Este documento discute o conceito de consumerização de TI e seus impactos nas corporações. A consumerização representa a tendência dos usuários escolherem os dispositivos, aplicativos e serviços que usam no trabalho. Isso inverte os papéis entre usuários e TI e quebra a fronteira entre vida profissional e pessoal. Além disso, dispositivos móveis cada vez mais poderosos permitem que os usuários acessem recursos corporativos de qualquer lugar.
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Consumerização em TI - Um caminho sem volta
1. 1
Consumerização em TI – Um caminho sem volta
Vicente Vale
E-mail: vicente@xlogic.com.br
Abstract
The fact is that with technological advances, the ever-increasing use of IT resources by
corporations, the dependency and utilization of these resources as a foundation for sustaining the
business, corporations are now increasingly concerned with the security of the data, which
created a stigma that the best way to protect yourself was to restrict the maximum access by
unauthorized persons and / or malicious, restrict the maximum use of computing devices
unknown and / or suspects, as would bring security risk data of the corporation. Only devices
approved by the IT staff could have access to corporate data.
This concept is current, shared and supported by many professionals and experts in the
field of safety, but the proof has been placed, because with the advent of IT Consumerization,
many security paradigms are being put back to the table discussion. This article aims to bring
conceptual understanding about what is IT Consumerization, what their advantages and
disadvantages, which are the best practices and strategies to be adopted to live with it.
Resumo
É fato que com o avanço tecnológico, a utilização cada vez mais crescente dos recursos
de TI (Tecnologia da Informação) por parte das corporações, a dependência e utilização desses
recursos como alicerce para sustentação do negócio, as corporações passaram a se preocupar
cada vez mais com a segurança desses dados, onde criou-se um estigma de que a melhor forma
de se proteger era restringir ao máximo o acesso de pessoas não autorizadas e/ou mal
intencionadas, restringir ao máximo a utilização de dispositivos computacionais desconhecidos
e/ou suspeitos, pois trariam risco para a segurança dos dados da corporação. Apenas os
dispositivos homologados pela Equipe de TI, poderiam ter acesso aos dados da corporação.
Este conceito é atual, compartilhado e defendido por grande parte dos profissionais de TI
e especialistas da área de segurança, porém tem sido colocada à prova, pois com o surgimento
da Consumerização de TI, muitos paradigmas de segurança estão sendo colocados novamente
à mesa para uma nova discussão. Este artigo visa trazer o entendimento conceitual sobre o que
é Consumerização de TI, o que muda na estratégia, a visão atual das empresas e profissionais
de TI dentro e fora do Brasil, os principais desafios encontrados, as melhores práticas e
estratégias a serem adotadas para conviver com ela.
2. 2
1. Introdução
Em uma avaliação rápida sobre a evolução tecnológica ocorrida nos últimos anos, é
possível perceber que a TI (Tecnologia da Informação) passou por uma grande mutação e
praticamente se reinventou, trazendo ideias e conceitos novos.
Uma das principais mudanças a serem destacadas é a forma como a TI era vista antes e
como ela é vista nos dias de hoje. A TI era vista meramente como assistência técnica para
resolução reativa de problemas e sem visão ou alinhamento com o negócio ou estratégia da
corporação. Hoje, a TI evoluiu de uma orientação tradicional de suporte administrativo para um
papel estratégico dentro da organização. “A visão da TI como arma estratégica competitiva tem
sido discutida e enfatizada, pois não só sustenta as operações de negócio existentes, mas
também permite que se viabilizem novas estratégias empresariais”. (GESTÃO E PRODUÇÃO,
2001).
Baseado nesta nova Visão, os gestores das corporações passaram a utilizar cada vez
mais os recursos de TI. Essa valorização e o aumento da sua utilização trouxe também uma
dependência maior dessas informações, bem como a preocupação com a segurança das
mesmas. “A dependência dos sistemas de informação e serviços trazem também o ônus de ter
uma preocupação maior com a segurança desses dados, pois estarão suscetíveis às
vulnerabilidades e ameaças inerentes de suas aplicações e sistemas operacionais”. (NBR
ISSO/IEC 27002).
Como consequência, a TI não é apenas “promovida” a uma posição de estratégia dentro da
corporação, porém passa também a ser responsabilizada e exigida como provedora de serviços
que precisa garantir no mínimo três princípios básicos para segurança da informação:
• Confidencialidade - Garantia de que a informação é acessível somente por pessoas
autorizadas a terem acesso.
• Disponibilidade - garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário.
• Integridade - salvaguarda da exatidão e completeza da informação e dos métodos de
processamento.
Sobre essa ótica, a TI passou a adotar controles e mecanismos de segurança para garantir
esses princípios, logo os ambientes de TI nas corporações passaram a ser cada vez mais
restritivos, onde a TI passou a travar uma batalha diária para cada vez mais implantar controles
que possam mitigar ao máximo os riscos para o ambiente e consequentemente para o negócio.
3. 3
A grande questão, é que a TI não parou de se transformar, e agora nos deparamos com
mais uma evolução e transformação que traz a reflexão sobre todos os controles e estratégias
de segurança adotadas e defendidas até hoje para garantir a segurança nos ambientes de TI
das corporações.
A Consumerização de TI vem como principal agente causador destas mudanças,
questionamentos e quebras de paradigmas e já tem aquecido os principais fóruns de discursões
se mostrando como uma preocupação para as grandes corporações. De acordo com o Gartner1,
“a Consumerização de TI é um movimento praticamente irreversível” (TI Inside online, 2012).
Parte do resultado de um estudo global “Dissipando seis mitos sobre a Consumerização de
TI”, realizado pela Wakefield Research, empresa de pesquisas independente, a pedido da
Avanade, provedora de soluções de negócios de tecnologia e serviços gerenciados, revela que
diante desse cenário, o levantamento, que ouviu com 605 líderes seniores e de TI realizada em
17 países, aponta que investimentos significativos em TI estão sendo feitos para gerenciar essa
tendência. Na média, as empresas estão alocando 25% de seu orçamento geral de TI para
gerenciar a consumerização e 60% das organizações estão adaptando a infraestrutura de TI
para esta nova realidade [AVENAGE 2012]. Ainda de acordo com este estudo, no Brasil a
consumerização de TI já é maior do que em muitos países europeus, chegando a 97%, e
também é maior quando comparado aos Estados Unidos, com 89%. Segundo a própria
Avenage, os aspectos dinâmicos e personalizados das tecnologias de consumo já registraram
sua entrada nas empresas, e a TI corporativa, tem a oportunidade de aproveitar essa tendência
para promover agilidade nos negócios.
A consumerização oferece às organizações um grande potencial para aumentar a
produtividade individual e reduzir os custos com tecnologia da informação. Porém, ela também
cria riscos de segurança, potencial exposição financeira e um aumento de dores de cabeça
operacionais para as organizações. “Este é um dilema que está mantendo muitos gerentes de
negócios e profissionais de TI acordados durante a noite”. [MSSTREND, 2012].
Nesta abordagem, este artigo está organizado da seguinte forma: A sessão 1 traz
conceitualmente a definição sobre a consumerização e seus principais aspectos sobre o qual é
visto pelas corporações e usuários, as principais mudanças no papel dos usuários, na TI e em
sua Política de Segurança. Na seção seguinte avaliaremos os principais benefícios da
consumerização e seus desafios.
1
Gartner Group é uma empresa de consultoria que desenvolve tecnologias relacionadas a introspecção
necessária para seus clientes tomarem suas decisões diariamente (http://www.gartner.com).
4. 4
2. O que é Consumerização de TI?
A definição de Consumerização é bastante abrangente, pois envolve diversos
segmentos dentro da área de TI.
A Microsoft desenvolveu um portal2 trazendo publicações de artigos voltados para o
fenômeno da consumerização de TI, onde a mesma define a consumerização como uma
tendência crescente de negócios onde os usuários estão fazendo a escolha final sobre os
dispositivos, aplicações e serviços que eles usam para fazer seu trabalho. [MICROSOFT, 2012]
A Microsoft alerta ainda que o grande desafio para TI seja o de ser capaz de abraçar
consumerização avaliando sua adesão onde seja mais apropriado, enquanto que ao mesmo
tempo trabalhando para minimizar os riscos de segurança para a empresa e seus dados. Muitos
dispositivos mais novos não foram inicialmente projetados para uso empresarial, e um
planejamento cuidadoso é necessário para habilitar o nível de gestão e controle que a maioria
das empresas exige. [MICROSOFT, 2012]
Segundo vídeo publicado no Portal Cooperati3, os autores Vagner Fonseca e Rafael
Bernardes avaliam que a Consumerização de TI traz uma grande mudança no cenário de TI, tais
como: [COOPERATI, 2012].
• Mudança no papel dos usuários de TI
• Quebra da fronteira entre o profissional e o pessoal
• Aumento no poder de processamento dos dispositivos móveis
• Mudança e quebra de paradigmas nas Políticas de Segurança de TI
2.1 Mudança no papel dos usuários de TI
A mudança no papel dos usuários reflete diretamente na inversão de papéis entre os
usuários e a TI, onde tínhamos a TI com o papel de definir e homologar todos os equipamentos,
softwares e aplicativos a serem utilizados dentro da corporação. A Consumerização traz um
novo conceito onde os usuários definem e escolhem os equipamentos que desejam utilizar para
acessarem os recursos corporativos e desenvolverem suas atividades.
“Vivemos um momento no qual as organizações não estão mais ditando as tecnologias a
serem usadas dentro de seu ambiente. Hoje, este movimento ocorre em direção oposta: são os
funcionários que estão trazendo seus equipamentos para o trabalho”, diz Paulo Roberto
2
Portal Microsoft: http://www.microsoft.com/pt-br/windows/enterprise/customer-
stories/consumerization-of-it.aspx
3
http://www.cooperati.com.br
5. 5
Carvalho, diretor de Negócios de Outsourcing da Unisys na América Latina. “Para controlar o
que está ocorrendo dentro de seu domínio, as empresas deveriam estabelecer políticas e definir
processos e ferramentas que apoiem esta tendência”. [UNISYS, 2011]
Os usuários corporativos de TI deixaram de ser ignorantes sobre tecnologia, muitos são
até fascinados pelas mesmas. Por outro lado, as ferramentas tradicionalmente posicionadas
para o mercado de consumo são muitas vezes superiores às voltadas para uso profissional
[COMPUTERWORLD1, 2012].
Essa inversão de papeis tem sido reforçada com o conceito conhecido como BYOD4,
onde os usuários tem a opção de adquirir e levar para o ambiente corporativo seus dispositivos
móveis pessoais e utilizá-los para realização de atividades corporativas acessando os dados da
empresa.
Daniel Albuquerque – Territory Business Manager da Cisco5, afirma que “BYOD
representa uma nova perspectiva de suporte a novos dispositivos que não pertencem à
empresa, mas que são ferramentas de produtividade para o usuário e que por sua vez gostaria
de utilizar no ambiente corporativo”. (CISCO, 2012)
2.2 Quebra da fronteira entre o profissional e o pessoal
A dinâmica de trabalho e atividades que as corporações tem vivido, é um fator crucial
que contribui para demolição desta fronteira entre o profissional e o pessoal, sobre dois
aspectos: Um aspecto é a necessidade cada vez mais que os usuários têm de permanecer
online boa parte do tempo para dar um retorno o mais rápido possível para as demandas do
cotidiano, pois as corporações exigem cada vez mais essa disponibilidade dos usuários. O
segundo aspecto, é a necessidade de se cultivar mesmo que minimamente e na forma virtual a
vida social na tentativa de se manter mais próximo dos amigos, familiares e/ou hobbies
preferidos utilizando ferramentas como, e-mails, SMS e redes sociais. A consumerização vem
como uma válvula de escape e justificativa para ser utilizada como combustível que contribui
para queda desta barreira. A definição de um local de trabalho está mudando, e as fronteiras
entre vida profissional e pessoal estão sendo redefinidas. Os usuários de TI já não trabalham
apenas dentro de seus escritórios, pois muitas vezes necessitam verificar e-mails tarde da noite
e atualizar sites pessoais durante o dia. O computador do escritório em muitos casos é
4
Bring Your Own Device - Traga seu próprio dispositivo
5
Informações cedidas pelo Sr. Daniel Albuquerque em conversa pessoalmente após uma visita realizada
nas instalações da CISCO Brasil – São Paulo.
6. 6
acompanhado por computadores portáteis, tablets e smartphones pessoais. [MICROSOFT,
ESTRATEGIES, ABRIL 2011].
Muitos trabalhadores já estão usando seus próprios dispositivos para ter a flexibilidade
de trabalhar "fora do expediente", o que pode ser útil para que haja uma melhora na
produtividade do usuário, como por exemplo, durante uma viagem. [MICROSOFT,
ESTRATEGIES, ABRIL 2011].
Quando combinados com a crescente disponibilidade de Wi-Fi de alta velocidade,
serviços baseados na nuvem e tecnologias virtuais, estes dispositivos móveis podem facilmente
proporcionar um ambiente de negócio flexível, favorecendo a habilidade de trabalhar a qualquer
hora, em qualquer lugar. A distinção entre tempo de trabalho e de lazer não é mais ditado pelo
horário tradicional das 8 às 17 horas. Em um dispositivo pessoal, os funcionários podem mudar
entre tarefas de trabalho e de lazer de maneira contínua, permitindo que trabalhem quando estão
mais motivados. [MSSTREND, 2012].
“Pela primeira vez, desde os primórdios da TI, os consumidores experientes e
funcionários estão adotando tecnologias mais rapidamente do que as empresas podem absorvê-
las”, ressalta Art. Coviello, presidente da RSA, divisão de segurança da EMC.
[COMPUTARWORLD3, 2012]. Estudos recentes têm confirmado essa tendência. Por exemplo,
um estudo da IDC que a Unisys encomendou descobriu que 40% do tempo que os usuários
gastam no seu computador pessoal é realmente para o trabalho. Além disso, 50% do tempo que
os usuários passam em seus Computadores portáteis, smartphones ou tablets, também está
relacionado com o trabalho [MICROSOFT, ESTRATEGIES, ABRIL 2011].
2.3 Aumento no poder de processamento dos dispositivos móveis
Os dispositivos móveis são considerados como a grande febre tecnológica do momento.
O poder de computação já está disponível em uma ampla gama de dispositivos móveis
como smartphones e tabletes. Eles estão tão poderosos que já são capazes de executar tipos de
aplicações que eram tradicionalmente restritos a computadores desktops e notebooks.
[MICROSOFT, ESTRATEGIES, ABRIL 2011].
Desde que os computadores deixaram de existir apenas nos grandes Data Centers ou
centros de pesquisa e se tornaram uma ferramenta acessível para os usuários, passando a
ocupar as mesas das residências e dos escritórios, iniciou-se uma grande evolução e
transformação desses dispositivos que entrou em um movimento de miniaturização, trazendo
7. 7
mais facilidade e mobilidade além de tornar esse poder de processamento ao alcance das
nossas mãos, literalmente.
Liderando o ranking da atualidade o dispositivo da vez é o tablet. Conforme [SAMPAIO,
2010], em 1989 a empresa GRID lançou um computador sem teclado, chamado GridPad. Sua
utilização se dava através da tela sensível ao toque, e criou-se então a definição Slate
Computer. Porém, para os dias atuais, de acordo com as tendências de design, peso e
funcionalidades, alterações foram feitas até a Apple lançar o aclamado iPad. [JUNIOR, 2011]
Apesar do iPad, iPod e iPhone da Apple terem influenciado e liderado essa iniciativa
para a evolução dos dispositivos móveis, pesquisas apontam que hoje eles não são os mais
utilizados pelos usuários em suas atividades nas corporações. A pesquisa mostra que a Apple é
um fator no consumo de TI, mas está longe de ser o único na condução desta tendência. Na
verdade, o dispositivo de consumo mais popular que os funcionários estão trazendo para a
empresa não é um produto da Apple. [AVAGE2,2012].
2.4 Mudança na Política de Segurança de TI
A política de Segurança é a base para todas as questões relacionadas à proteção da
informação, desempenhando um papel importante em todas as organizações. A necessidade de
estabelecer uma política de segurança é um fato realçado unanimemente em recomendações
provenientes tanto do meio militar (Orange Book6) como do meio técnico (HandBook - RFC
21967) e, mais recentemente, do meio empresarial (ISO/IEC 270028). [NAKAMURA, Segurança
de Rede]
É importante ressaltar que a consumerização não se aplica apenas a invasão dos
dispositivos pessoais nos ambientes corporativos, porém vai a muito mais que isso, pois envolve,
além da forma como os usuários acessam os dados, como também o que eles passam a
acessar com essa facilidade nos dispositivos, como exemplo, o acesso às redes sociais através
desses dispositivos que em alguns casos já trazem um pacote de dados que permite o acesso à
internet de forma independente.
A TI e os gestores de segurança da informação não conseguirão controlar diretamente
nem proteger adequadamente os dados da empresa nos próximos anos. O alerta é de
6
Plano sistemático para tratar do Problema Clássico de Segurança, apresentado pelo Departamento de
Defesa dos Estados Unidos em em 1977.
7
Guia para o desenvolvimento de políticas de segurança de computadores.
8
Guia padrão de normas com as melhores práticas voltados para segurança da informação.
8. 8
executivos da indústria que participam da Conferência RSA 2012 em São Francisco (EUA) 9.
[COMPUTARWORLD3, 2012].
"Precisamos repensar a forma como proteger a empresa", diz Enrique Salem, presidente
e CEO da Symantec. “Temos de parar de dizer ‘não’ e tentar formar uma parceria com a nossa
comunidade de usuários para permitir o acesso seguro das novas tecnologias e ferramentas de
mídia social, afirma Salem o executivo”.
Em vez de ter firewalls apenas para evitar a entrada de códigos maliciosos na rede, as
empresas devem começar a adicionar controles que possam manter as informações críticas
protegidas, disse Salem. [COMPUTARWORLD3, 2012].
Patrícia Tito, diretora de segurança da informação da Symantec, pondera que, embora
muitos processos precisem mudar, algumas coisas sobre a segurança da empresa permanecem
da mesma forma. "A governança não mudou muito. Eu ainda tenho de manter a cibersegurança
básica", como patch e instalação de ferramentas de antivírus. “Esses ingredientes são
fundamentais e os gerentes de segurança não devem ignorar tais medidas”, explica Patrícia.
“O trabalho de segurança é o mesmo, mas agora temos uma camada adicional de
complexidade”, diz Patrícia.
A Advogada e especialista em Direito Digital, Patrícia Peck alerta que as novas regras
devem informar sobre o conteúdo acessado, políticas de segurança, suporte e atualizações das
aplicações, se haverá inspeção dos terminais e as responsabilidades do empregado e da
empresa. [CIO, 2012].
Caso a TI constate que o funcionário está infringindo as regras, ao usar, por exemplo,
programas piratas, a advogada afirma que a empresa tem o dever de informá-lo e bloquear o
acesso do equipamento ao ambiente corporativo se ele não corrigir o problema. [CIO, 2012].
Essa preocupação com a segurança e a necessidade de se manter o controle dentro dos
ambientes de TI, motiva cada vez mais as mudanças na política de segurança de TI que agora
tem um algo a mais com que se preocupar.
Segundo o CIO Ronaldo Ribeiro, da Celulose Nipo-Brasileira S.A. (Cenibra), a
adaptação à tendência, minimizando impactos, exige uma revisão na política de segurança nos
setores de RH, Jurídico, TI e áreas de negócios. Para Ribeiro, é importante também que haja
debates relacionados à legislação em vigor. “É um caminho sem retorno. Precisamos nos
9
http://www.rsaconference.com/events/2012/usa/mightier.htm
9. 9
adaptar rapidamente, pois assim utilizaremos melhor os avanços tecnológicos”, conclui o CIO.
[IMASTERS2, 2012].
Em artigo publicado na revista Partnersales10 a advogada Patricia Peck alerta sobre os
aspectos legais que devem ser levados em consideração ao adotar a estratégia de
Consumerização, onde destacamos alguns pontos mais relevantes a serem observados:
• Conteúdos e informações corporativas dentro do dispositivo (Preocupações
sobre a obrigação de backup, sigilo, confidencialidade e dever de reportar
incidente de eventual perda ou vazamento);
• Suporte, atualizações e uso de ferramentas protetivas para garantir segurança
da informação (se serão fornecidos pela empresa ou não);
• Monitoramento das informações corporativas (se vai usar algum software de
Data Loss Prevention?);
• Acesso a informações de trabalho a qualquer tempo e de qualquer lugar não
configura sobreaviso e hora extra (tem que deixar isso claro);
• Responsabilidade do colaborador sobre o conteúdo particular do equipamento
(porque pode ter algo que possa ser considerado ilícito, como pirataria de
música, filme, jogos, pedofilia). [PARTNERSALES, 2011].
3. Visão das empresas no cenário local (Bahia e Sergipe)
A 5º pesquisa de Segurança da Informação11 desenvolvida por uma empresa baiana nos
estados de Bahia e Sergipe traz uma visão sobre o que as empresas em diversos segmentos
pensam sobre a consumerização em TI e como elas já se preparam para esta convivência
inevitável. Sobre esse aspecto, as empresas dos segmentos de Governo, Comercio, Indústria e
Serviço foram abordadas sobre os seguintes temas:
• Qual a sua postura pessoal sobre a consumerização de TI em sua empresa?
• Quais os controles de segurança já utilizados, e quais você planeja implementar
no próximo ano, relacionado especificamente a consumerização de TI na sua
empresa?
10
Artigo Aspectos legais da Consumerização publicado em 02/05/2011, na coluna É Legal na edição
MAI/2011 – Nº 35.
11
Pesquisa realizada anualmente com inicio em 2006, está na 5º edição. Pesquisa desenvolvida pela
Tecnoativa (http://www.tecnoativa.com.br) em parceria com a Sucesso/BA – Associação de Usuários de
Informática e Telecomunicações (http://www.sucesu.org.br/).
10. 10
• Qual a situação atual da consumerização de TI em sua empresa?
• Com relação à segurança da informação, você acredita que sua organização
está:
4. Visão das empresas no cenário Americano
A Airtight, fornecedora de soluções de segurança para ambientes WiFi, os resultados de
um estudo realizado com 316 profissionais das áreas TI e segurança de redes, com o objetivo de
avaliar novas tendências de tecnologia e as ameaças para segurança de redes de empresas de
todos os portes. [AIRTIGHNETWORKS1, 2012].
11. 11
5. Desafios
O Tsunami da consumerização, e os desafios trazidos por esta ação avassaladora sobre
a infraestrutura de TI das corporações, ainda está longe de ser domado. Conforme já vimos nas
seções anteriores, ainda há muito que se fazer para adequar a nossa infraestrutura a realiade
trazida e imposta pela consumerização.
Apesar da perda de sono causada pelas preocupações com a consumerização, os
executivos de TI precisam aceitar a tendência como uma transformação inevitável. Eles
precisam abraçar a consumerização para aproveitar os benefícios que a acompanha, o que
alguns estão chamando de uma revolução tão grande quanto o advento do PC. O risco de lutar
contra a consumerização é que o negócio vai consumir tempo e dinheiro e, no final, ser
ultrapassado por competidores que são mais flexíveis, progressistas e à frente da concorrência.
[MSSTREND, 2012].
Segurança e perda de produtividade ainda são as justificativas mais frequentes para
barrar a consumerização “por essas praias”, como constatou Marcelo Landi, country manager da
Citrix no Brasil. “Mas o que é mais inseguro: o sujeito que “espeta” um pen drive no PC
corporativo ou o que usa um dispositivo pessoal?”, questiona. [TI Inside online2, 2012].
Este fenômeno gerou um dos grandes desafios hoje das áreas de infraestrutura, que é
como gerenciar e garantir a segurança de aparelhos diversos que não pertencem à empresa,
mas que são empregados na lida corporativa. [TI Inside online1, 2012].
Dentre todos esses temas discutidos e abordados até aqui, destacamos três pontos de
fundamental importância, e que merecem uma ação diferenciada. Classificamo-los como alguns
dos principais desafios trazidos pelo tsunami, sendo eles:
12. 12
5.1 Como proteger redes corporativas e os dados acessados por smartphones e tablets de
propriedade da empresa e dos funcionários
De acordo com a Pesquisa de Segurança e Crimes de Computador da CSI, 7% das
perdas financeiras totais sofridas por negócios com incidentes de segurança de TI foram
relacionados à perda de dados importantes ou confidenciais resultantes de roubo de dispositivos
móveis. [MSSTREND, 2012].
Um levantamento mundial realizado pelo Ponemon Institute traz um dado alarmante:
77% das empresas admitem que ocorreu vazamento de dados no último ano, por conta de
algum tipo de incidente. A principal causa citada para isso é a perda ou o roubo de
equipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 e
e-mails enviados para remetentes errados. [PERALLIS, 2011].
“As plataformas móveis atuais colocam muito poder e informação nas mãos do usuário
final. Isso abre as portas para o roubo e perda de dados”, afirma John McCormack, presidente
da Websense. “Com a adoção em grande escala de dispositivos móveis e mais funcionários
trazendo seus próprios smartphones e tablets para o trabalho, os desafios são maiores do que
nunca”. As empresas precisam proteger os dados imediatamente, e precisam estabelecer e
fiscalizar as práticas e políticas de segurança. [AGREGARIO, 2012]
Prevenir a perda de dados pelo reforço da política restritiva de acesso dos dispositivos
limita o risco de incidentes de perda de dados. A capacidade de limpar remotamente todo o
conteúdo de um dispositivo perdido/roubado não só protege os dados no dispositivo, mas
também ajuda a atender aos requisitos de conformidade evitando a divulgação de uma violação
de dados, o que causaria um grande impacto na reputação da organização. [MSSTREND, 2012].
Uma alternativa viável para auxiliar no controle dos dados, com o objetivo de evitar o
vazamento desses dados armazenados nos dispositivos é adotar uma solução de DLP – Data
Loss Prevention (Prevenção contra perda de dados).
Ainda segundo a [AGREGARIO, 2012], a Websense desenvolveu uma solução de
gerenciamento de segurança para proteção contra vazamento de informações que oferece
controles para prevenir a perda de dados em qualquer dispositivo. Conteúdos de e-mail e anexos
considerados de alto risco para acesso e armazenamento a partir do dispositivo móvel são
substituídos por uma notificação de e-mail configurada pelo administrador.
13. 13
A Symantec também traz uma ferramenta que promete ajudará os CISOs a monitorar e
controlar a transmissão de dados confidenciais a partir dos dispositivos móveis sem restringir o
acesso dos usuários aos aplicativos.
“O uso crescente de dispositivos móveis para uso pessoal e profissional fez crescer o
desafio de organizações e indivíduos obterem um nível confortável de controle. Como o número
de dispositivos móveis continua subindo e exigindo mais da área de TI, cresce enormemente a
necessidade das organizações protegerem e gerenciarem esses dispositivos e as informações
neles contidas”, disse Stephen Drake, vice-presidente do programa de Mobilidade & Telecom do
IDC. [SYMANTEC, 2012].
5.2 Como gerenciar o acesso ao conteúdo corporativo do uso pessoal em dispositivos
dos funcionários com acesso à rede.
Aceitando o desafio da consumerização de TI, as organizações podem manter seus
funcionários felizes, economizar dinheiro e dar ao seu departamento de TI alguma esperança de
ficar a par de quais dispositivos estão sendo usados e como. [MSSTREND, 2012].
Ainda segundo a Trend, Muitas organizações estão abordando os desafios da
consumerização com um enfoque de três níveis de dispositivos que se diferenciam de acordo
com a forma com que são gerenciados pela área de TI:
• Dispositivos não gerenciados (Dispositivos de propriedade dos funcionários, com
funcionalidades básicas de segurança, têm acesso a webmail, mas não a
aplicativos de negócios).
• Dispositivos levemente gerenciados (Dispositivos de propriedade dos
funcionários sujeitos aos requisitos de segurança e gerenciamento. Têm acesso
ao e-mail corporativo, calendários e intranet, mas acesso limitado a aplicativos
de negócios e continuam a rodar muitos aplicativos pessoais).
• Dispositivos totalmente gerenciados (Dispositivos de propriedade da empresa,
com funções completas de segurança e MDM e suportadas pela área de TI e
Helpdesk. Têm acesso total a mensagens corporativas, calendário e aplicações
de negócio e poucos, ou nenhum, aplicativo pessoal instalado).
Utilizando como base esta segregação e classificação, a escolha e implantação de uma
solução que auxilie nesse gerenciamento torna-se uma tarefa muito mais simples. Como solução
14. 14
mais comum para auxiliar nesta administração, existem soluções de softwares conhecidas com
MDM - Mobile Device Management (Gerencia de Dispositivos móveis).
Essas soluções hoje são disputadas por players que vão de empresas como SAP e IBM,
que têm plataformas de Mobile Device Management (MDM), a integradores de mobilidade e
desenvolvedores de aplicativos, e, como não poderia deixar de ser, os fornecedores da área de
segurança.
Como o aparelho pertence ao funcionário, é preciso adaptar as políticas como, por
exemplo, ao invés de bloquear os usos indevidos totalmente, fazer isso somente quando o
funcionário está na empresa. [TI Inside online1, 2012]. Por isso a importância da classificação
dos níveis de dispositivos.
O CEO da Navita, Roberto Dariva, concorda: "temos de tratar computadores e
dispositivos móveis da mesma forma, e isso não acontece hoje. As empresas precisam ter
controle dos dispositivos que acessam suas informações, com ferramentas que permitam
bloquear, rastrear e apagar esses dados críticos remotamente". Segundo Dariva, a principal
ameaça está naqueles usuários que instalam aplicativos piratas em seus smartphones e tablets.
"Quando aplicativos pagos são reempacotados e comercializados em lojas ilegais, muitas vezes
trazem consigo um código malicioso", explica o executivo da Navita. [MOBILETIME, 2011].
Para o diretor de serviços profissionais para a América Latina da F-Secure, Alexandre
Lima, além de uma política de segurança e de ferramentas que permitam bloquear e apagar as
informações de um dispositivo, é preciso combiná-las com uma solução de backup em nuvem,
para que nada seja perdido. [MOBILETIME, 2011].
A grande vantagem de ter uma ferramenta de MDM são os recursos de gerenciamento e
segurança que elas oferecem, onde as mais importantes e indispensáveis para apoiar o
gerenciamento e a manutenção de um ambiente seguro são:
• Proteção contra ameaças web, malware móvel e aplicativos móveis maliciosos;
• Firewall de dispositivo;
• Controle de aplicativos;
• Controle de dispositivos;
• Gerenciamento centralizado;
• Aplicação de senhas no dispositivo;
• Criptografia dos dados armazenados no dispositivo.
15. 15
5.3 Como restringir ou controlar o acesso à rede para que apenas pessoas/dispositivos
autorizadas tenha acesso.
Baseado na aplicação e utilização do conceito de níveis de dispositivo, enfrentamos
outro desafio, que é controlar quem deve ou não ter acesso a rede da empresa.
Para implantação deste tipo de controle, uma solução bastante interessante e que vale a
pena analisar é a utilização do NAC – Network Acess Control.
Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones e
smartphones Android para fins comerciais, vai estimular o renascimento do NAC. Segundo a
consultoria, o momento é ideal para o ressurgimento desse conceito por causa da necessidade
de abraçar a consumerização com medidas de segurança. [IDGNOW, 2012].
Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC começou há
cerca de 10 anos, com aprovação modesta, principalmente por instituições financeiras e
universidades para garantir a segurança de sistemas críticos. Agora o NAC promete deslanchar
casado com outra sigla que está se tornando conhecida no mundo corporativo: Mobile Device
Managment (MDM), que é o gerenciamento de dispositivos móveis dentro das companhias.
[IDGNOW, 2012].
O grande objetivo das soluções de NAC é fornecer controle de acesso à rede, baseado
em políticas de segurança definidas previamente pelo gestor de TI.
A solução de NAC permite ao administrador de rede criar regras de segurança que lhe
possibilitem identificar e verificar o status dos seus clientes e baseado em suas configurações
tomar ações alocando um determinado segmento de rede, uma acl e/ou uma faixa de IP
específica. Com o NAC é possível definir um conjunto de regras a serem verificadas e permitir o
acesso à rede somente se o dispositivo estiver compliance com as configurações definidas.
Para esclarecimento maior sobre como a solução de NAC pode ajudar a empresa que
adota a consumerização de TI, é possível imaginar um exemplo prático, onde um diretor ou
colaborador de uma instituição possui um blackberry corporativo, iPhone pessoal, iPad e seu
notebook pessoal e deseja ter acesso a rede corporativa e dados da empresa. Com a solução de
NAC implantada em uma corporação, é possível criar regras que permitam verificar a situação
de cada dispositivo e aplicar configurações diferentes para cada um deles, como por exemplo:
para o blackberry corporativo permitir acesso aos sistemas e dados da empresa, para o iPhone e
iPad pessoal direcioná-lo para uma vlan especifica de dispositivos móveis que permite acesso
apenas a internet com liberação aos sites como redes sociais restringido por cotas de tempo de
16. 16
acesso ou horário de acesso. Ao notebook, verificar o status de atualização do antivírus, sistema
operacional etc de acordo com a lista de compliance definida a ser verificada, aloca-lo em uma
vlan especifica para notebooks e permitir o acesso aos servidores e dados corporativos. Caso o
dispositivo não esteja compliance o mesmo poderá ser direcionado para uma vlan especifica
com acesso apenas a sites de fabricantes com as atualizações e patchs de segurança. Todas as
ações e parametrizações a serem utilizadas em uma solução de NAC, devem estar de acordo
com as normas e politicas de segurança definida pela corporação.
6. Conclusão
Visto que a consumerização de TI já é uma realidade presente nos dias atuais, o gestor de TI já
entende a necessidade e importância de conviver com esta situação. Entende-se que a
consumerização de TI hoje já é um caminho sem volta, onde a melhor solução é desenvolver
mecanismos e métodos de segurança para garanti a proteção baseado na informação e não no
diapositivo ou no meio/forma de acesso. Seguindo os conceitos dos três pilares básicos de
segurança em TI (Tecnologia, pessoas e processos) é imprescindível ter políticas de segurança
de TI bem definidas e homologadas pela diretoria (processos), é fundamental a utilização de
ferramentas de segurança como o NAC, DLP e MDM para apoio e gerencia do ambiente e da
informação (Tecnologia), e finalmente criar a cultura de treinar e conscientizar os usuários e
clientes dos serviços de TI da corporação para que seja possível uma utilização mais consciente
dos recursos (pessoas).
Desta forma, será possível mitigar os riscos de ter problemas de segurança com o
ambiente por conta da consumerização, além de maximizar e potencializar os benefícios que a
consumerização traz para a corporação convertendo isso em benefícios e resultados
estratégicos vivos e palpáveis para os gestores, visto que hoje a TI tem se tornado cada vez
mais estratégica no negócio.
7. Referências Bibliográficas
[NBR ISSO/IEC 27002] ABNT, NBR ISO/IEC 27002. Tecnologia da informação - Técnicas de
segurança –Código de prática para a gestão da segurança da informação. ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT, Rio de Janeiro. Normas ABNT
sobre documentação. Rio de Janeiro, 2000. (Coletânea de normas).
17. 17
[NAKAMURA, Segurança de Rede] NAKAMURA, Emilio Tissato e GEUS, Paulo Lício.
Segurança de Redes Em Ambientes Cooperativos:Fundamentos, Técnicas, Tecnologia e
Estratégias. São Paulo: Novatecc, 2010.
[COMPUTERWORLD2,2012] Computerworld.Consumerização Traz de volta a idéia de controle
de acesso a rede. Publicado em http://www.computerworld.com.pt/2012/05/14/consumerizacao-
traz-de-volta-ideia-de-controlo-do-acesso-a-rede/. Acessado em 15/07/2012.
[UNISYS, 2011] Estudo revela crescente uso de dispositivos móveis nas organizações
brasileiras. Publicado em http://www.unisys.com/unisys/countrysite/news/index.jsp;jsessionid=
8EA5527DDAB4902916EDFECB357635B2?cid=300002&id=3300105. Acessado em 15/07/2012
[JUNIOR, 2011] Consumerização e a continuidade do negócio. Publicado em http://www.infoedu
cativa.animercado.net/index.asp?page=artigo&id=929. Acessado em 15/07/2012.
[COOPERATI, 2012] Publicado em http://www.cooperati.com.br/wordpress/2012/05/07/videocast
09-consumerizao-o-que-isso/. Acessado em 15/07/2012.
[AVAGE2,2012] Global Survey: Dispelling Six Myths of Consumerization of IT. Disponível em
http://www.avanade.com/Documents/Resources/consumerization-of-it-executive-summary.pdf.
Acessado em 16/07/2012.
[SAMPAIO, 2010] A história dos Tablets. Disponível em http://www.tecmundo.com.br/3624-a-
historia-dos-tablets.htm. Acessado em 29/07/2012.
[MICROSOFT, 2012] Consumerização de TI. Disponível em http://www.microsoft.com/pt-
br/windows/enterprise/customer-stories/consumerization-of-it.aspx. Acessado em 15/07/2012.
[MICROSOFT, ESTRATEGIES, ABRIL 2011]. Strategies for Embracing Consumerization.
Disponível em http://download.microsoft.com/download/E/F/5/EF5F8B95-5E27-4CDB-860F-
F982E5B714B0/Strategies%20for%20Embracing%20Consumerization.pdf. Acessado em
15/07/2012
[TI Inside online1, 2012] MDM Nasce nova categoria de software e serviço. Disponível em
http://www.tiinside.com.br/12/07/2012/mdm-nasce-nova-categoria-de-software-e-servico/ti/
288264/revista.aspx. Acessado em 21/07/2012 .
[COMPUTERWORLD4, 2012]. Companhias investem emgereciamento da consumerização.
Disponível em http://computerworld.uol.com.br/tecnologia/2012/01/26/companhias-investem-no-
gerenciamento-da-consumerizacao/IDGNoticiaPrint_view. Acessado 21/07/2012.
[COMPUTERWORLD1, 2012] Sete verdades sobre Consumerização de TI. Publicado em
http://computerworld.uol.com.br/gestao/2012/01/24/sete-verdades-sobre-consumerizacao-da-
18. 18
ti/IDGNoticiaPrint_view Acessado em 21/07/2012.
[COMPUTERWORLD5, 2012] Preocupações com os riscos da consumerização ainda ronda as
empresas. Disponível em http://computerworld.uol.com.br/gestao/2012/01/16/preocupacao-com-
riscos-da-consumerizacao-ainda-ronda-empresas/IDGNoticiaPrint_view Acessado em
21/07/2012. Acessado em 21/07/2012.
[COMPUTERWORLD6, 2011] Beneficios e desafios da estratégia de consumerização. Publicado
em http://computerworld.uol.com.br/tecnologia/2011/12/22/beneficios-e-desafios-da-estrategia-
de-consumerizacao/IDGNoticiaPrint_view. Acessado em 21/07/2012
[COMPUTERWORLD7, 2011] Chegou ahora de pensa em estratégias de consumerização.
Publicado em http://computerworld.uol.com.br/gestao/2011/12/21/chegou-a-hora-de-pensar-em-
estrategias-de-consumerizacao/IDGNoticiaPrint_view Acessado em 21/07/2012
[AVENAGE1,2012] Relarório de pesquisa sbre os mitos da consumerização de TI. Publicado em
http://www.avanade.com/pt-br/about/avanade-news/press-releases/Documents/Avanade_PR_
CoIT_Brazil_Ptg.pdf. Acessado em 21/07/2012.
[GESTÃO E PRODUÇÃO, 2001] O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NA
ESTRATÉGIA DAS ORGANIZAÇÕES. Publicado em http://www.scielo.br
/pdf/gp/v8n2/v8n2a04. Acessado em 26/07/2012
[PESQUISA AVANAGE, 2012] Onsumerization of it. Publicado em http://www.avanade.com/pt-
br/approach/research/pages/consumerization-of-it.aspx. Acessado em 26/07/2012
[IMASTERS, 2012] O Fenomeno do BYOD dentro das empresas de Ti. Publicado em
http://imasters.com.br/artigo/24758/cloud/o-fenomeno-byod-dentro-das-empresas-de-ti.
Acessado em 26/07/2012
[IMASTERS2, 2012] Crescimento da consumerização nas empresas revela necessidades de
adaptações. Publicado em http://imasters.com.br/noticia/24843/tendencias/crescimento-da-
consumerizacao-nas-empresas-revela-necessidade-de-adaptacoes. Acessado em 03/08/2012.
[COMPUTARWORLD3, 2012] TI tem que mudar politicas de segurança. Publicado em
http://computerworld.uol.com.br/seguranca/2012/03/01/ti-tem-que-mudar-politicas-de-seguranca/
Acessado em 29/07/2012
[CIO, 2012] Patricia Peck avisa aos CIOS. Publicado Gestores que é preciso regular
http://cio.uol.com.br/gestao/2012/05/27/patricia-peck-avisa-os-cios-e-preciso-regular-
consumerizacao/ Acessado em 06/08
19. 19
[PARTNERSALES, 2011] Aspectos legais da consumerização. Publicado em
http://www.partnersales.com.br/artigo/368/aspectos-legais-da-consumerizacao. Acessado em
06/08.
[TI Inside online2, 2012] Consumerização: Entenda-a u seja devorado. Publicado em
http://www.tiinside.com.br/22/04/2012/consumerizacao-entenda-a-ou-seja-devorado-/ti/274097/
revista.aspx. Acessado em 06/08/2012.
[MSSTREND, 2012] Mobile Security – Trend Mcicro. Publicado em
http://br.trendmicro.com/imperia/md/content/br/products_enterprise/mobile-security/110808-
mobile-security-solution-brief__3_.pdf. Acessado em 06/08/12
[REFRESCANTE, 2012] Presquisa de mercado – Consumerização em TI. Publicado em
http://refrescante.com.br/pesquisa-indica-que-43-das-empresas-no-brasil-admitem-perda-de-
dados-pelo-uso-pouco-seguro-de-dispositivos-moveis.html. Acessado em 06/08/2012.
[PERALLIS, 2011] Empresas tiveram vazamento de dados no umtimo ano.
http://www.perallis.com/news/77-das-empresas-tiveram-vazamento-de-dados-no-ultimo-ano-
mostra-estudo. Acessado em 06/08/2012.
[AIRTIGHNETWORKS1, 2012] Air Tight Byoud Survey. Publicado em
http://www.airtightnetworks.com/fileadmin/pdf/AirTight-BYOD-Survey-April-2012.pdf. Acessado
em 06/08/2012.
[AGREGARIO, 2012] Mudanças de conceito em segurança móvel - Websense. Publicado em
http://agregario.com/websense-redefine-seguranca-movel-combinando-principal-solucao-
mercado-seguranca-web-dados-gerenciamento-dispositivos. Acessado em 06/08/2012.
[SYMANTEC, 2012]. Aprimoramento de segurança na mobilidade corporativa. Publicado em
http://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20120510_01. Acessado em
06/08/2012.
[MOBILETIME, 2011] Não existe sistema operacional imune a riscos – Karpesky Labs. Publicado
em http://www.mobiletime.com.br/27/09/2011/nao-existe-sistema-operacional-movel-imune-a-
riscos-alerta-kaspersky/241960/news.aspx. Acessado em 07/08/2012.
[IDGNOW, 2012] Consumerização traz de volda a ideia de NAC. Publicado em
http://idgnow.uol.com.br/ti-corporativa/2012/05/10/consumerizacao-traz-de-volta-ideia-de-
controle-de-acesso-a-rede/. Acessado em 07/08/2012.