SlideShare uma empresa Scribd logo

Consumerização em TI - Um caminho sem volta

Vicente Vale
Vicente Vale

Este documento discute o conceito de consumerização de TI e seus impactos nas corporações. A consumerização representa a tendência dos usuários escolherem os dispositivos, aplicativos e serviços que usam no trabalho. Isso inverte os papéis entre usuários e TI e quebra a fronteira entre vida profissional e pessoal. Além disso, dispositivos móveis cada vez mais poderosos permitem que os usuários acessem recursos corporativos de qualquer lugar.

Tecnologia
1 de 19
1 Consumerização em TI – Um caminho sem volta Vicente Vale E-mail: vicente@xlogic.com.br Abstract The fact is that with technological advances, the ever-increasing use of IT resources by corporations, the dependency and utilization of these resources as a foundation for sustaining the business, corporations are now increasingly concerned with the security of the data, which created a stigma that the best way to protect yourself was to restrict the maximum access by unauthorized persons and / or malicious, restrict the maximum use of computing devices unknown and / or suspects, as would bring security risk data of the corporation. Only devices approved by the IT staff could have access to corporate data. This concept is current, shared and supported by many professionals and experts in the field of safety, but the proof has been placed, because with the advent of IT Consumerization, many security paradigms are being put back to the table discussion. This article aims to bring conceptual understanding about what is IT Consumerization, what their advantages and disadvantages, which are the best practices and strategies to be adopted to live with it. Resumo É fato que com o avanço tecnológico, a utilização cada vez mais crescente dos recursos de TI (Tecnologia da Informação) por parte das corporações, a dependência e utilização desses recursos como alicerce para sustentação do negócio, as corporações passaram a se preocupar cada vez mais com a segurança desses dados, onde criou-se um estigma de que a melhor forma de se proteger era restringir ao máximo o acesso de pessoas não autorizadas e/ou mal intencionadas, restringir ao máximo a utilização de dispositivos computacionais desconhecidos e/ou suspeitos, pois trariam risco para a segurança dos dados da corporação. Apenas os dispositivos homologados pela Equipe de TI, poderiam ter acesso aos dados da corporação. Este conceito é atual, compartilhado e defendido por grande parte dos profissionais de TI e especialistas da área de segurança, porém tem sido colocada à prova, pois com o surgimento da Consumerização de TI, muitos paradigmas de segurança estão sendo colocados novamente à mesa para uma nova discussão. Este artigo visa trazer o entendimento conceitual sobre o que é Consumerização de TI, o que muda na estratégia, a visão atual das empresas e profissionais de TI dentro e fora do Brasil, os principais desafios encontrados, as melhores práticas e estratégias a serem adotadas para conviver com ela.
2 1. Introdução Em uma avaliação rápida sobre a evolução tecnológica ocorrida nos últimos anos, é possível perceber que a TI (Tecnologia da Informação) passou por uma grande mutação e praticamente se reinventou, trazendo ideias e conceitos novos. Uma das principais mudanças a serem destacadas é a forma como a TI era vista antes e como ela é vista nos dias de hoje. A TI era vista meramente como assistência técnica para resolução reativa de problemas e sem visão ou alinhamento com o negócio ou estratégia da corporação. Hoje, a TI evoluiu de uma orientação tradicional de suporte administrativo para um papel estratégico dentro da organização. “A visão da TI como arma estratégica competitiva tem sido discutida e enfatizada, pois não só sustenta as operações de negócio existentes, mas também permite que se viabilizem novas estratégias empresariais”. (GESTÃO E PRODUÇÃO, 2001). Baseado nesta nova Visão, os gestores das corporações passaram a utilizar cada vez mais os recursos de TI. Essa valorização e o aumento da sua utilização trouxe também uma dependência maior dessas informações, bem como a preocupação com a segurança das mesmas. “A dependência dos sistemas de informação e serviços trazem também o ônus de ter uma preocupação maior com a segurança desses dados, pois estarão suscetíveis às vulnerabilidades e ameaças inerentes de suas aplicações e sistemas operacionais”. (NBR ISSO/IEC 27002). Como consequência, a TI não é apenas “promovida” a uma posição de estratégia dentro da corporação, porém passa também a ser responsabilizada e exigida como provedora de serviços que precisa garantir no mínimo três princípios básicos para segurança da informação: • Confidencialidade - Garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso. • Disponibilidade - garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. • Integridade - salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Sobre essa ótica, a TI passou a adotar controles e mecanismos de segurança para garantir esses princípios, logo os ambientes de TI nas corporações passaram a ser cada vez mais restritivos, onde a TI passou a travar uma batalha diária para cada vez mais implantar controles que possam mitigar ao máximo os riscos para o ambiente e consequentemente para o negócio.
3 A grande questão, é que a TI não parou de se transformar, e agora nos deparamos com mais uma evolução e transformação que traz a reflexão sobre todos os controles e estratégias de segurança adotadas e defendidas até hoje para garantir a segurança nos ambientes de TI das corporações. A Consumerização de TI vem como principal agente causador destas mudanças, questionamentos e quebras de paradigmas e já tem aquecido os principais fóruns de discursões se mostrando como uma preocupação para as grandes corporações. De acordo com o Gartner1, “a Consumerização de TI é um movimento praticamente irreversível” (TI Inside online, 2012). Parte do resultado de um estudo global “Dissipando seis mitos sobre a Consumerização de TI”, realizado pela Wakefield Research, empresa de pesquisas independente, a pedido da Avanade, provedora de soluções de negócios de tecnologia e serviços gerenciados, revela que diante desse cenário, o levantamento, que ouviu com 605 líderes seniores e de TI realizada em 17 países, aponta que investimentos significativos em TI estão sendo feitos para gerenciar essa tendência. Na média, as empresas estão alocando 25% de seu orçamento geral de TI para gerenciar a consumerização e 60% das organizações estão adaptando a infraestrutura de TI para esta nova realidade [AVENAGE 2012]. Ainda de acordo com este estudo, no Brasil a consumerização de TI já é maior do que em muitos países europeus, chegando a 97%, e também é maior quando comparado aos Estados Unidos, com 89%. Segundo a própria Avenage, os aspectos dinâmicos e personalizados das tecnologias de consumo já registraram sua entrada nas empresas, e a TI corporativa, tem a oportunidade de aproveitar essa tendência para promover agilidade nos negócios. A consumerização oferece às organizações um grande potencial para aumentar a produtividade individual e reduzir os custos com tecnologia da informação. Porém, ela também cria riscos de segurança, potencial exposição financeira e um aumento de dores de cabeça operacionais para as organizações. “Este é um dilema que está mantendo muitos gerentes de negócios e profissionais de TI acordados durante a noite”. [MSSTREND, 2012]. Nesta abordagem, este artigo está organizado da seguinte forma: A sessão 1 traz conceitualmente a definição sobre a consumerização e seus principais aspectos sobre o qual é visto pelas corporações e usuários, as principais mudanças no papel dos usuários, na TI e em sua Política de Segurança. Na seção seguinte avaliaremos os principais benefícios da consumerização e seus desafios. 1 Gartner Group é uma empresa de consultoria que desenvolve tecnologias relacionadas a introspecção necessária para seus clientes tomarem suas decisões diariamente (http://www.gartner.com).
4 2. O que é Consumerização de TI? A definição de Consumerização é bastante abrangente, pois envolve diversos segmentos dentro da área de TI. A Microsoft desenvolveu um portal2 trazendo publicações de artigos voltados para o fenômeno da consumerização de TI, onde a mesma define a consumerização como uma tendência crescente de negócios onde os usuários estão fazendo a escolha final sobre os dispositivos, aplicações e serviços que eles usam para fazer seu trabalho. [MICROSOFT, 2012] A Microsoft alerta ainda que o grande desafio para TI seja o de ser capaz de abraçar consumerização avaliando sua adesão onde seja mais apropriado, enquanto que ao mesmo tempo trabalhando para minimizar os riscos de segurança para a empresa e seus dados. Muitos dispositivos mais novos não foram inicialmente projetados para uso empresarial, e um planejamento cuidadoso é necessário para habilitar o nível de gestão e controle que a maioria das empresas exige. [MICROSOFT, 2012] Segundo vídeo publicado no Portal Cooperati3, os autores Vagner Fonseca e Rafael Bernardes avaliam que a Consumerização de TI traz uma grande mudança no cenário de TI, tais como: [COOPERATI, 2012]. • Mudança no papel dos usuários de TI • Quebra da fronteira entre o profissional e o pessoal • Aumento no poder de processamento dos dispositivos móveis • Mudança e quebra de paradigmas nas Políticas de Segurança de TI 2.1 Mudança no papel dos usuários de TI A mudança no papel dos usuários reflete diretamente na inversão de papéis entre os usuários e a TI, onde tínhamos a TI com o papel de definir e homologar todos os equipamentos, softwares e aplicativos a serem utilizados dentro da corporação. A Consumerização traz um novo conceito onde os usuários definem e escolhem os equipamentos que desejam utilizar para acessarem os recursos corporativos e desenvolverem suas atividades. “Vivemos um momento no qual as organizações não estão mais ditando as tecnologias a serem usadas dentro de seu ambiente. Hoje, este movimento ocorre em direção oposta: são os funcionários que estão trazendo seus equipamentos para o trabalho”, diz Paulo Roberto 2 Portal Microsoft: http://www.microsoft.com/pt-br/windows/enterprise/customer- stories/consumerization-of-it.aspx 3 http://www.cooperati.com.br
5 Carvalho, diretor de Negócios de Outsourcing da Unisys na América Latina. “Para controlar o que está ocorrendo dentro de seu domínio, as empresas deveriam estabelecer políticas e definir processos e ferramentas que apoiem esta tendência”. [UNISYS, 2011] Os usuários corporativos de TI deixaram de ser ignorantes sobre tecnologia, muitos são até fascinados pelas mesmas. Por outro lado, as ferramentas tradicionalmente posicionadas para o mercado de consumo são muitas vezes superiores às voltadas para uso profissional [COMPUTERWORLD1, 2012]. Essa inversão de papeis tem sido reforçada com o conceito conhecido como BYOD4, onde os usuários tem a opção de adquirir e levar para o ambiente corporativo seus dispositivos móveis pessoais e utilizá-los para realização de atividades corporativas acessando os dados da empresa. Daniel Albuquerque – Territory Business Manager da Cisco5, afirma que “BYOD representa uma nova perspectiva de suporte a novos dispositivos que não pertencem à empresa, mas que são ferramentas de produtividade para o usuário e que por sua vez gostaria de utilizar no ambiente corporativo”. (CISCO, 2012) 2.2 Quebra da fronteira entre o profissional e o pessoal A dinâmica de trabalho e atividades que as corporações tem vivido, é um fator crucial que contribui para demolição desta fronteira entre o profissional e o pessoal, sobre dois aspectos: Um aspecto é a necessidade cada vez mais que os usuários têm de permanecer online boa parte do tempo para dar um retorno o mais rápido possível para as demandas do cotidiano, pois as corporações exigem cada vez mais essa disponibilidade dos usuários. O segundo aspecto, é a necessidade de se cultivar mesmo que minimamente e na forma virtual a vida social na tentativa de se manter mais próximo dos amigos, familiares e/ou hobbies preferidos utilizando ferramentas como, e-mails, SMS e redes sociais. A consumerização vem como uma válvula de escape e justificativa para ser utilizada como combustível que contribui para queda desta barreira. A definição de um local de trabalho está mudando, e as fronteiras entre vida profissional e pessoal estão sendo redefinidas. Os usuários de TI já não trabalham apenas dentro de seus escritórios, pois muitas vezes necessitam verificar e-mails tarde da noite e atualizar sites pessoais durante o dia. O computador do escritório em muitos casos é 4 Bring Your Own Device - Traga seu próprio dispositivo 5 Informações cedidas pelo Sr. Daniel Albuquerque em conversa pessoalmente após uma visita realizada nas instalações da CISCO Brasil – São Paulo.
6 acompanhado por computadores portáteis, tablets e smartphones pessoais. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Muitos trabalhadores já estão usando seus próprios dispositivos para ter a flexibilidade de trabalhar "fora do expediente", o que pode ser útil para que haja uma melhora na produtividade do usuário, como por exemplo, durante uma viagem. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Quando combinados com a crescente disponibilidade de Wi-Fi de alta velocidade, serviços baseados na nuvem e tecnologias virtuais, estes dispositivos móveis podem facilmente proporcionar um ambiente de negócio flexível, favorecendo a habilidade de trabalhar a qualquer hora, em qualquer lugar. A distinção entre tempo de trabalho e de lazer não é mais ditado pelo horário tradicional das 8 às 17 horas. Em um dispositivo pessoal, os funcionários podem mudar entre tarefas de trabalho e de lazer de maneira contínua, permitindo que trabalhem quando estão mais motivados. [MSSTREND, 2012]. “Pela primeira vez, desde os primórdios da TI, os consumidores experientes e funcionários estão adotando tecnologias mais rapidamente do que as empresas podem absorvê- las”, ressalta Art. Coviello, presidente da RSA, divisão de segurança da EMC. [COMPUTARWORLD3, 2012]. Estudos recentes têm confirmado essa tendência. Por exemplo, um estudo da IDC que a Unisys encomendou descobriu que 40% do tempo que os usuários gastam no seu computador pessoal é realmente para o trabalho. Além disso, 50% do tempo que os usuários passam em seus Computadores portáteis, smartphones ou tablets, também está relacionado com o trabalho [MICROSOFT, ESTRATEGIES, ABRIL 2011]. 2.3 Aumento no poder de processamento dos dispositivos móveis Os dispositivos móveis são considerados como a grande febre tecnológica do momento. O poder de computação já está disponível em uma ampla gama de dispositivos móveis como smartphones e tabletes. Eles estão tão poderosos que já são capazes de executar tipos de aplicações que eram tradicionalmente restritos a computadores desktops e notebooks. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Desde que os computadores deixaram de existir apenas nos grandes Data Centers ou centros de pesquisa e se tornaram uma ferramenta acessível para os usuários, passando a ocupar as mesas das residências e dos escritórios, iniciou-se uma grande evolução e transformação desses dispositivos que entrou em um movimento de miniaturização, trazendo
7 mais facilidade e mobilidade além de tornar esse poder de processamento ao alcance das nossas mãos, literalmente. Liderando o ranking da atualidade o dispositivo da vez é o tablet. Conforme [SAMPAIO, 2010], em 1989 a empresa GRID lançou um computador sem teclado, chamado GridPad. Sua utilização se dava através da tela sensível ao toque, e criou-se então a definição Slate Computer. Porém, para os dias atuais, de acordo com as tendências de design, peso e funcionalidades, alterações foram feitas até a Apple lançar o aclamado iPad. [JUNIOR, 2011] Apesar do iPad, iPod e iPhone da Apple terem influenciado e liderado essa iniciativa para a evolução dos dispositivos móveis, pesquisas apontam que hoje eles não são os mais utilizados pelos usuários em suas atividades nas corporações. A pesquisa mostra que a Apple é um fator no consumo de TI, mas está longe de ser o único na condução desta tendência. Na verdade, o dispositivo de consumo mais popular que os funcionários estão trazendo para a empresa não é um produto da Apple. [AVAGE2,2012]. 2.4 Mudança na Política de Segurança de TI A política de Segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando um papel importante em todas as organizações. A necessidade de estabelecer uma política de segurança é um fato realçado unanimemente em recomendações provenientes tanto do meio militar (Orange Book6) como do meio técnico (HandBook - RFC 21967) e, mais recentemente, do meio empresarial (ISO/IEC 270028). [NAKAMURA, Segurança de Rede] É importante ressaltar que a consumerização não se aplica apenas a invasão dos dispositivos pessoais nos ambientes corporativos, porém vai a muito mais que isso, pois envolve, além da forma como os usuários acessam os dados, como também o que eles passam a acessar com essa facilidade nos dispositivos, como exemplo, o acesso às redes sociais através desses dispositivos que em alguns casos já trazem um pacote de dados que permite o acesso à internet de forma independente. A TI e os gestores de segurança da informação não conseguirão controlar diretamente nem proteger adequadamente os dados da empresa nos próximos anos. O alerta é de 6 Plano sistemático para tratar do Problema Clássico de Segurança, apresentado pelo Departamento de Defesa dos Estados Unidos em em 1977. 7 Guia para o desenvolvimento de políticas de segurança de computadores. 8 Guia padrão de normas com as melhores práticas voltados para segurança da informação.
8 executivos da indústria que participam da Conferência RSA 2012 em São Francisco (EUA) 9. [COMPUTARWORLD3, 2012]. "Precisamos repensar a forma como proteger a empresa", diz Enrique Salem, presidente e CEO da Symantec. “Temos de parar de dizer ‘não’ e tentar formar uma parceria com a nossa comunidade de usuários para permitir o acesso seguro das novas tecnologias e ferramentas de mídia social, afirma Salem o executivo”. Em vez de ter firewalls apenas para evitar a entrada de códigos maliciosos na rede, as empresas devem começar a adicionar controles que possam manter as informações críticas protegidas, disse Salem. [COMPUTARWORLD3, 2012]. Patrícia Tito, diretora de segurança da informação da Symantec, pondera que, embora muitos processos precisem mudar, algumas coisas sobre a segurança da empresa permanecem da mesma forma. "A governança não mudou muito. Eu ainda tenho de manter a cibersegurança básica", como patch e instalação de ferramentas de antivírus. “Esses ingredientes são fundamentais e os gerentes de segurança não devem ignorar tais medidas”, explica Patrícia. “O trabalho de segurança é o mesmo, mas agora temos uma camada adicional de complexidade”, diz Patrícia. A Advogada e especialista em Direito Digital, Patrícia Peck alerta que as novas regras devem informar sobre o conteúdo acessado, políticas de segurança, suporte e atualizações das aplicações, se haverá inspeção dos terminais e as responsabilidades do empregado e da empresa. [CIO, 2012]. Caso a TI constate que o funcionário está infringindo as regras, ao usar, por exemplo, programas piratas, a advogada afirma que a empresa tem o dever de informá-lo e bloquear o acesso do equipamento ao ambiente corporativo se ele não corrigir o problema. [CIO, 2012]. Essa preocupação com a segurança e a necessidade de se manter o controle dentro dos ambientes de TI, motiva cada vez mais as mudanças na política de segurança de TI que agora tem um algo a mais com que se preocupar. Segundo o CIO Ronaldo Ribeiro, da Celulose Nipo-Brasileira S.A. (Cenibra), a adaptação à tendência, minimizando impactos, exige uma revisão na política de segurança nos setores de RH, Jurídico, TI e áreas de negócios. Para Ribeiro, é importante também que haja debates relacionados à legislação em vigor. “É um caminho sem retorno. Precisamos nos 9 http://www.rsaconference.com/events/2012/usa/mightier.htm
9 adaptar rapidamente, pois assim utilizaremos melhor os avanços tecnológicos”, conclui o CIO. [IMASTERS2, 2012]. Em artigo publicado na revista Partnersales10 a advogada Patricia Peck alerta sobre os aspectos legais que devem ser levados em consideração ao adotar a estratégia de Consumerização, onde destacamos alguns pontos mais relevantes a serem observados: • Conteúdos e informações corporativas dentro do dispositivo (Preocupações sobre a obrigação de backup, sigilo, confidencialidade e dever de reportar incidente de eventual perda ou vazamento); • Suporte, atualizações e uso de ferramentas protetivas para garantir segurança da informação (se serão fornecidos pela empresa ou não); • Monitoramento das informações corporativas (se vai usar algum software de Data Loss Prevention?); • Acesso a informações de trabalho a qualquer tempo e de qualquer lugar não configura sobreaviso e hora extra (tem que deixar isso claro); • Responsabilidade do colaborador sobre o conteúdo particular do equipamento (porque pode ter algo que possa ser considerado ilícito, como pirataria de música, filme, jogos, pedofilia). [PARTNERSALES, 2011]. 3. Visão das empresas no cenário local (Bahia e Sergipe) A 5º pesquisa de Segurança da Informação11 desenvolvida por uma empresa baiana nos estados de Bahia e Sergipe traz uma visão sobre o que as empresas em diversos segmentos pensam sobre a consumerização em TI e como elas já se preparam para esta convivência inevitável. Sobre esse aspecto, as empresas dos segmentos de Governo, Comercio, Indústria e Serviço foram abordadas sobre os seguintes temas: • Qual a sua postura pessoal sobre a consumerização de TI em sua empresa? • Quais os controles de segurança já utilizados, e quais você planeja implementar no próximo ano, relacionado especificamente a consumerização de TI na sua empresa? 10 Artigo Aspectos legais da Consumerização publicado em 02/05/2011, na coluna É Legal na edição MAI/2011 – Nº 35. 11 Pesquisa realizada anualmente com inicio em 2006, está na 5º edição. Pesquisa desenvolvida pela Tecnoativa (http://www.tecnoativa.com.br) em parceria com a Sucesso/BA – Associação de Usuários de Informática e Telecomunicações (http://www.sucesu.org.br/).
10 • Qual a situação atual da consumerização de TI em sua empresa? • Com relação à segurança da informação, você acredita que sua organização está: 4. Visão das empresas no cenário Americano A Airtight, fornecedora de soluções de segurança para ambientes WiFi, os resultados de um estudo realizado com 316 profissionais das áreas TI e segurança de redes, com o objetivo de avaliar novas tendências de tecnologia e as ameaças para segurança de redes de empresas de todos os portes. [AIRTIGHNETWORKS1, 2012].
11 5. Desafios O Tsunami da consumerização, e os desafios trazidos por esta ação avassaladora sobre a infraestrutura de TI das corporações, ainda está longe de ser domado. Conforme já vimos nas seções anteriores, ainda há muito que se fazer para adequar a nossa infraestrutura a realiade trazida e imposta pela consumerização. Apesar da perda de sono causada pelas preocupações com a consumerização, os executivos de TI precisam aceitar a tendência como uma transformação inevitável. Eles precisam abraçar a consumerização para aproveitar os benefícios que a acompanha, o que alguns estão chamando de uma revolução tão grande quanto o advento do PC. O risco de lutar contra a consumerização é que o negócio vai consumir tempo e dinheiro e, no final, ser ultrapassado por competidores que são mais flexíveis, progressistas e à frente da concorrência. [MSSTREND, 2012]. Segurança e perda de produtividade ainda são as justificativas mais frequentes para barrar a consumerização “por essas praias”, como constatou Marcelo Landi, country manager da Citrix no Brasil. “Mas o que é mais inseguro: o sujeito que “espeta” um pen drive no PC corporativo ou o que usa um dispositivo pessoal?”, questiona. [TI Inside online2, 2012]. Este fenômeno gerou um dos grandes desafios hoje das áreas de infraestrutura, que é como gerenciar e garantir a segurança de aparelhos diversos que não pertencem à empresa, mas que são empregados na lida corporativa. [TI Inside online1, 2012]. Dentre todos esses temas discutidos e abordados até aqui, destacamos três pontos de fundamental importância, e que merecem uma ação diferenciada. Classificamo-los como alguns dos principais desafios trazidos pelo tsunami, sendo eles:
12 5.1 Como proteger redes corporativas e os dados acessados por smartphones e tablets de propriedade da empresa e dos funcionários De acordo com a Pesquisa de Segurança e Crimes de Computador da CSI, 7% das perdas financeiras totais sofridas por negócios com incidentes de segurança de TI foram relacionados à perda de dados importantes ou confidenciais resultantes de roubo de dispositivos móveis. [MSSTREND, 2012]. Um levantamento mundial realizado pelo Ponemon Institute traz um dado alarmante: 77% das empresas admitem que ocorreu vazamento de dados no último ano, por conta de algum tipo de incidente. A principal causa citada para isso é a perda ou o roubo de equipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 e e-mails enviados para remetentes errados. [PERALLIS, 2011]. “As plataformas móveis atuais colocam muito poder e informação nas mãos do usuário final. Isso abre as portas para o roubo e perda de dados”, afirma John McCormack, presidente da Websense. “Com a adoção em grande escala de dispositivos móveis e mais funcionários trazendo seus próprios smartphones e tablets para o trabalho, os desafios são maiores do que nunca”. As empresas precisam proteger os dados imediatamente, e precisam estabelecer e fiscalizar as práticas e políticas de segurança. [AGREGARIO, 2012] Prevenir a perda de dados pelo reforço da política restritiva de acesso dos dispositivos limita o risco de incidentes de perda de dados. A capacidade de limpar remotamente todo o conteúdo de um dispositivo perdido/roubado não só protege os dados no dispositivo, mas também ajuda a atender aos requisitos de conformidade evitando a divulgação de uma violação de dados, o que causaria um grande impacto na reputação da organização. [MSSTREND, 2012]. Uma alternativa viável para auxiliar no controle dos dados, com o objetivo de evitar o vazamento desses dados armazenados nos dispositivos é adotar uma solução de DLP – Data Loss Prevention (Prevenção contra perda de dados). Ainda segundo a [AGREGARIO, 2012], a Websense desenvolveu uma solução de gerenciamento de segurança para proteção contra vazamento de informações que oferece controles para prevenir a perda de dados em qualquer dispositivo. Conteúdos de e-mail e anexos considerados de alto risco para acesso e armazenamento a partir do dispositivo móvel são substituídos por uma notificação de e-mail configurada pelo administrador.
13 A Symantec também traz uma ferramenta que promete ajudará os CISOs a monitorar e controlar a transmissão de dados confidenciais a partir dos dispositivos móveis sem restringir o acesso dos usuários aos aplicativos. “O uso crescente de dispositivos móveis para uso pessoal e profissional fez crescer o desafio de organizações e indivíduos obterem um nível confortável de controle. Como o número de dispositivos móveis continua subindo e exigindo mais da área de TI, cresce enormemente a necessidade das organizações protegerem e gerenciarem esses dispositivos e as informações neles contidas”, disse Stephen Drake, vice-presidente do programa de Mobilidade & Telecom do IDC. [SYMANTEC, 2012]. 5.2 Como gerenciar o acesso ao conteúdo corporativo do uso pessoal em dispositivos dos funcionários com acesso à rede. Aceitando o desafio da consumerização de TI, as organizações podem manter seus funcionários felizes, economizar dinheiro e dar ao seu departamento de TI alguma esperança de ficar a par de quais dispositivos estão sendo usados e como. [MSSTREND, 2012]. Ainda segundo a Trend, Muitas organizações estão abordando os desafios da consumerização com um enfoque de três níveis de dispositivos que se diferenciam de acordo com a forma com que são gerenciados pela área de TI: • Dispositivos não gerenciados (Dispositivos de propriedade dos funcionários, com funcionalidades básicas de segurança, têm acesso a webmail, mas não a aplicativos de negócios). • Dispositivos levemente gerenciados (Dispositivos de propriedade dos funcionários sujeitos aos requisitos de segurança e gerenciamento. Têm acesso ao e-mail corporativo, calendários e intranet, mas acesso limitado a aplicativos de negócios e continuam a rodar muitos aplicativos pessoais). • Dispositivos totalmente gerenciados (Dispositivos de propriedade da empresa, com funções completas de segurança e MDM e suportadas pela área de TI e Helpdesk. Têm acesso total a mensagens corporativas, calendário e aplicações de negócio e poucos, ou nenhum, aplicativo pessoal instalado). Utilizando como base esta segregação e classificação, a escolha e implantação de uma solução que auxilie nesse gerenciamento torna-se uma tarefa muito mais simples. Como solução
14 mais comum para auxiliar nesta administração, existem soluções de softwares conhecidas com MDM - Mobile Device Management (Gerencia de Dispositivos móveis). Essas soluções hoje são disputadas por players que vão de empresas como SAP e IBM, que têm plataformas de Mobile Device Management (MDM), a integradores de mobilidade e desenvolvedores de aplicativos, e, como não poderia deixar de ser, os fornecedores da área de segurança. Como o aparelho pertence ao funcionário, é preciso adaptar as políticas como, por exemplo, ao invés de bloquear os usos indevidos totalmente, fazer isso somente quando o funcionário está na empresa. [TI Inside online1, 2012]. Por isso a importância da classificação dos níveis de dispositivos. O CEO da Navita, Roberto Dariva, concorda: "temos de tratar computadores e dispositivos móveis da mesma forma, e isso não acontece hoje. As empresas precisam ter controle dos dispositivos que acessam suas informações, com ferramentas que permitam bloquear, rastrear e apagar esses dados críticos remotamente". Segundo Dariva, a principal ameaça está naqueles usuários que instalam aplicativos piratas em seus smartphones e tablets. "Quando aplicativos pagos são reempacotados e comercializados em lojas ilegais, muitas vezes trazem consigo um código malicioso", explica o executivo da Navita. [MOBILETIME, 2011]. Para o diretor de serviços profissionais para a América Latina da F-Secure, Alexandre Lima, além de uma política de segurança e de ferramentas que permitam bloquear e apagar as informações de um dispositivo, é preciso combiná-las com uma solução de backup em nuvem, para que nada seja perdido. [MOBILETIME, 2011]. A grande vantagem de ter uma ferramenta de MDM são os recursos de gerenciamento e segurança que elas oferecem, onde as mais importantes e indispensáveis para apoiar o gerenciamento e a manutenção de um ambiente seguro são: • Proteção contra ameaças web, malware móvel e aplicativos móveis maliciosos; • Firewall de dispositivo; • Controle de aplicativos; • Controle de dispositivos; • Gerenciamento centralizado; • Aplicação de senhas no dispositivo; • Criptografia dos dados armazenados no dispositivo.
15 5.3 Como restringir ou controlar o acesso à rede para que apenas pessoas/dispositivos autorizadas tenha acesso. Baseado na aplicação e utilização do conceito de níveis de dispositivo, enfrentamos outro desafio, que é controlar quem deve ou não ter acesso a rede da empresa. Para implantação deste tipo de controle, uma solução bastante interessante e que vale a pena analisar é a utilização do NAC – Network Acess Control. Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones e smartphones Android para fins comerciais, vai estimular o renascimento do NAC. Segundo a consultoria, o momento é ideal para o ressurgimento desse conceito por causa da necessidade de abraçar a consumerização com medidas de segurança. [IDGNOW, 2012]. Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC começou há cerca de 10 anos, com aprovação modesta, principalmente por instituições financeiras e universidades para garantir a segurança de sistemas críticos. Agora o NAC promete deslanchar casado com outra sigla que está se tornando conhecida no mundo corporativo: Mobile Device Managment (MDM), que é o gerenciamento de dispositivos móveis dentro das companhias. [IDGNOW, 2012]. O grande objetivo das soluções de NAC é fornecer controle de acesso à rede, baseado em políticas de segurança definidas previamente pelo gestor de TI. A solução de NAC permite ao administrador de rede criar regras de segurança que lhe possibilitem identificar e verificar o status dos seus clientes e baseado em suas configurações tomar ações alocando um determinado segmento de rede, uma acl e/ou uma faixa de IP específica. Com o NAC é possível definir um conjunto de regras a serem verificadas e permitir o acesso à rede somente se o dispositivo estiver compliance com as configurações definidas. Para esclarecimento maior sobre como a solução de NAC pode ajudar a empresa que adota a consumerização de TI, é possível imaginar um exemplo prático, onde um diretor ou colaborador de uma instituição possui um blackberry corporativo, iPhone pessoal, iPad e seu notebook pessoal e deseja ter acesso a rede corporativa e dados da empresa. Com a solução de NAC implantada em uma corporação, é possível criar regras que permitam verificar a situação de cada dispositivo e aplicar configurações diferentes para cada um deles, como por exemplo: para o blackberry corporativo permitir acesso aos sistemas e dados da empresa, para o iPhone e iPad pessoal direcioná-lo para uma vlan especifica de dispositivos móveis que permite acesso apenas a internet com liberação aos sites como redes sociais restringido por cotas de tempo de
16 acesso ou horário de acesso. Ao notebook, verificar o status de atualização do antivírus, sistema operacional etc de acordo com a lista de compliance definida a ser verificada, aloca-lo em uma vlan especifica para notebooks e permitir o acesso aos servidores e dados corporativos. Caso o dispositivo não esteja compliance o mesmo poderá ser direcionado para uma vlan especifica com acesso apenas a sites de fabricantes com as atualizações e patchs de segurança. Todas as ações e parametrizações a serem utilizadas em uma solução de NAC, devem estar de acordo com as normas e politicas de segurança definida pela corporação. 6. Conclusão Visto que a consumerização de TI já é uma realidade presente nos dias atuais, o gestor de TI já entende a necessidade e importância de conviver com esta situação. Entende-se que a consumerização de TI hoje já é um caminho sem volta, onde a melhor solução é desenvolver mecanismos e métodos de segurança para garanti a proteção baseado na informação e não no diapositivo ou no meio/forma de acesso. Seguindo os conceitos dos três pilares básicos de segurança em TI (Tecnologia, pessoas e processos) é imprescindível ter políticas de segurança de TI bem definidas e homologadas pela diretoria (processos), é fundamental a utilização de ferramentas de segurança como o NAC, DLP e MDM para apoio e gerencia do ambiente e da informação (Tecnologia), e finalmente criar a cultura de treinar e conscientizar os usuários e clientes dos serviços de TI da corporação para que seja possível uma utilização mais consciente dos recursos (pessoas). Desta forma, será possível mitigar os riscos de ter problemas de segurança com o ambiente por conta da consumerização, além de maximizar e potencializar os benefícios que a consumerização traz para a corporação convertendo isso em benefícios e resultados estratégicos vivos e palpáveis para os gestores, visto que hoje a TI tem se tornado cada vez mais estratégica no negócio. 7. Referências Bibliográficas [NBR ISSO/IEC 27002] ABNT, NBR ISO/IEC 27002. Tecnologia da informação - Técnicas de segurança –Código de prática para a gestão da segurança da informação. ABNT, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT, Rio de Janeiro. Normas ABNT sobre documentação. Rio de Janeiro, 2000. (Coletânea de normas).
17 [NAKAMURA, Segurança de Rede] NAKAMURA, Emilio Tissato e GEUS, Paulo Lício. Segurança de Redes Em Ambientes Cooperativos:Fundamentos, Técnicas, Tecnologia e Estratégias. São Paulo: Novatecc, 2010. [COMPUTERWORLD2,2012] Computerworld.Consumerização Traz de volta a idéia de controle de acesso a rede. Publicado em http://www.computerworld.com.pt/2012/05/14/consumerizacao- traz-de-volta-ideia-de-controlo-do-acesso-a-rede/. Acessado em 15/07/2012. [UNISYS, 2011] Estudo revela crescente uso de dispositivos móveis nas organizações brasileiras. Publicado em http://www.unisys.com/unisys/countrysite/news/index.jsp;jsessionid= 8EA5527DDAB4902916EDFECB357635B2?cid=300002&id=3300105. Acessado em 15/07/2012 [JUNIOR, 2011] Consumerização e a continuidade do negócio. Publicado em http://www.infoedu cativa.animercado.net/index.asp?page=artigo&id=929. Acessado em 15/07/2012. [COOPERATI, 2012] Publicado em http://www.cooperati.com.br/wordpress/2012/05/07/videocast 09-consumerizao-o-que-isso/. Acessado em 15/07/2012. [AVAGE2,2012] Global Survey: Dispelling Six Myths of Consumerization of IT. Disponível em http://www.avanade.com/Documents/Resources/consumerization-of-it-executive-summary.pdf. Acessado em 16/07/2012. [SAMPAIO, 2010] A história dos Tablets. Disponível em http://www.tecmundo.com.br/3624-a- historia-dos-tablets.htm. Acessado em 29/07/2012. [MICROSOFT, 2012] Consumerização de TI. Disponível em http://www.microsoft.com/pt- br/windows/enterprise/customer-stories/consumerization-of-it.aspx. Acessado em 15/07/2012. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Strategies for Embracing Consumerization. Disponível em http://download.microsoft.com/download/E/F/5/EF5F8B95-5E27-4CDB-860F- F982E5B714B0/Strategies%20for%20Embracing%20Consumerization.pdf. Acessado em 15/07/2012 [TI Inside online1, 2012] MDM Nasce nova categoria de software e serviço. Disponível em http://www.tiinside.com.br/12/07/2012/mdm-nasce-nova-categoria-de-software-e-servico/ti/ 288264/revista.aspx. Acessado em 21/07/2012 . [COMPUTERWORLD4, 2012]. Companhias investem emgereciamento da consumerização. Disponível em http://computerworld.uol.com.br/tecnologia/2012/01/26/companhias-investem-no- gerenciamento-da-consumerizacao/IDGNoticiaPrint_view. Acessado 21/07/2012. [COMPUTERWORLD1, 2012] Sete verdades sobre Consumerização de TI. Publicado em http://computerworld.uol.com.br/gestao/2012/01/24/sete-verdades-sobre-consumerizacao-da-
18 ti/IDGNoticiaPrint_view Acessado em 21/07/2012. [COMPUTERWORLD5, 2012] Preocupações com os riscos da consumerização ainda ronda as empresas. Disponível em http://computerworld.uol.com.br/gestao/2012/01/16/preocupacao-com- riscos-da-consumerizacao-ainda-ronda-empresas/IDGNoticiaPrint_view Acessado em 21/07/2012. Acessado em 21/07/2012. [COMPUTERWORLD6, 2011] Beneficios e desafios da estratégia de consumerização. Publicado em http://computerworld.uol.com.br/tecnologia/2011/12/22/beneficios-e-desafios-da-estrategia- de-consumerizacao/IDGNoticiaPrint_view. Acessado em 21/07/2012 [COMPUTERWORLD7, 2011] Chegou ahora de pensa em estratégias de consumerização. Publicado em http://computerworld.uol.com.br/gestao/2011/12/21/chegou-a-hora-de-pensar-em- estrategias-de-consumerizacao/IDGNoticiaPrint_view Acessado em 21/07/2012 [AVENAGE1,2012] Relarório de pesquisa sbre os mitos da consumerização de TI. Publicado em http://www.avanade.com/pt-br/about/avanade-news/press-releases/Documents/Avanade_PR_ CoIT_Brazil_Ptg.pdf. Acessado em 21/07/2012. [GESTÃO E PRODUÇÃO, 2001] O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NA ESTRATÉGIA DAS ORGANIZAÇÕES. Publicado em http://www.scielo.br /pdf/gp/v8n2/v8n2a04. Acessado em 26/07/2012 [PESQUISA AVANAGE, 2012] Onsumerization of it. Publicado em http://www.avanade.com/pt- br/approach/research/pages/consumerization-of-it.aspx. Acessado em 26/07/2012 [IMASTERS, 2012] O Fenomeno do BYOD dentro das empresas de Ti. Publicado em http://imasters.com.br/artigo/24758/cloud/o-fenomeno-byod-dentro-das-empresas-de-ti. Acessado em 26/07/2012 [IMASTERS2, 2012] Crescimento da consumerização nas empresas revela necessidades de adaptações. Publicado em http://imasters.com.br/noticia/24843/tendencias/crescimento-da- consumerizacao-nas-empresas-revela-necessidade-de-adaptacoes. Acessado em 03/08/2012. [COMPUTARWORLD3, 2012] TI tem que mudar politicas de segurança. Publicado em http://computerworld.uol.com.br/seguranca/2012/03/01/ti-tem-que-mudar-politicas-de-seguranca/ Acessado em 29/07/2012 [CIO, 2012] Patricia Peck avisa aos CIOS. Publicado Gestores que é preciso regular http://cio.uol.com.br/gestao/2012/05/27/patricia-peck-avisa-os-cios-e-preciso-regular- consumerizacao/ Acessado em 06/08
19 [PARTNERSALES, 2011] Aspectos legais da consumerização. Publicado em http://www.partnersales.com.br/artigo/368/aspectos-legais-da-consumerizacao. Acessado em 06/08. [TI Inside online2, 2012] Consumerização: Entenda-a u seja devorado. Publicado em http://www.tiinside.com.br/22/04/2012/consumerizacao-entenda-a-ou-seja-devorado-/ti/274097/ revista.aspx. Acessado em 06/08/2012. [MSSTREND, 2012] Mobile Security – Trend Mcicro. Publicado em http://br.trendmicro.com/imperia/md/content/br/products_enterprise/mobile-security/110808- mobile-security-solution-brief__3_.pdf. Acessado em 06/08/12 [REFRESCANTE, 2012] Presquisa de mercado – Consumerização em TI. Publicado em http://refrescante.com.br/pesquisa-indica-que-43-das-empresas-no-brasil-admitem-perda-de- dados-pelo-uso-pouco-seguro-de-dispositivos-moveis.html. Acessado em 06/08/2012. [PERALLIS, 2011] Empresas tiveram vazamento de dados no umtimo ano. http://www.perallis.com/news/77-das-empresas-tiveram-vazamento-de-dados-no-ultimo-ano- mostra-estudo. Acessado em 06/08/2012. [AIRTIGHNETWORKS1, 2012] Air Tight Byoud Survey. Publicado em http://www.airtightnetworks.com/fileadmin/pdf/AirTight-BYOD-Survey-April-2012.pdf. Acessado em 06/08/2012. [AGREGARIO, 2012] Mudanças de conceito em segurança móvel - Websense. Publicado em http://agregario.com/websense-redefine-seguranca-movel-combinando-principal-solucao- mercado-seguranca-web-dados-gerenciamento-dispositivos. Acessado em 06/08/2012. [SYMANTEC, 2012]. Aprimoramento de segurança na mobilidade corporativa. Publicado em http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20120510_01. Acessado em 06/08/2012. [MOBILETIME, 2011] Não existe sistema operacional imune a riscos – Karpesky Labs. Publicado em http://www.mobiletime.com.br/27/09/2011/nao-existe-sistema-operacional-movel-imune-a- riscos-alerta-kaspersky/241960/news.aspx. Acessado em 07/08/2012. [IDGNOW, 2012] Consumerização traz de volda a ideia de NAC. Publicado em http://idgnow.uol.com.br/ti-corporativa/2012/05/10/consumerizacao-traz-de-volta-ideia-de- controle-de-acesso-a-rede/. Acessado em 07/08/2012.

Recomendados

Fast IT Full Study Findings, Portuguese
Fast IT Full Study Findings, PortugueseFast IT Full Study Findings, Portuguese
Fast IT Full Study Findings, PortugueseFelipe Lamus
 
Empresa digital
Empresa digitalEmpresa digital
Empresa digitalÉder Britto
 
Impact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brImpact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brCisco do Brasil
 
A Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilA Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilCisco do Brasil
 
Decifra-me ou te Devoro: Mobilidade e a Segurança da Informação
Decifra-me ou te Devoro: Mobilidade e a Segurança da InformaçãoDecifra-me ou te Devoro: Mobilidade e a Segurança da Informação
Decifra-me ou te Devoro: Mobilidade e a Segurança da InformaçãoVirtù Tecnológica
 
Tendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoTendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoMaico Pitol
 
Impacto da Nuvem sobre os Modelos de Consumo de TI
Impacto da Nuvem sobre os Modelos de Consumo de TIImpacto da Nuvem sobre os Modelos de Consumo de TI
Impacto da Nuvem sobre os Modelos de Consumo de TICisco do Brasil
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 

Recomendados

Fast IT Full Study Findings, Portuguese
Fast IT Full Study Findings, PortugueseFast IT Full Study Findings, Portuguese
Fast IT Full Study Findings, PortugueseFelipe Lamus
 
Empresa digital
Empresa digitalEmpresa digital
Empresa digitalÉder Britto
 
Impact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brImpact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brCisco do Brasil
 
A Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilA Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilCisco do Brasil
 
Decifra-me ou te Devoro: Mobilidade e a Segurança da Informação
Decifra-me ou te Devoro: Mobilidade e a Segurança da InformaçãoDecifra-me ou te Devoro: Mobilidade e a Segurança da Informação
Decifra-me ou te Devoro: Mobilidade e a Segurança da InformaçãoVirtù Tecnológica
 
Tendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoTendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoMaico Pitol
 
Impacto da Nuvem sobre os Modelos de Consumo de TI
Impacto da Nuvem sobre os Modelos de Consumo de TIImpacto da Nuvem sobre os Modelos de Consumo de TI
Impacto da Nuvem sobre os Modelos de Consumo de TICisco do Brasil
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
Aval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_ptAval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_ptTomSlick
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRICARDO GARCIA GIORDANO
 
Infra-estrutura sob controle
Infra-estrutura sob controleInfra-estrutura sob controle
Infra-estrutura sob controleRobson Silva Espig
 
Expandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECMExpandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECMWaldir Rodrigues Júnior
 
Mobilize magazine ed.1
Mobilize magazine ed.1Mobilize magazine ed.1
Mobilize magazine ed.1Cisco do Brasil
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYODMicrosoft
 
Pesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwcPesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwcDavid de Assis
 
INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017Miguel Reis
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policiesErick Toledo (ET)
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
OESP_Pg5_1115
OESP_Pg5_1115OESP_Pg5_1115
OESP_Pg5_1115BSD Certification Group
 
Risk Report
Risk ReportRisk Report
Risk ReportGabriela Makhoul
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Cloud Computing Com Lte
Cloud Computing Com LteCloud Computing Com Lte
Cloud Computing Com LteAlcino PINHEIRO
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriaisInternet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriaisAraújo Kambangula
 
How to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPadHow to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPadBenjamin Requiero
 
Conacyt
ConacytConacyt
Conacytjackeline97
 
Conacyt
ConacytConacyt
Conacytjackeline97
 
Tabulacion y analisis cerveza
Tabulacion y analisis cervezaTabulacion y analisis cerveza
Tabulacion y analisis cervezaDocente León Agudelo (Instituto Asys- CUR CAT ORIENTE) Rionegro Antioquia Colombia
 

Mais conteúdo relacionado

Mais procurados

Aval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_ptAval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_ptTomSlick
 
Expandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECMExpandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECMWaldir Rodrigues Júnior
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYODMicrosoft
 
Pesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwcPesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwcDavid de Assis
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriaisInternet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriaisAraújo Kambangula
 

Mais procurados (18)

Aval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_ptAval31394 trend advisorpdf_pt
Aval31394 trend advisorpdf_pt
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da Cisco
 
Infra-estrutura sob controle
Infra-estrutura sob controleInfra-estrutura sob controle
Infra-estrutura sob controle
 
Expandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECMExpandindo o controle da informação além do ECM
Expandindo o controle da informação além do ECM
 
Mobilize magazine ed.1
Mobilize magazine ed.1Mobilize magazine ed.1
Mobilize magazine ed.1
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYOD
 
Pesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwcPesquisa global de segurança da informação 2013 pwc
Pesquisa global de segurança da informação 2013 pwc
 
INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
OESP_Pg5_1115
OESP_Pg5_1115OESP_Pg5_1115
OESP_Pg5_1115
 
Risk Report
Risk ReportRisk Report
Risk Report
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Cloud Computing Com Lte
Cloud Computing Com LteCloud Computing Com Lte
Cloud Computing Com Lte
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
 
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriaisInternet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
Internet of things_(io_t)_e_as_profundas_modificacoes_nos_processos_industriais
 

Destaque

How to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPadHow to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPadBenjamin Requiero
 
Tendências do Byod nas Organizações
Tendências do Byod nas OrganizaçõesTendências do Byod nas Organizações
Tendências do Byod nas OrganizaçõesMaico Pitol
 
20100527 aplicació del pmbok al_verde_eva_lópez_doval
20100527 aplicació del pmbok al_verde_eva_lópez_doval20100527 aplicació del pmbok al_verde_eva_lópez_doval
20100527 aplicació del pmbok al_verde_eva_lópez_dovalRamon Costa i Pujol
 
Marchés et règles
Marchés et règlesMarchés et règles
Marchés et règlessadmaximus
 
Métricas de control y efectividad de la innovación
Métricas de control y efectividad de la innovaciónMétricas de control y efectividad de la innovación
Métricas de control y efectividad de la innovaciónClub de Innovación
 
Analisis de contratos
Analisis de contratosAnalisis de contratos
Analisis de contratosSindy Salazar
 
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...Clara López Obregón
 
Guia pensamiento critico
Guia pensamiento criticoGuia pensamiento critico
Guia pensamiento criticoProfessor
 
Estimación de Resultados
Estimación de ResultadosEstimación de Resultados
Estimación de ResultadosSusy Amaya
 

Destaque (20)

How to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPadHow to Reset and Redeem Apps on Student iPad
How to Reset and Redeem Apps on Student iPad
 
Conacyt
ConacytConacyt
Conacyt
 
Conacyt
ConacytConacyt
Conacyt
 
Tabulacion y analisis cerveza
Tabulacion y analisis cervezaTabulacion y analisis cerveza
Tabulacion y analisis cerveza
 
Tendências do Byod nas Organizações
Tendências do Byod nas OrganizaçõesTendências do Byod nas Organizações
Tendências do Byod nas Organizações
 
Proyeccion isometrica
Proyeccion isometricaProyeccion isometrica
Proyeccion isometrica
 
tesis
tesistesis
tesis
 
Trastornos emocionales
Trastornos emocionalesTrastornos emocionales
Trastornos emocionales
 
Qué es una norma jurídica
Qué es una norma jurídicaQué es una norma jurídica
Qué es una norma jurídica
 
Portafolio modulo 1- grupo psicokine - UST
Portafolio modulo 1- grupo psicokine - USTPortafolio modulo 1- grupo psicokine - UST
Portafolio modulo 1- grupo psicokine - UST
 
Unidad 2 is
Unidad 2 isUnidad 2 is
Unidad 2 is
 
20100527 aplicació del pmbok al_verde_eva_lópez_doval
20100527 aplicació del pmbok al_verde_eva_lópez_doval20100527 aplicació del pmbok al_verde_eva_lópez_doval
20100527 aplicació del pmbok al_verde_eva_lópez_doval
 
Marchés et règles
Marchés et règlesMarchés et règles
Marchés et règles
 
Métricas de control y efectividad de la innovación
Métricas de control y efectividad de la innovaciónMétricas de control y efectividad de la innovación
Métricas de control y efectividad de la innovación
 
Analisis de contratos
Analisis de contratosAnalisis de contratos
Analisis de contratos
 
Tsp
TspTsp
Tsp
 
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...
Secretaría Distrital de Gobierno, Seguridad y Convivencia, Bogotá D.C. | Pres...
 
Sistemas de costos
Sistemas de costosSistemas de costos
Sistemas de costos
 
Guia pensamiento critico
Guia pensamiento criticoGuia pensamiento critico
Guia pensamiento critico
 
Estimación de Resultados
Estimación de ResultadosEstimación de Resultados
Estimación de Resultados
 

Semelhante a Consumerização em TI - Um caminho sem volta

Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Aplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresasAplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresasGuilherme
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Revista Cisco Live ed 25 oficial
Revista Cisco Live ed 25 oficialRevista Cisco Live ed 25 oficial
Revista Cisco Live ed 25 oficialCisco do Brasil
 
Trabalho informatica
Trabalho informaticaTrabalho informatica
Trabalho informaticaAlex Santana
 
Seminário Big Data, 19/05/2014 - Apresentação Afonso Coelho
Seminário Big Data, 19/05/2014 - Apresentação Afonso CoelhoSeminário Big Data, 19/05/2014 - Apresentação Afonso Coelho
Seminário Big Data, 19/05/2014 - Apresentação Afonso CoelhoFecomercioSP
 
Trabalho tecnologia da informação, TI
Trabalho tecnologia da informação, TITrabalho tecnologia da informação, TI
Trabalho tecnologia da informação, TIDANILLO RIBEIRO CUNHA
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...bestwinc
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
 
White Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesWhite Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesFelipe Lamus
 
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Cisco do Brasil
 

Semelhante a Consumerização em TI - Um caminho sem volta (20)

Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Aplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresasAplicação da governança em ti nas micro empresas
Aplicação da governança em ti nas micro empresas
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
MJV Trends - Tendências em TI 2020
MJV Trends - Tendências em TI 2020MJV Trends - Tendências em TI 2020
MJV Trends - Tendências em TI 2020
 
Revista Cisco Live ed 25 oficial
Revista Cisco Live ed 25 oficialRevista Cisco Live ed 25 oficial
Revista Cisco Live ed 25 oficial
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Trabalho informatica
Trabalho informaticaTrabalho informatica
Trabalho informatica
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Seminário Big Data, 19/05/2014 - Apresentação Afonso Coelho
Seminário Big Data, 19/05/2014 - Apresentação Afonso CoelhoSeminário Big Data, 19/05/2014 - Apresentação Afonso Coelho
Seminário Big Data, 19/05/2014 - Apresentação Afonso Coelho
 
Trabalho tecnologia da informação, TI
Trabalho tecnologia da informação, TITrabalho tecnologia da informação, TI
Trabalho tecnologia da informação, TI
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geração
 
White Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesWhite Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan Portugues
 
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
 

Consumerização em TI - Um caminho sem volta

  • 1. 1 Consumerização em TI – Um caminho sem volta Vicente Vale E-mail: vicente@xlogic.com.br Abstract The fact is that with technological advances, the ever-increasing use of IT resources by corporations, the dependency and utilization of these resources as a foundation for sustaining the business, corporations are now increasingly concerned with the security of the data, which created a stigma that the best way to protect yourself was to restrict the maximum access by unauthorized persons and / or malicious, restrict the maximum use of computing devices unknown and / or suspects, as would bring security risk data of the corporation. Only devices approved by the IT staff could have access to corporate data. This concept is current, shared and supported by many professionals and experts in the field of safety, but the proof has been placed, because with the advent of IT Consumerization, many security paradigms are being put back to the table discussion. This article aims to bring conceptual understanding about what is IT Consumerization, what their advantages and disadvantages, which are the best practices and strategies to be adopted to live with it. Resumo É fato que com o avanço tecnológico, a utilização cada vez mais crescente dos recursos de TI (Tecnologia da Informação) por parte das corporações, a dependência e utilização desses recursos como alicerce para sustentação do negócio, as corporações passaram a se preocupar cada vez mais com a segurança desses dados, onde criou-se um estigma de que a melhor forma de se proteger era restringir ao máximo o acesso de pessoas não autorizadas e/ou mal intencionadas, restringir ao máximo a utilização de dispositivos computacionais desconhecidos e/ou suspeitos, pois trariam risco para a segurança dos dados da corporação. Apenas os dispositivos homologados pela Equipe de TI, poderiam ter acesso aos dados da corporação. Este conceito é atual, compartilhado e defendido por grande parte dos profissionais de TI e especialistas da área de segurança, porém tem sido colocada à prova, pois com o surgimento da Consumerização de TI, muitos paradigmas de segurança estão sendo colocados novamente à mesa para uma nova discussão. Este artigo visa trazer o entendimento conceitual sobre o que é Consumerização de TI, o que muda na estratégia, a visão atual das empresas e profissionais de TI dentro e fora do Brasil, os principais desafios encontrados, as melhores práticas e estratégias a serem adotadas para conviver com ela.
  • 2. 2 1. Introdução Em uma avaliação rápida sobre a evolução tecnológica ocorrida nos últimos anos, é possível perceber que a TI (Tecnologia da Informação) passou por uma grande mutação e praticamente se reinventou, trazendo ideias e conceitos novos. Uma das principais mudanças a serem destacadas é a forma como a TI era vista antes e como ela é vista nos dias de hoje. A TI era vista meramente como assistência técnica para resolução reativa de problemas e sem visão ou alinhamento com o negócio ou estratégia da corporação. Hoje, a TI evoluiu de uma orientação tradicional de suporte administrativo para um papel estratégico dentro da organização. “A visão da TI como arma estratégica competitiva tem sido discutida e enfatizada, pois não só sustenta as operações de negócio existentes, mas também permite que se viabilizem novas estratégias empresariais”. (GESTÃO E PRODUÇÃO, 2001). Baseado nesta nova Visão, os gestores das corporações passaram a utilizar cada vez mais os recursos de TI. Essa valorização e o aumento da sua utilização trouxe também uma dependência maior dessas informações, bem como a preocupação com a segurança das mesmas. “A dependência dos sistemas de informação e serviços trazem também o ônus de ter uma preocupação maior com a segurança desses dados, pois estarão suscetíveis às vulnerabilidades e ameaças inerentes de suas aplicações e sistemas operacionais”. (NBR ISSO/IEC 27002). Como consequência, a TI não é apenas “promovida” a uma posição de estratégia dentro da corporação, porém passa também a ser responsabilizada e exigida como provedora de serviços que precisa garantir no mínimo três princípios básicos para segurança da informação: • Confidencialidade - Garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso. • Disponibilidade - garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. • Integridade - salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Sobre essa ótica, a TI passou a adotar controles e mecanismos de segurança para garantir esses princípios, logo os ambientes de TI nas corporações passaram a ser cada vez mais restritivos, onde a TI passou a travar uma batalha diária para cada vez mais implantar controles que possam mitigar ao máximo os riscos para o ambiente e consequentemente para o negócio.
  • 3. 3 A grande questão, é que a TI não parou de se transformar, e agora nos deparamos com mais uma evolução e transformação que traz a reflexão sobre todos os controles e estratégias de segurança adotadas e defendidas até hoje para garantir a segurança nos ambientes de TI das corporações. A Consumerização de TI vem como principal agente causador destas mudanças, questionamentos e quebras de paradigmas e já tem aquecido os principais fóruns de discursões se mostrando como uma preocupação para as grandes corporações. De acordo com o Gartner1, “a Consumerização de TI é um movimento praticamente irreversível” (TI Inside online, 2012). Parte do resultado de um estudo global “Dissipando seis mitos sobre a Consumerização de TI”, realizado pela Wakefield Research, empresa de pesquisas independente, a pedido da Avanade, provedora de soluções de negócios de tecnologia e serviços gerenciados, revela que diante desse cenário, o levantamento, que ouviu com 605 líderes seniores e de TI realizada em 17 países, aponta que investimentos significativos em TI estão sendo feitos para gerenciar essa tendência. Na média, as empresas estão alocando 25% de seu orçamento geral de TI para gerenciar a consumerização e 60% das organizações estão adaptando a infraestrutura de TI para esta nova realidade [AVENAGE 2012]. Ainda de acordo com este estudo, no Brasil a consumerização de TI já é maior do que em muitos países europeus, chegando a 97%, e também é maior quando comparado aos Estados Unidos, com 89%. Segundo a própria Avenage, os aspectos dinâmicos e personalizados das tecnologias de consumo já registraram sua entrada nas empresas, e a TI corporativa, tem a oportunidade de aproveitar essa tendência para promover agilidade nos negócios. A consumerização oferece às organizações um grande potencial para aumentar a produtividade individual e reduzir os custos com tecnologia da informação. Porém, ela também cria riscos de segurança, potencial exposição financeira e um aumento de dores de cabeça operacionais para as organizações. “Este é um dilema que está mantendo muitos gerentes de negócios e profissionais de TI acordados durante a noite”. [MSSTREND, 2012]. Nesta abordagem, este artigo está organizado da seguinte forma: A sessão 1 traz conceitualmente a definição sobre a consumerização e seus principais aspectos sobre o qual é visto pelas corporações e usuários, as principais mudanças no papel dos usuários, na TI e em sua Política de Segurança. Na seção seguinte avaliaremos os principais benefícios da consumerização e seus desafios. 1 Gartner Group é uma empresa de consultoria que desenvolve tecnologias relacionadas a introspecção necessária para seus clientes tomarem suas decisões diariamente (http://www.gartner.com).
  • 4. 4 2. O que é Consumerização de TI? A definição de Consumerização é bastante abrangente, pois envolve diversos segmentos dentro da área de TI. A Microsoft desenvolveu um portal2 trazendo publicações de artigos voltados para o fenômeno da consumerização de TI, onde a mesma define a consumerização como uma tendência crescente de negócios onde os usuários estão fazendo a escolha final sobre os dispositivos, aplicações e serviços que eles usam para fazer seu trabalho. [MICROSOFT, 2012] A Microsoft alerta ainda que o grande desafio para TI seja o de ser capaz de abraçar consumerização avaliando sua adesão onde seja mais apropriado, enquanto que ao mesmo tempo trabalhando para minimizar os riscos de segurança para a empresa e seus dados. Muitos dispositivos mais novos não foram inicialmente projetados para uso empresarial, e um planejamento cuidadoso é necessário para habilitar o nível de gestão e controle que a maioria das empresas exige. [MICROSOFT, 2012] Segundo vídeo publicado no Portal Cooperati3, os autores Vagner Fonseca e Rafael Bernardes avaliam que a Consumerização de TI traz uma grande mudança no cenário de TI, tais como: [COOPERATI, 2012]. • Mudança no papel dos usuários de TI • Quebra da fronteira entre o profissional e o pessoal • Aumento no poder de processamento dos dispositivos móveis • Mudança e quebra de paradigmas nas Políticas de Segurança de TI 2.1 Mudança no papel dos usuários de TI A mudança no papel dos usuários reflete diretamente na inversão de papéis entre os usuários e a TI, onde tínhamos a TI com o papel de definir e homologar todos os equipamentos, softwares e aplicativos a serem utilizados dentro da corporação. A Consumerização traz um novo conceito onde os usuários definem e escolhem os equipamentos que desejam utilizar para acessarem os recursos corporativos e desenvolverem suas atividades. “Vivemos um momento no qual as organizações não estão mais ditando as tecnologias a serem usadas dentro de seu ambiente. Hoje, este movimento ocorre em direção oposta: são os funcionários que estão trazendo seus equipamentos para o trabalho”, diz Paulo Roberto 2 Portal Microsoft: http://www.microsoft.com/pt-br/windows/enterprise/customer- stories/consumerization-of-it.aspx 3 http://www.cooperati.com.br
  • 5. 5 Carvalho, diretor de Negócios de Outsourcing da Unisys na América Latina. “Para controlar o que está ocorrendo dentro de seu domínio, as empresas deveriam estabelecer políticas e definir processos e ferramentas que apoiem esta tendência”. [UNISYS, 2011] Os usuários corporativos de TI deixaram de ser ignorantes sobre tecnologia, muitos são até fascinados pelas mesmas. Por outro lado, as ferramentas tradicionalmente posicionadas para o mercado de consumo são muitas vezes superiores às voltadas para uso profissional [COMPUTERWORLD1, 2012]. Essa inversão de papeis tem sido reforçada com o conceito conhecido como BYOD4, onde os usuários tem a opção de adquirir e levar para o ambiente corporativo seus dispositivos móveis pessoais e utilizá-los para realização de atividades corporativas acessando os dados da empresa. Daniel Albuquerque – Territory Business Manager da Cisco5, afirma que “BYOD representa uma nova perspectiva de suporte a novos dispositivos que não pertencem à empresa, mas que são ferramentas de produtividade para o usuário e que por sua vez gostaria de utilizar no ambiente corporativo”. (CISCO, 2012) 2.2 Quebra da fronteira entre o profissional e o pessoal A dinâmica de trabalho e atividades que as corporações tem vivido, é um fator crucial que contribui para demolição desta fronteira entre o profissional e o pessoal, sobre dois aspectos: Um aspecto é a necessidade cada vez mais que os usuários têm de permanecer online boa parte do tempo para dar um retorno o mais rápido possível para as demandas do cotidiano, pois as corporações exigem cada vez mais essa disponibilidade dos usuários. O segundo aspecto, é a necessidade de se cultivar mesmo que minimamente e na forma virtual a vida social na tentativa de se manter mais próximo dos amigos, familiares e/ou hobbies preferidos utilizando ferramentas como, e-mails, SMS e redes sociais. A consumerização vem como uma válvula de escape e justificativa para ser utilizada como combustível que contribui para queda desta barreira. A definição de um local de trabalho está mudando, e as fronteiras entre vida profissional e pessoal estão sendo redefinidas. Os usuários de TI já não trabalham apenas dentro de seus escritórios, pois muitas vezes necessitam verificar e-mails tarde da noite e atualizar sites pessoais durante o dia. O computador do escritório em muitos casos é 4 Bring Your Own Device - Traga seu próprio dispositivo 5 Informações cedidas pelo Sr. Daniel Albuquerque em conversa pessoalmente após uma visita realizada nas instalações da CISCO Brasil – São Paulo.
  • 6. 6 acompanhado por computadores portáteis, tablets e smartphones pessoais. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Muitos trabalhadores já estão usando seus próprios dispositivos para ter a flexibilidade de trabalhar "fora do expediente", o que pode ser útil para que haja uma melhora na produtividade do usuário, como por exemplo, durante uma viagem. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Quando combinados com a crescente disponibilidade de Wi-Fi de alta velocidade, serviços baseados na nuvem e tecnologias virtuais, estes dispositivos móveis podem facilmente proporcionar um ambiente de negócio flexível, favorecendo a habilidade de trabalhar a qualquer hora, em qualquer lugar. A distinção entre tempo de trabalho e de lazer não é mais ditado pelo horário tradicional das 8 às 17 horas. Em um dispositivo pessoal, os funcionários podem mudar entre tarefas de trabalho e de lazer de maneira contínua, permitindo que trabalhem quando estão mais motivados. [MSSTREND, 2012]. “Pela primeira vez, desde os primórdios da TI, os consumidores experientes e funcionários estão adotando tecnologias mais rapidamente do que as empresas podem absorvê- las”, ressalta Art. Coviello, presidente da RSA, divisão de segurança da EMC. [COMPUTARWORLD3, 2012]. Estudos recentes têm confirmado essa tendência. Por exemplo, um estudo da IDC que a Unisys encomendou descobriu que 40% do tempo que os usuários gastam no seu computador pessoal é realmente para o trabalho. Além disso, 50% do tempo que os usuários passam em seus Computadores portáteis, smartphones ou tablets, também está relacionado com o trabalho [MICROSOFT, ESTRATEGIES, ABRIL 2011]. 2.3 Aumento no poder de processamento dos dispositivos móveis Os dispositivos móveis são considerados como a grande febre tecnológica do momento. O poder de computação já está disponível em uma ampla gama de dispositivos móveis como smartphones e tabletes. Eles estão tão poderosos que já são capazes de executar tipos de aplicações que eram tradicionalmente restritos a computadores desktops e notebooks. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Desde que os computadores deixaram de existir apenas nos grandes Data Centers ou centros de pesquisa e se tornaram uma ferramenta acessível para os usuários, passando a ocupar as mesas das residências e dos escritórios, iniciou-se uma grande evolução e transformação desses dispositivos que entrou em um movimento de miniaturização, trazendo
  • 7. 7 mais facilidade e mobilidade além de tornar esse poder de processamento ao alcance das nossas mãos, literalmente. Liderando o ranking da atualidade o dispositivo da vez é o tablet. Conforme [SAMPAIO, 2010], em 1989 a empresa GRID lançou um computador sem teclado, chamado GridPad. Sua utilização se dava através da tela sensível ao toque, e criou-se então a definição Slate Computer. Porém, para os dias atuais, de acordo com as tendências de design, peso e funcionalidades, alterações foram feitas até a Apple lançar o aclamado iPad. [JUNIOR, 2011] Apesar do iPad, iPod e iPhone da Apple terem influenciado e liderado essa iniciativa para a evolução dos dispositivos móveis, pesquisas apontam que hoje eles não são os mais utilizados pelos usuários em suas atividades nas corporações. A pesquisa mostra que a Apple é um fator no consumo de TI, mas está longe de ser o único na condução desta tendência. Na verdade, o dispositivo de consumo mais popular que os funcionários estão trazendo para a empresa não é um produto da Apple. [AVAGE2,2012]. 2.4 Mudança na Política de Segurança de TI A política de Segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando um papel importante em todas as organizações. A necessidade de estabelecer uma política de segurança é um fato realçado unanimemente em recomendações provenientes tanto do meio militar (Orange Book6) como do meio técnico (HandBook - RFC 21967) e, mais recentemente, do meio empresarial (ISO/IEC 270028). [NAKAMURA, Segurança de Rede] É importante ressaltar que a consumerização não se aplica apenas a invasão dos dispositivos pessoais nos ambientes corporativos, porém vai a muito mais que isso, pois envolve, além da forma como os usuários acessam os dados, como também o que eles passam a acessar com essa facilidade nos dispositivos, como exemplo, o acesso às redes sociais através desses dispositivos que em alguns casos já trazem um pacote de dados que permite o acesso à internet de forma independente. A TI e os gestores de segurança da informação não conseguirão controlar diretamente nem proteger adequadamente os dados da empresa nos próximos anos. O alerta é de 6 Plano sistemático para tratar do Problema Clássico de Segurança, apresentado pelo Departamento de Defesa dos Estados Unidos em em 1977. 7 Guia para o desenvolvimento de políticas de segurança de computadores. 8 Guia padrão de normas com as melhores práticas voltados para segurança da informação.
  • 8. 8 executivos da indústria que participam da Conferência RSA 2012 em São Francisco (EUA) 9. [COMPUTARWORLD3, 2012]. "Precisamos repensar a forma como proteger a empresa", diz Enrique Salem, presidente e CEO da Symantec. “Temos de parar de dizer ‘não’ e tentar formar uma parceria com a nossa comunidade de usuários para permitir o acesso seguro das novas tecnologias e ferramentas de mídia social, afirma Salem o executivo”. Em vez de ter firewalls apenas para evitar a entrada de códigos maliciosos na rede, as empresas devem começar a adicionar controles que possam manter as informações críticas protegidas, disse Salem. [COMPUTARWORLD3, 2012]. Patrícia Tito, diretora de segurança da informação da Symantec, pondera que, embora muitos processos precisem mudar, algumas coisas sobre a segurança da empresa permanecem da mesma forma. "A governança não mudou muito. Eu ainda tenho de manter a cibersegurança básica", como patch e instalação de ferramentas de antivírus. “Esses ingredientes são fundamentais e os gerentes de segurança não devem ignorar tais medidas”, explica Patrícia. “O trabalho de segurança é o mesmo, mas agora temos uma camada adicional de complexidade”, diz Patrícia. A Advogada e especialista em Direito Digital, Patrícia Peck alerta que as novas regras devem informar sobre o conteúdo acessado, políticas de segurança, suporte e atualizações das aplicações, se haverá inspeção dos terminais e as responsabilidades do empregado e da empresa. [CIO, 2012]. Caso a TI constate que o funcionário está infringindo as regras, ao usar, por exemplo, programas piratas, a advogada afirma que a empresa tem o dever de informá-lo e bloquear o acesso do equipamento ao ambiente corporativo se ele não corrigir o problema. [CIO, 2012]. Essa preocupação com a segurança e a necessidade de se manter o controle dentro dos ambientes de TI, motiva cada vez mais as mudanças na política de segurança de TI que agora tem um algo a mais com que se preocupar. Segundo o CIO Ronaldo Ribeiro, da Celulose Nipo-Brasileira S.A. (Cenibra), a adaptação à tendência, minimizando impactos, exige uma revisão na política de segurança nos setores de RH, Jurídico, TI e áreas de negócios. Para Ribeiro, é importante também que haja debates relacionados à legislação em vigor. “É um caminho sem retorno. Precisamos nos 9 http://www.rsaconference.com/events/2012/usa/mightier.htm
  • 9. 9 adaptar rapidamente, pois assim utilizaremos melhor os avanços tecnológicos”, conclui o CIO. [IMASTERS2, 2012]. Em artigo publicado na revista Partnersales10 a advogada Patricia Peck alerta sobre os aspectos legais que devem ser levados em consideração ao adotar a estratégia de Consumerização, onde destacamos alguns pontos mais relevantes a serem observados: • Conteúdos e informações corporativas dentro do dispositivo (Preocupações sobre a obrigação de backup, sigilo, confidencialidade e dever de reportar incidente de eventual perda ou vazamento); • Suporte, atualizações e uso de ferramentas protetivas para garantir segurança da informação (se serão fornecidos pela empresa ou não); • Monitoramento das informações corporativas (se vai usar algum software de Data Loss Prevention?); • Acesso a informações de trabalho a qualquer tempo e de qualquer lugar não configura sobreaviso e hora extra (tem que deixar isso claro); • Responsabilidade do colaborador sobre o conteúdo particular do equipamento (porque pode ter algo que possa ser considerado ilícito, como pirataria de música, filme, jogos, pedofilia). [PARTNERSALES, 2011]. 3. Visão das empresas no cenário local (Bahia e Sergipe) A 5º pesquisa de Segurança da Informação11 desenvolvida por uma empresa baiana nos estados de Bahia e Sergipe traz uma visão sobre o que as empresas em diversos segmentos pensam sobre a consumerização em TI e como elas já se preparam para esta convivência inevitável. Sobre esse aspecto, as empresas dos segmentos de Governo, Comercio, Indústria e Serviço foram abordadas sobre os seguintes temas: • Qual a sua postura pessoal sobre a consumerização de TI em sua empresa? • Quais os controles de segurança já utilizados, e quais você planeja implementar no próximo ano, relacionado especificamente a consumerização de TI na sua empresa? 10 Artigo Aspectos legais da Consumerização publicado em 02/05/2011, na coluna É Legal na edição MAI/2011 – Nº 35. 11 Pesquisa realizada anualmente com inicio em 2006, está na 5º edição. Pesquisa desenvolvida pela Tecnoativa (http://www.tecnoativa.com.br) em parceria com a Sucesso/BA – Associação de Usuários de Informática e Telecomunicações (http://www.sucesu.org.br/).
  • 10. 10 • Qual a situação atual da consumerização de TI em sua empresa? • Com relação à segurança da informação, você acredita que sua organização está: 4. Visão das empresas no cenário Americano A Airtight, fornecedora de soluções de segurança para ambientes WiFi, os resultados de um estudo realizado com 316 profissionais das áreas TI e segurança de redes, com o objetivo de avaliar novas tendências de tecnologia e as ameaças para segurança de redes de empresas de todos os portes. [AIRTIGHNETWORKS1, 2012].
  • 11. 11 5. Desafios O Tsunami da consumerização, e os desafios trazidos por esta ação avassaladora sobre a infraestrutura de TI das corporações, ainda está longe de ser domado. Conforme já vimos nas seções anteriores, ainda há muito que se fazer para adequar a nossa infraestrutura a realiade trazida e imposta pela consumerização. Apesar da perda de sono causada pelas preocupações com a consumerização, os executivos de TI precisam aceitar a tendência como uma transformação inevitável. Eles precisam abraçar a consumerização para aproveitar os benefícios que a acompanha, o que alguns estão chamando de uma revolução tão grande quanto o advento do PC. O risco de lutar contra a consumerização é que o negócio vai consumir tempo e dinheiro e, no final, ser ultrapassado por competidores que são mais flexíveis, progressistas e à frente da concorrência. [MSSTREND, 2012]. Segurança e perda de produtividade ainda são as justificativas mais frequentes para barrar a consumerização “por essas praias”, como constatou Marcelo Landi, country manager da Citrix no Brasil. “Mas o que é mais inseguro: o sujeito que “espeta” um pen drive no PC corporativo ou o que usa um dispositivo pessoal?”, questiona. [TI Inside online2, 2012]. Este fenômeno gerou um dos grandes desafios hoje das áreas de infraestrutura, que é como gerenciar e garantir a segurança de aparelhos diversos que não pertencem à empresa, mas que são empregados na lida corporativa. [TI Inside online1, 2012]. Dentre todos esses temas discutidos e abordados até aqui, destacamos três pontos de fundamental importância, e que merecem uma ação diferenciada. Classificamo-los como alguns dos principais desafios trazidos pelo tsunami, sendo eles:
  • 12. 12 5.1 Como proteger redes corporativas e os dados acessados por smartphones e tablets de propriedade da empresa e dos funcionários De acordo com a Pesquisa de Segurança e Crimes de Computador da CSI, 7% das perdas financeiras totais sofridas por negócios com incidentes de segurança de TI foram relacionados à perda de dados importantes ou confidenciais resultantes de roubo de dispositivos móveis. [MSSTREND, 2012]. Um levantamento mundial realizado pelo Ponemon Institute traz um dado alarmante: 77% das empresas admitem que ocorreu vazamento de dados no último ano, por conta de algum tipo de incidente. A principal causa citada para isso é a perda ou o roubo de equipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 e e-mails enviados para remetentes errados. [PERALLIS, 2011]. “As plataformas móveis atuais colocam muito poder e informação nas mãos do usuário final. Isso abre as portas para o roubo e perda de dados”, afirma John McCormack, presidente da Websense. “Com a adoção em grande escala de dispositivos móveis e mais funcionários trazendo seus próprios smartphones e tablets para o trabalho, os desafios são maiores do que nunca”. As empresas precisam proteger os dados imediatamente, e precisam estabelecer e fiscalizar as práticas e políticas de segurança. [AGREGARIO, 2012] Prevenir a perda de dados pelo reforço da política restritiva de acesso dos dispositivos limita o risco de incidentes de perda de dados. A capacidade de limpar remotamente todo o conteúdo de um dispositivo perdido/roubado não só protege os dados no dispositivo, mas também ajuda a atender aos requisitos de conformidade evitando a divulgação de uma violação de dados, o que causaria um grande impacto na reputação da organização. [MSSTREND, 2012]. Uma alternativa viável para auxiliar no controle dos dados, com o objetivo de evitar o vazamento desses dados armazenados nos dispositivos é adotar uma solução de DLP – Data Loss Prevention (Prevenção contra perda de dados). Ainda segundo a [AGREGARIO, 2012], a Websense desenvolveu uma solução de gerenciamento de segurança para proteção contra vazamento de informações que oferece controles para prevenir a perda de dados em qualquer dispositivo. Conteúdos de e-mail e anexos considerados de alto risco para acesso e armazenamento a partir do dispositivo móvel são substituídos por uma notificação de e-mail configurada pelo administrador.
  • 13. 13 A Symantec também traz uma ferramenta que promete ajudará os CISOs a monitorar e controlar a transmissão de dados confidenciais a partir dos dispositivos móveis sem restringir o acesso dos usuários aos aplicativos. “O uso crescente de dispositivos móveis para uso pessoal e profissional fez crescer o desafio de organizações e indivíduos obterem um nível confortável de controle. Como o número de dispositivos móveis continua subindo e exigindo mais da área de TI, cresce enormemente a necessidade das organizações protegerem e gerenciarem esses dispositivos e as informações neles contidas”, disse Stephen Drake, vice-presidente do programa de Mobilidade & Telecom do IDC. [SYMANTEC, 2012]. 5.2 Como gerenciar o acesso ao conteúdo corporativo do uso pessoal em dispositivos dos funcionários com acesso à rede. Aceitando o desafio da consumerização de TI, as organizações podem manter seus funcionários felizes, economizar dinheiro e dar ao seu departamento de TI alguma esperança de ficar a par de quais dispositivos estão sendo usados e como. [MSSTREND, 2012]. Ainda segundo a Trend, Muitas organizações estão abordando os desafios da consumerização com um enfoque de três níveis de dispositivos que se diferenciam de acordo com a forma com que são gerenciados pela área de TI: • Dispositivos não gerenciados (Dispositivos de propriedade dos funcionários, com funcionalidades básicas de segurança, têm acesso a webmail, mas não a aplicativos de negócios). • Dispositivos levemente gerenciados (Dispositivos de propriedade dos funcionários sujeitos aos requisitos de segurança e gerenciamento. Têm acesso ao e-mail corporativo, calendários e intranet, mas acesso limitado a aplicativos de negócios e continuam a rodar muitos aplicativos pessoais). • Dispositivos totalmente gerenciados (Dispositivos de propriedade da empresa, com funções completas de segurança e MDM e suportadas pela área de TI e Helpdesk. Têm acesso total a mensagens corporativas, calendário e aplicações de negócio e poucos, ou nenhum, aplicativo pessoal instalado). Utilizando como base esta segregação e classificação, a escolha e implantação de uma solução que auxilie nesse gerenciamento torna-se uma tarefa muito mais simples. Como solução
  • 14. 14 mais comum para auxiliar nesta administração, existem soluções de softwares conhecidas com MDM - Mobile Device Management (Gerencia de Dispositivos móveis). Essas soluções hoje são disputadas por players que vão de empresas como SAP e IBM, que têm plataformas de Mobile Device Management (MDM), a integradores de mobilidade e desenvolvedores de aplicativos, e, como não poderia deixar de ser, os fornecedores da área de segurança. Como o aparelho pertence ao funcionário, é preciso adaptar as políticas como, por exemplo, ao invés de bloquear os usos indevidos totalmente, fazer isso somente quando o funcionário está na empresa. [TI Inside online1, 2012]. Por isso a importância da classificação dos níveis de dispositivos. O CEO da Navita, Roberto Dariva, concorda: "temos de tratar computadores e dispositivos móveis da mesma forma, e isso não acontece hoje. As empresas precisam ter controle dos dispositivos que acessam suas informações, com ferramentas que permitam bloquear, rastrear e apagar esses dados críticos remotamente". Segundo Dariva, a principal ameaça está naqueles usuários que instalam aplicativos piratas em seus smartphones e tablets. "Quando aplicativos pagos são reempacotados e comercializados em lojas ilegais, muitas vezes trazem consigo um código malicioso", explica o executivo da Navita. [MOBILETIME, 2011]. Para o diretor de serviços profissionais para a América Latina da F-Secure, Alexandre Lima, além de uma política de segurança e de ferramentas que permitam bloquear e apagar as informações de um dispositivo, é preciso combiná-las com uma solução de backup em nuvem, para que nada seja perdido. [MOBILETIME, 2011]. A grande vantagem de ter uma ferramenta de MDM são os recursos de gerenciamento e segurança que elas oferecem, onde as mais importantes e indispensáveis para apoiar o gerenciamento e a manutenção de um ambiente seguro são: • Proteção contra ameaças web, malware móvel e aplicativos móveis maliciosos; • Firewall de dispositivo; • Controle de aplicativos; • Controle de dispositivos; • Gerenciamento centralizado; • Aplicação de senhas no dispositivo; • Criptografia dos dados armazenados no dispositivo.
  • 15. 15 5.3 Como restringir ou controlar o acesso à rede para que apenas pessoas/dispositivos autorizadas tenha acesso. Baseado na aplicação e utilização do conceito de níveis de dispositivo, enfrentamos outro desafio, que é controlar quem deve ou não ter acesso a rede da empresa. Para implantação deste tipo de controle, uma solução bastante interessante e que vale a pena analisar é a utilização do NAC – Network Acess Control. Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones e smartphones Android para fins comerciais, vai estimular o renascimento do NAC. Segundo a consultoria, o momento é ideal para o ressurgimento desse conceito por causa da necessidade de abraçar a consumerização com medidas de segurança. [IDGNOW, 2012]. Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC começou há cerca de 10 anos, com aprovação modesta, principalmente por instituições financeiras e universidades para garantir a segurança de sistemas críticos. Agora o NAC promete deslanchar casado com outra sigla que está se tornando conhecida no mundo corporativo: Mobile Device Managment (MDM), que é o gerenciamento de dispositivos móveis dentro das companhias. [IDGNOW, 2012]. O grande objetivo das soluções de NAC é fornecer controle de acesso à rede, baseado em políticas de segurança definidas previamente pelo gestor de TI. A solução de NAC permite ao administrador de rede criar regras de segurança que lhe possibilitem identificar e verificar o status dos seus clientes e baseado em suas configurações tomar ações alocando um determinado segmento de rede, uma acl e/ou uma faixa de IP específica. Com o NAC é possível definir um conjunto de regras a serem verificadas e permitir o acesso à rede somente se o dispositivo estiver compliance com as configurações definidas. Para esclarecimento maior sobre como a solução de NAC pode ajudar a empresa que adota a consumerização de TI, é possível imaginar um exemplo prático, onde um diretor ou colaborador de uma instituição possui um blackberry corporativo, iPhone pessoal, iPad e seu notebook pessoal e deseja ter acesso a rede corporativa e dados da empresa. Com a solução de NAC implantada em uma corporação, é possível criar regras que permitam verificar a situação de cada dispositivo e aplicar configurações diferentes para cada um deles, como por exemplo: para o blackberry corporativo permitir acesso aos sistemas e dados da empresa, para o iPhone e iPad pessoal direcioná-lo para uma vlan especifica de dispositivos móveis que permite acesso apenas a internet com liberação aos sites como redes sociais restringido por cotas de tempo de
  • 16. 16 acesso ou horário de acesso. Ao notebook, verificar o status de atualização do antivírus, sistema operacional etc de acordo com a lista de compliance definida a ser verificada, aloca-lo em uma vlan especifica para notebooks e permitir o acesso aos servidores e dados corporativos. Caso o dispositivo não esteja compliance o mesmo poderá ser direcionado para uma vlan especifica com acesso apenas a sites de fabricantes com as atualizações e patchs de segurança. Todas as ações e parametrizações a serem utilizadas em uma solução de NAC, devem estar de acordo com as normas e politicas de segurança definida pela corporação. 6. Conclusão Visto que a consumerização de TI já é uma realidade presente nos dias atuais, o gestor de TI já entende a necessidade e importância de conviver com esta situação. Entende-se que a consumerização de TI hoje já é um caminho sem volta, onde a melhor solução é desenvolver mecanismos e métodos de segurança para garanti a proteção baseado na informação e não no diapositivo ou no meio/forma de acesso. Seguindo os conceitos dos três pilares básicos de segurança em TI (Tecnologia, pessoas e processos) é imprescindível ter políticas de segurança de TI bem definidas e homologadas pela diretoria (processos), é fundamental a utilização de ferramentas de segurança como o NAC, DLP e MDM para apoio e gerencia do ambiente e da informação (Tecnologia), e finalmente criar a cultura de treinar e conscientizar os usuários e clientes dos serviços de TI da corporação para que seja possível uma utilização mais consciente dos recursos (pessoas). Desta forma, será possível mitigar os riscos de ter problemas de segurança com o ambiente por conta da consumerização, além de maximizar e potencializar os benefícios que a consumerização traz para a corporação convertendo isso em benefícios e resultados estratégicos vivos e palpáveis para os gestores, visto que hoje a TI tem se tornado cada vez mais estratégica no negócio. 7. Referências Bibliográficas [NBR ISSO/IEC 27002] ABNT, NBR ISO/IEC 27002. Tecnologia da informação - Técnicas de segurança –Código de prática para a gestão da segurança da informação. ABNT, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT, Rio de Janeiro. Normas ABNT sobre documentação. Rio de Janeiro, 2000. (Coletânea de normas).
  • 17. 17 [NAKAMURA, Segurança de Rede] NAKAMURA, Emilio Tissato e GEUS, Paulo Lício. Segurança de Redes Em Ambientes Cooperativos:Fundamentos, Técnicas, Tecnologia e Estratégias. São Paulo: Novatecc, 2010. [COMPUTERWORLD2,2012] Computerworld.Consumerização Traz de volta a idéia de controle de acesso a rede. Publicado em http://www.computerworld.com.pt/2012/05/14/consumerizacao- traz-de-volta-ideia-de-controlo-do-acesso-a-rede/. Acessado em 15/07/2012. [UNISYS, 2011] Estudo revela crescente uso de dispositivos móveis nas organizações brasileiras. Publicado em http://www.unisys.com/unisys/countrysite/news/index.jsp;jsessionid= 8EA5527DDAB4902916EDFECB357635B2?cid=300002&id=3300105. Acessado em 15/07/2012 [JUNIOR, 2011] Consumerização e a continuidade do negócio. Publicado em http://www.infoedu cativa.animercado.net/index.asp?page=artigo&id=929. Acessado em 15/07/2012. [COOPERATI, 2012] Publicado em http://www.cooperati.com.br/wordpress/2012/05/07/videocast 09-consumerizao-o-que-isso/. Acessado em 15/07/2012. [AVAGE2,2012] Global Survey: Dispelling Six Myths of Consumerization of IT. Disponível em http://www.avanade.com/Documents/Resources/consumerization-of-it-executive-summary.pdf. Acessado em 16/07/2012. [SAMPAIO, 2010] A história dos Tablets. Disponível em http://www.tecmundo.com.br/3624-a- historia-dos-tablets.htm. Acessado em 29/07/2012. [MICROSOFT, 2012] Consumerização de TI. Disponível em http://www.microsoft.com/pt- br/windows/enterprise/customer-stories/consumerization-of-it.aspx. Acessado em 15/07/2012. [MICROSOFT, ESTRATEGIES, ABRIL 2011]. Strategies for Embracing Consumerization. Disponível em http://download.microsoft.com/download/E/F/5/EF5F8B95-5E27-4CDB-860F- F982E5B714B0/Strategies%20for%20Embracing%20Consumerization.pdf. Acessado em 15/07/2012 [TI Inside online1, 2012] MDM Nasce nova categoria de software e serviço. Disponível em http://www.tiinside.com.br/12/07/2012/mdm-nasce-nova-categoria-de-software-e-servico/ti/ 288264/revista.aspx. Acessado em 21/07/2012 . [COMPUTERWORLD4, 2012]. Companhias investem emgereciamento da consumerização. Disponível em http://computerworld.uol.com.br/tecnologia/2012/01/26/companhias-investem-no- gerenciamento-da-consumerizacao/IDGNoticiaPrint_view. Acessado 21/07/2012. [COMPUTERWORLD1, 2012] Sete verdades sobre Consumerização de TI. Publicado em http://computerworld.uol.com.br/gestao/2012/01/24/sete-verdades-sobre-consumerizacao-da-
  • 18. 18 ti/IDGNoticiaPrint_view Acessado em 21/07/2012. [COMPUTERWORLD5, 2012] Preocupações com os riscos da consumerização ainda ronda as empresas. Disponível em http://computerworld.uol.com.br/gestao/2012/01/16/preocupacao-com- riscos-da-consumerizacao-ainda-ronda-empresas/IDGNoticiaPrint_view Acessado em 21/07/2012. Acessado em 21/07/2012. [COMPUTERWORLD6, 2011] Beneficios e desafios da estratégia de consumerização. Publicado em http://computerworld.uol.com.br/tecnologia/2011/12/22/beneficios-e-desafios-da-estrategia- de-consumerizacao/IDGNoticiaPrint_view. Acessado em 21/07/2012 [COMPUTERWORLD7, 2011] Chegou ahora de pensa em estratégias de consumerização. Publicado em http://computerworld.uol.com.br/gestao/2011/12/21/chegou-a-hora-de-pensar-em- estrategias-de-consumerizacao/IDGNoticiaPrint_view Acessado em 21/07/2012 [AVENAGE1,2012] Relarório de pesquisa sbre os mitos da consumerização de TI. Publicado em http://www.avanade.com/pt-br/about/avanade-news/press-releases/Documents/Avanade_PR_ CoIT_Brazil_Ptg.pdf. Acessado em 21/07/2012. [GESTÃO E PRODUÇÃO, 2001] O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NA ESTRATÉGIA DAS ORGANIZAÇÕES. Publicado em http://www.scielo.br /pdf/gp/v8n2/v8n2a04. Acessado em 26/07/2012 [PESQUISA AVANAGE, 2012] Onsumerization of it. Publicado em http://www.avanade.com/pt- br/approach/research/pages/consumerization-of-it.aspx. Acessado em 26/07/2012 [IMASTERS, 2012] O Fenomeno do BYOD dentro das empresas de Ti. Publicado em http://imasters.com.br/artigo/24758/cloud/o-fenomeno-byod-dentro-das-empresas-de-ti. Acessado em 26/07/2012 [IMASTERS2, 2012] Crescimento da consumerização nas empresas revela necessidades de adaptações. Publicado em http://imasters.com.br/noticia/24843/tendencias/crescimento-da- consumerizacao-nas-empresas-revela-necessidade-de-adaptacoes. Acessado em 03/08/2012. [COMPUTARWORLD3, 2012] TI tem que mudar politicas de segurança. Publicado em http://computerworld.uol.com.br/seguranca/2012/03/01/ti-tem-que-mudar-politicas-de-seguranca/ Acessado em 29/07/2012 [CIO, 2012] Patricia Peck avisa aos CIOS. Publicado Gestores que é preciso regular http://cio.uol.com.br/gestao/2012/05/27/patricia-peck-avisa-os-cios-e-preciso-regular- consumerizacao/ Acessado em 06/08
  • 19. 19 [PARTNERSALES, 2011] Aspectos legais da consumerização. Publicado em http://www.partnersales.com.br/artigo/368/aspectos-legais-da-consumerizacao. Acessado em 06/08. [TI Inside online2, 2012] Consumerização: Entenda-a u seja devorado. Publicado em http://www.tiinside.com.br/22/04/2012/consumerizacao-entenda-a-ou-seja-devorado-/ti/274097/ revista.aspx. Acessado em 06/08/2012. [MSSTREND, 2012] Mobile Security – Trend Mcicro. Publicado em http://br.trendmicro.com/imperia/md/content/br/products_enterprise/mobile-security/110808- mobile-security-solution-brief__3_.pdf. Acessado em 06/08/12 [REFRESCANTE, 2012] Presquisa de mercado – Consumerização em TI. Publicado em http://refrescante.com.br/pesquisa-indica-que-43-das-empresas-no-brasil-admitem-perda-de- dados-pelo-uso-pouco-seguro-de-dispositivos-moveis.html. Acessado em 06/08/2012. [PERALLIS, 2011] Empresas tiveram vazamento de dados no umtimo ano. http://www.perallis.com/news/77-das-empresas-tiveram-vazamento-de-dados-no-ultimo-ano- mostra-estudo. Acessado em 06/08/2012. [AIRTIGHNETWORKS1, 2012] Air Tight Byoud Survey. Publicado em http://www.airtightnetworks.com/fileadmin/pdf/AirTight-BYOD-Survey-April-2012.pdf. Acessado em 06/08/2012. [AGREGARIO, 2012] Mudanças de conceito em segurança móvel - Websense. Publicado em http://agregario.com/websense-redefine-seguranca-movel-combinando-principal-solucao- mercado-seguranca-web-dados-gerenciamento-dispositivos. Acessado em 06/08/2012. [SYMANTEC, 2012]. Aprimoramento de segurança na mobilidade corporativa. Publicado em http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20120510_01. Acessado em 06/08/2012. [MOBILETIME, 2011] Não existe sistema operacional imune a riscos – Karpesky Labs. Publicado em http://www.mobiletime.com.br/27/09/2011/nao-existe-sistema-operacional-movel-imune-a- riscos-alerta-kaspersky/241960/news.aspx. Acessado em 07/08/2012. [IDGNOW, 2012] Consumerização traz de volda a ideia de NAC. Publicado em http://idgnow.uol.com.br/ti-corporativa/2012/05/10/consumerizacao-traz-de-volta-ideia-de- controle-de-acesso-a-rede/. Acessado em 07/08/2012.