A linha entre o software empresarial e o software pessoal está a esbater-se – e isso pode ser um problema

A ideia de que as apps criadas para os utilizadores pessoais (por oposição ao software pensado para uma utilização profissional) podiam ser usadas no contexto empresarial era, até há bem pouco tempo, algo impensável.

Por Ricardo Neves, Marketing Manager na WhiteHat

Aplicações de comunicação, de colaboração e, até, de segurança, estavam até há pouco tempo em mundos separados. A ideia é a de que ao software criado para os utilizadores particulares falta a robustez, a fiabilidade e a resiliência necessárias para poder ser usado no contexto corporativo.

No entanto, a verdade é que a linha entre o software empresarial e o software pessoal está a esbater-se cada vez mais e as empresas começam a implementar protocolos que permitem a sua coexistência, dessa forma tirando partido da produtividade melhorada (os utilizadores não necessitam de formação adicional para usar apps que já utilizam regularmente) e dos custos de aquisição reduzidos. Um desafio  para não colocar em causa a segurança, a privacidade e a integridade dos dados.

A pandemia acelerou este processo, mas se nos lembrarmos do conceito do BYOD (Bring Your Own Device, ou seja, a ideia de que o trabalhador utiliza na empresa o mesmo dispositivo que utiliza em casa) concluímos que nada disto é surpreendente. Na verdade, à medida que os dispositivos privados se tornaram empresariais, também as aplicações criadas para as necessidades dos utilizadores pessoais acabam, inevitavelmente, por serem utilizadas no contexto profissional.

Claro que esta fluidez do ecossistema tecnológico traz consigo consequências. Nem todas são negativas (já atrás referimos os ganhos de produtividade e redução de custos), mas algumas são-no efetivamente. E uma das que nos interessa sobretudo na WhiteHat, é a da segurança.

Um exemplo desta convergência entre apps empresariais e pessoais pode ser encontrado no software de comunicações. Durante muitos anos, as empresas usavam software de mensagens instantâneas que funcionava em “circuito fechado”. Hoje, no entanto, muitas organizações utilizam apps de mensagens, criadas para uma vertente doméstica, em que os colaboradores tiraram partido de funcionalidades como “grupos” ou “salas” para dar seguimento às suas atividades laborais.

E porque é que isto constitui um potencial problema de segurança? A razão não está necessariamente relacionada com a robustez do código entre umas e outras aplicações (embora, por vezes, esteja), mas com uma das mais antigas regras do mundo do cibercrime: quanto maior for a base instalada de uma aplicação/sistema maior é o potencial de retorno perante uma tentativa de ataque.

Este tipo de apps cria o que nós, no mundo da cibersegurança, designamos por “vetores de risco”. A ideia que trazemos aqui não é a de necessariamente erradicar a utilização deste tipo de aplicações do contexto empresarial, uma vez que já vimos que se trata de um processo não apenas inevitável, dada a tendência do BYOD, como também traz consigo alguns benefícios inegáveis.

O que é necessário é termos em consideração que o utilizador é, muitas vezes, ele mesmo um vetor de risco: ou porque não tem cuidado com a proteção do seu dispositivo, com a forma como se liga a uma rede, como acede a recursos remotos… ou porque também não tem muita noção dos perigos de utilizar na empresa as mesmas apps que utiliza no seu dia-a-dia.

Para as empresas, é importante reter a mensagem de que as tecnologias de uso pessoal estão a ser utilizadas numa vertente de trabalho. E isto não aconteceu apenas porque o colaborador utiliza na empresa o mesmo computador/smartphone que comprou para casa, mas sim porque as plataformas e ferramentas que utilizamos a nível pessoal passaram também a fazer parte do “novo normal” das TI nas organizações. Por outras palavras: as vulnerabilidades empresariais são as suas vulnerabilidades – e vice-versa.

Até agora considerávamos que ambos os mundos (pessoal e profissional) se moviam em domínios muito diferentes, concebidos de formas diferentes e para fazer coisas diferentes. Mas, em vez disso, devemos começar a olhar para as  TI pessoais como software empresarial e para o nosso software empresarial como software pessoal.

Cabe às organizações avaliarem todos os vetores de risco e incluírem na sua análise a tecnologia de uso pessoal de forma a garantirem a máxima produtividade e segurança das suas equipas.




Deixe um comentário

O seu email não será publicado