fez o Riverside. Proibir ou limitar apps é apenas parte da equação. O hospital também utiliza uma combinação da solução Enterprise Mobility Management (EMM), da McAfee, e uma firewall da Fortinet para minimizar os riscos móveis.

O EMM dá ao Riverside a capacidade de detectar dispositivos desbloqueados, aplicar políticas como autenticação de dois factores e apagar remotamente os dados se os equipamentos forem perdidos ou roubados. Uma vez que os riscos evoluem ao longo do tempo, o Riverside também depende das capacidades de análise da Fortinet para mapear exactamente o que os utilizadores estão a fazer com os seus aparelhos.

Se uma empresa, por exemplo, descobre que a maioria dos utilizadores usa aplicações para jogar, ela pode educá-los que o malware em jogos é algo comum e são os piores quando se trata de aceder às informações pessoais dos utilizadores.

Privacidade
Em 2011, investigadores da viaForensics estudaram mais de 100 aplicações para iOS e Android e descobriram que apenas 17 delas protegiam informações dos utilizadores.

A viaForensics testou diferentes tipos de aplicações em quatro sectores: financeiro, redes sociais, produtivo e retalho. Os investigadores classificaram cada app com uma nota tendo por base o seu potencial de manter os dados protegidos, atribuindo os selos de aprovado, reprovado e alerta.

Para as apps que os investigadores foram capazes de aceder às informações armazenadas no equipamento, a aplicação foi reprovada. As aprovadas foram aquelas em que os investigadores não puderam encontrar os dados. Já nas que receberam o selo de alerta, descobriram dados mas que não apresentavam riscos.

As apps de redes sociais foram as piores. A viaForensics testou 19 aplicações de media sociais e 14 delas falharam. Elas expuseram dados confidenciais como passwords, o que pode levar ao roubo de identidade. A única categoria que correu bem nos testes foi a da área financeira, em que oito das 32 aplicações financeiras falhou no teste.

A Appthority encontrou uma forma para reforçar a segurança das aplicações móveis. A fornecedora de soluções móveis estudou recentemente as 50 melhores aplicações gratuitas para iOS e Android e descobriu que 96% das do mundo Apple têm a capacidade de aceder a informações confidencias. No Android, esse valor foi de 84%.

Perante este cenário, não é uma surpresa que as empresas estejam a desenvolver as suas próprias lojas para se efectuar o download de aplicações.

Mistura entre pessoal e profissional
Esta mistural apresenta uma série de riscos. “Do ponto de vista tecnológico, ainda é um desafio separar os dois mundos. O dia tradicional de trabalho está a desaparecer e as pessoas estão a trabalhar a qualquer hora e lugar”, avalia Dave Neve, CMO da Xigo, uma fornecedora de soluções de software EMM.

Isto significa que as informações importantes do trabalho são levadas para casa e transferidas para dispositivos diferentes. Se um utilizador faz “backup” de um smartphone (com listas de contactos, e-mails e outros dados) para um PC, um malware no computador pessoal pode expor a organização.

Não se pode negar que a consumerização e o BYOD invadiram as empresas. Tecnologias corporativas estão a ser adoptadas pelos consumidores e a forçar as organizações a adaptarem-se. Para os CIOs eliminarem os riscos das apps móveis, terão de aplicar a “corporatização” das tecnologias de consumo.

As empresas devem pensar em subsidiar programas de antivírus para os utilizadores. Os ataques estão a ter como alvo os funcionários e podem atingir as empresas. Para quem tenta roubar informações, só é preciso um pouco de pesquisa para encontrar o elo mais fraco no mundo social/profissional do utilizador.
(CIO/IDG Now!)

Tags:

Insira um comentário, ou crie um trackback no seu próprio site.

Deixe o seu Comentário