Your SlideShare is downloading. ×
  • Like
  • Save
Consumerização de TI -  Um caminho sem volta
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Consumerização de TI - Um caminho sem volta

  • 425 views
Published

Um artigo para tratar de forma clara e objetiva conceitos e paradigmas que estão sendo discutidos após o advento deste novo conceito.

Um artigo para tratar de forma clara e objetiva conceitos e paradigmas que estão sendo discutidos após o advento deste novo conceito.

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
425
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1Consumerização em TI – Um caminho sem voltaVicente ValeE-mail: vicente@xlogic.com.brAbstractThe fact is that with technological advances, the ever-increasing use of IT resources bycorporations, the dependency and utilization of these resources as a foundation for sustaining thebusiness, corporations are now increasingly concerned with the security of the data, whichcreated a stigma that the best way to protect yourself was to restrict the maximum access byunauthorized persons and / or malicious, restrict the maximum use of computing devicesunknown and / or suspects, as would bring security risk data of the corporation. Only devicesapproved by the IT staff could have access to corporate data.This concept is current, shared and supported by many professionals and experts in thefield of safety, but the proof has been placed, because with the advent of IT Consumerization,many security paradigms are being put back to the table discussion. This article aims to bringconceptual understanding about what is IT Consumerization, what their advantages anddisadvantages, which are the best practices and strategies to be adopted to live with it.ResumoÉ fato que com o avanço tecnológico, a utilização cada vez mais crescente dos recursosde TI (Tecnologia da Informação) por parte das corporações, a dependência e utilização dessesrecursos como alicerce para sustentação do negócio, as corporações passaram a se preocuparcada vez mais com a segurança desses dados, onde criou-se um estigma de que a melhor formade se proteger era restringir ao máximo o acesso de pessoas não autorizadas e/ou malintencionadas, restringir ao máximo a utilização de dispositivos computacionais desconhecidose/ou suspeitos, pois trariam risco para a segurança dos dados da corporação. Apenas osdispositivos homologados pela Equipe de TI, poderiam ter acesso aos dados da corporação.Este conceito é atual, compartilhado e defendido por grande parte dos profissionais de TIe especialistas da área de segurança, porém tem sido colocada à prova, pois com o surgimentoda Consumerização de TI, muitos paradigmas de segurança estão sendo colocados novamenteà mesa para uma nova discussão. Este artigo visa trazer o entendimento conceitual sobre o queé Consumerização de TI, o que muda na estratégia, a visão atual das empresas e profissionaisde TI dentro e fora do Brasil, os principais desafios encontrados, as melhores práticas eestratégias a serem adotadas para conviver com ela.
  • 2. 21. IntroduçãoEm uma avaliação rápida sobre a evolução tecnológica ocorrida nos últimos anos, épossível perceber que a TI (Tecnologia da Informação) passou por uma grande mutação epraticamente se reinventou, trazendo ideias e conceitos novos.Uma das principais mudanças a serem destacadas é a forma como a TI era vista antes ecomo ela é vista nos dias de hoje. A TI era vista meramente como assistência técnica pararesolução reativa de problemas e sem visão ou alinhamento com o negócio ou estratégia dacorporação. Hoje, a TI evoluiu de uma orientação tradicional de suporte administrativo para umpapel estratégico dentro da organização. “A visão da TI como arma estratégica competitiva temsido discutida e enfatizada, pois não só sustenta as operações de negócio existentes, mastambém permite que se viabilizem novas estratégias empresariais”. (GESTÃO E PRODUÇÃO,2001).Baseado nesta nova Visão, os gestores das corporações passaram a utilizar cada vezmais os recursos de TI. Essa valorização e o aumento da sua utilização trouxe também umadependência maior dessas informações, bem como a preocupação com a segurança dasmesmas. “A dependência dos sistemas de informação e serviços trazem também o ônus de teruma preocupação maior com a segurança desses dados, pois estarão suscetíveis àsvulnerabilidades e ameaças inerentes de suas aplicações e sistemas operacionais”. (NBRISSO/IEC 27002).Como consequência, a TI não é apenas “promovida” a uma posição de estratégia dentro dacorporação, porém passa também a ser responsabilizada e exigida como provedora de serviçosque precisa garantir no mínimo três princípios básicos para segurança da informação:• Confidencialidade - Garantia de que a informação é acessível somente por pessoasautorizadas a terem acesso.• Disponibilidade - garantia de que os usuários autorizados obtenham acesso àinformação e aos ativos correspondentes sempre que necessário.• Integridade - salvaguarda da exatidão e completeza da informação e dos métodos deprocessamento.Sobre essa ótica, a TI passou a adotar controles e mecanismos de segurança para garantiresses princípios, logo os ambientes de TI nas corporações passaram a ser cada vez maisrestritivos, onde a TI passou a travar uma batalha diária para cada vez mais implantar controlesque possam mitigar ao máximo os riscos para o ambiente e consequentemente para o negócio.
  • 3. 3A grande questão, é que a TI não parou de se transformar, e agora nos deparamos commais uma evolução e transformação que traz a reflexão sobre todos os controles e estratégiasde segurança adotadas e defendidas até hoje para garantir a segurança nos ambientes de TIdas corporações.A Consumerização de TI vem como principal agente causador destas mudanças,questionamentos e quebras de paradigmas e já tem aquecido os principais fóruns de discursõesse mostrando como uma preocupação para as grandes corporações. De acordo com o Gartner1,“a Consumerização de TI é um movimento praticamente irreversível” (TI Inside online, 2012).Parte do resultado de um estudo global “Dissipando seis mitos sobre a Consumerização deTI”, realizado pela Wakefield Research, empresa de pesquisas independente, a pedido daAvanade, provedora de soluções de negócios de tecnologia e serviços gerenciados, revela quediante desse cenário, o levantamento, que ouviu com 605 líderes seniores e de TI realizada em17 países, aponta que investimentos significativos em TI estão sendo feitos para gerenciar essatendência. Na média, as empresas estão alocando 25% de seu orçamento geral de TI paragerenciar a consumerização e 60% das organizações estão adaptando a infraestrutura de TIpara esta nova realidade [AVENAGE 2012]. Ainda de acordo com este estudo, no Brasil aconsumerização de TI já é maior do que em muitos países europeus, chegando a 97%, etambém é maior quando comparado aos Estados Unidos, com 89%. Segundo a própriaAvenage, os aspectos dinâmicos e personalizados das tecnologias de consumo já registraramsua entrada nas empresas, e a TI corporativa, tem a oportunidade de aproveitar essa tendênciapara promover agilidade nos negócios.A consumerização oferece às organizações um grande potencial para aumentar aprodutividade individual e reduzir os custos com tecnologia da informação. Porém, ela tambémcria riscos de segurança, potencial exposição financeira e um aumento de dores de cabeçaoperacionais para as organizações. “Este é um dilema que está mantendo muitos gerentes denegócios e profissionais de TI acordados durante a noite”. [MSSTREND, 2012].Nesta abordagem, este artigo está organizado da seguinte forma: A sessão 1 trazconceitualmente a definição sobre a consumerização e seus principais aspectos sobre o qual évisto pelas corporações e usuários, as principais mudanças no papel dos usuários, na TI e emsua Política de Segurança. Na seção seguinte avaliaremos os principais benefícios daconsumerização e seus desafios.1Gartner Group é uma empresa de consultoria que desenvolve tecnologias relacionadas a introspecçãonecessária para seus clientes tomarem suas decisões diariamente (http://www.gartner.com).
  • 4. 42. O que é Consumerização de TI?A definição de Consumerização é bastante abrangente, pois envolve diversossegmentos dentro da área de TI.A Microsoft desenvolveu um portal2 trazendo publicações de artigos voltados para ofenômeno da consumerização de TI, onde a mesma define a consumerização como umatendência crescente de negócios onde os usuários estão fazendo a escolha final sobre osdispositivos, aplicações e serviços que eles usam para fazer seu trabalho. [MICROSOFT, 2012]A Microsoft alerta ainda que o grande desafio para TI seja o de ser capaz de abraçarconsumerização avaliando sua adesão onde seja mais apropriado, enquanto que ao mesmotempo trabalhando para minimizar os riscos de segurança para a empresa e seus dados. Muitosdispositivos mais novos não foram inicialmente projetados para uso empresarial, e umplanejamento cuidadoso é necessário para habilitar o nível de gestão e controle que a maioriadas empresas exige. [MICROSOFT, 2012]Segundo vídeo publicado no Portal Cooperati3, os autores Vagner Fonseca e RafaelBernardes avaliam que a Consumerização de TI traz uma grande mudança no cenário de TI, taiscomo: [COOPERATI, 2012].• Mudança no papel dos usuários de TI• Quebra da fronteira entre o profissional e o pessoal• Aumento no poder de processamento dos dispositivos móveis• Mudança e quebra de paradigmas nas Políticas de Segurança de TI2.1 Mudança no papel dos usuários de TIA mudança no papel dos usuários reflete diretamente na inversão de papéis entre osusuários e a TI, onde tínhamos a TI com o papel de definir e homologar todos os equipamentos,softwares e aplicativos a serem utilizados dentro da corporação. A Consumerização traz umnovo conceito onde os usuários definem e escolhem os equipamentos que desejam utilizar paraacessarem os recursos corporativos e desenvolverem suas atividades.“Vivemos um momento no qual as organizações não estão mais ditando as tecnologias aserem usadas dentro de seu ambiente. Hoje, este movimento ocorre em direção oposta: são osfuncionários que estão trazendo seus equipamentos para o trabalho”, diz Paulo Roberto2Portal Microsoft: http://www.microsoft.com/pt-br/windows/enterprise/customer-stories/consumerization-of-it.aspx3http://www.cooperati.com.br
  • 5. 5Carvalho, diretor de Negócios de Outsourcing da Unisys na América Latina. “Para controlar oque está ocorrendo dentro de seu domínio, as empresas deveriam estabelecer políticas e definirprocessos e ferramentas que apoiem esta tendência”. [UNISYS, 2011]Os usuários corporativos de TI deixaram de ser ignorantes sobre tecnologia, muitos sãoaté fascinados pelas mesmas. Por outro lado, as ferramentas tradicionalmente posicionadaspara o mercado de consumo são muitas vezes superiores às voltadas para uso profissional[COMPUTERWORLD1, 2012].Essa inversão de papeis tem sido reforçada com o conceito conhecido como BYOD4,onde os usuários tem a opção de adquirir e levar para o ambiente corporativo seus dispositivosmóveis pessoais e utilizá-los para realização de atividades corporativas acessando os dados daempresa.Daniel Albuquerque – Territory Business Manager da Cisco5, afirma que “BYODrepresenta uma nova perspectiva de suporte a novos dispositivos que não pertencem àempresa, mas que são ferramentas de produtividade para o usuário e que por sua vez gostariade utilizar no ambiente corporativo”. (CISCO, 2012)2.2 Quebra da fronteira entre o profissional e o pessoalA dinâmica de trabalho e atividades que as corporações tem vivido, é um fator crucialque contribui para demolição desta fronteira entre o profissional e o pessoal, sobre doisaspectos: Um aspecto é a necessidade cada vez mais que os usuários têm de permaneceronline boa parte do tempo para dar um retorno o mais rápido possível para as demandas docotidiano, pois as corporações exigem cada vez mais essa disponibilidade dos usuários. Osegundo aspecto, é a necessidade de se cultivar mesmo que minimamente e na forma virtual avida social na tentativa de se manter mais próximo dos amigos, familiares e/ou hobbiespreferidos utilizando ferramentas como, e-mails, SMS e redes sociais. A consumerização vemcomo uma válvula de escape e justificativa para ser utilizada como combustível que contribuipara queda desta barreira. A definição de um local de trabalho está mudando, e as fronteirasentre vida profissional e pessoal estão sendo redefinidas. Os usuários de TI já não trabalhamapenas dentro de seus escritórios, pois muitas vezes necessitam verificar e-mails tarde da noitee atualizar sites pessoais durante o dia. O computador do escritório em muitos casos é4Bring Your Own Device - Traga seu próprio dispositivo5Informações cedidas pelo Sr. Daniel Albuquerque em conversa pessoalmente após uma visita realizadanas instalações da CISCO Brasil – São Paulo.
  • 6. 6acompanhado por computadores portáteis, tablets e smartphones pessoais. [MICROSOFT,ESTRATEGIES, ABRIL 2011].Muitos trabalhadores já estão usando seus próprios dispositivos para ter a flexibilidadede trabalhar "fora do expediente", o que pode ser útil para que haja uma melhora naprodutividade do usuário, como por exemplo, durante uma viagem. [MICROSOFT,ESTRATEGIES, ABRIL 2011].Quando combinados com a crescente disponibilidade de Wi-Fi de alta velocidade,serviços baseados na nuvem e tecnologias virtuais, estes dispositivos móveis podem facilmenteproporcionar um ambiente de negócio flexível, favorecendo a habilidade de trabalhar a qualquerhora, em qualquer lugar. A distinção entre tempo de trabalho e de lazer não é mais ditado pelohorário tradicional das 8 às 17 horas. Em um dispositivo pessoal, os funcionários podem mudarentre tarefas de trabalho e de lazer de maneira contínua, permitindo que trabalhem quando estãomais motivados. [MSSTREND, 2012].“Pela primeira vez, desde os primórdios da TI, os consumidores experientes efuncionários estão adotando tecnologias mais rapidamente do que as empresas podem absorvê-las”, ressalta Art. Coviello, presidente da RSA, divisão de segurança da EMC.[COMPUTARWORLD3, 2012]. Estudos recentes têm confirmado essa tendência. Por exemplo,um estudo da IDC que a Unisys encomendou descobriu que 40% do tempo que os usuáriosgastam no seu computador pessoal é realmente para o trabalho. Além disso, 50% do tempo queos usuários passam em seus Computadores portáteis, smartphones ou tablets, também estárelacionado com o trabalho [MICROSOFT, ESTRATEGIES, ABRIL 2011].2.3 Aumento no poder de processamento dos dispositivos móveisOs dispositivos móveis são considerados como a grande febre tecnológica do momento.O poder de computação já está disponível em uma ampla gama de dispositivos móveiscomo smartphones e tabletes. Eles estão tão poderosos que já são capazes de executar tipos deaplicações que eram tradicionalmente restritos a computadores desktops e notebooks.[MICROSOFT, ESTRATEGIES, ABRIL 2011].Desde que os computadores deixaram de existir apenas nos grandes Data Centers oucentros de pesquisa e se tornaram uma ferramenta acessível para os usuários, passando aocupar as mesas das residências e dos escritórios, iniciou-se uma grande evolução etransformação desses dispositivos que entrou em um movimento de miniaturização, trazendo
  • 7. 7mais facilidade e mobilidade além de tornar esse poder de processamento ao alcance dasnossas mãos, literalmente.Liderando o ranking da atualidade o dispositivo da vez é o tablet. Conforme [SAMPAIO,2010], em 1989 a empresa GRID lançou um computador sem teclado, chamado GridPad. Suautilização se dava através da tela sensível ao toque, e criou-se então a definição SlateComputer. Porém, para os dias atuais, de acordo com as tendências de design, peso efuncionalidades, alterações foram feitas até a Apple lançar o aclamado iPad. [JUNIOR, 2011]Apesar do iPad, iPod e iPhone da Apple terem influenciado e liderado essa iniciativapara a evolução dos dispositivos móveis, pesquisas apontam que hoje eles não são os maisutilizados pelos usuários em suas atividades nas corporações. A pesquisa mostra que a Apple éum fator no consumo de TI, mas está longe de ser o único na condução desta tendência. Naverdade, o dispositivo de consumo mais popular que os funcionários estão trazendo para aempresa não é um produto da Apple. [AVAGE2,2012].2.4 Mudança na Política de Segurança de TIA política de Segurança é a base para todas as questões relacionadas à proteção dainformação, desempenhando um papel importante em todas as organizações. A necessidade deestabelecer uma política de segurança é um fato realçado unanimemente em recomendaçõesprovenientes tanto do meio militar (Orange Book6) como do meio técnico (HandBook - RFC21967) e, mais recentemente, do meio empresarial (ISO/IEC 270028). [NAKAMURA, Segurançade Rede]É importante ressaltar que a consumerização não se aplica apenas a invasão dosdispositivos pessoais nos ambientes corporativos, porém vai a muito mais que isso, pois envolve,além da forma como os usuários acessam os dados, como também o que eles passam aacessar com essa facilidade nos dispositivos, como exemplo, o acesso às redes sociais atravésdesses dispositivos que em alguns casos já trazem um pacote de dados que permite o acesso àinternet de forma independente.A TI e os gestores de segurança da informação não conseguirão controlar diretamentenem proteger adequadamente os dados da empresa nos próximos anos. O alerta é de6Plano sistemático para tratar do Problema Clássico de Segurança, apresentado pelo Departamento deDefesa dos Estados Unidos em em 1977.7Guia para o desenvolvimento de políticas de segurança de computadores.8Guia padrão de normas com as melhores práticas voltados para segurança da informação.
  • 8. 8executivos da indústria que participam da Conferência RSA 2012 em São Francisco (EUA) 9.[COMPUTARWORLD3, 2012]."Precisamos repensar a forma como proteger a empresa", diz Enrique Salem, presidentee CEO da Symantec. “Temos de parar de dizer ‘não’ e tentar formar uma parceria com a nossacomunidade de usuários para permitir o acesso seguro das novas tecnologias e ferramentas demídia social, afirma Salem o executivo”.Em vez de ter firewalls apenas para evitar a entrada de códigos maliciosos na rede, asempresas devem começar a adicionar controles que possam manter as informações críticasprotegidas, disse Salem. [COMPUTARWORLD3, 2012].Patrícia Tito, diretora de segurança da informação da Symantec, pondera que, emboramuitos processos precisem mudar, algumas coisas sobre a segurança da empresa permanecemda mesma forma. "A governança não mudou muito. Eu ainda tenho de manter a cibersegurançabásica", como patch e instalação de ferramentas de antivírus. “Esses ingredientes sãofundamentais e os gerentes de segurança não devem ignorar tais medidas”, explica Patrícia.“O trabalho de segurança é o mesmo, mas agora temos uma camada adicional decomplexidade”, diz Patrícia.A Advogada e especialista em Direito Digital, Patrícia Peck alerta que as novas regrasdevem informar sobre o conteúdo acessado, políticas de segurança, suporte e atualizações dasaplicações, se haverá inspeção dos terminais e as responsabilidades do empregado e daempresa. [CIO, 2012].Caso a TI constate que o funcionário está infringindo as regras, ao usar, por exemplo,programas piratas, a advogada afirma que a empresa tem o dever de informá-lo e bloquear oacesso do equipamento ao ambiente corporativo se ele não corrigir o problema. [CIO, 2012].Essa preocupação com a segurança e a necessidade de se manter o controle dentro dosambientes de TI, motiva cada vez mais as mudanças na política de segurança de TI que agoratem um algo a mais com que se preocupar.Segundo o CIO Ronaldo Ribeiro, da Celulose Nipo-Brasileira S.A. (Cenibra), aadaptação à tendência, minimizando impactos, exige uma revisão na política de segurança nossetores de RH, Jurídico, TI e áreas de negócios. Para Ribeiro, é importante também que hajadebates relacionados à legislação em vigor. “É um caminho sem retorno. Precisamos nos9http://www.rsaconference.com/events/2012/usa/mightier.htm
  • 9. 9adaptar rapidamente, pois assim utilizaremos melhor os avanços tecnológicos”, conclui o CIO.[IMASTERS2, 2012].Em artigo publicado na revista Partnersales10 a advogada Patricia Peck alerta sobre osaspectos legais que devem ser levados em consideração ao adotar a estratégia deConsumerização, onde destacamos alguns pontos mais relevantes a serem observados:• Conteúdos e informações corporativas dentro do dispositivo (Preocupaçõessobre a obrigação de backup, sigilo, confidencialidade e dever de reportarincidente de eventual perda ou vazamento);• Suporte, atualizações e uso de ferramentas protetivas para garantir segurançada informação (se serão fornecidos pela empresa ou não);• Monitoramento das informações corporativas (se vai usar algum software deData Loss Prevention?);• Acesso a informações de trabalho a qualquer tempo e de qualquer lugar nãoconfigura sobreaviso e hora extra (tem que deixar isso claro);• Responsabilidade do colaborador sobre o conteúdo particular do equipamento(porque pode ter algo que possa ser considerado ilícito, como pirataria demúsica, filme, jogos, pedofilia). [PARTNERSALES, 2011].3. Visão das empresas no cenário local (Bahia e Sergipe)A 5º pesquisa de Segurança da Informação11 desenvolvida por uma empresa baiana nosestados de Bahia e Sergipe traz uma visão sobre o que as empresas em diversos segmentospensam sobre a consumerização em TI e como elas já se preparam para esta convivênciainevitável. Sobre esse aspecto, as empresas dos segmentos de Governo, Comercio, Indústria eServiço foram abordadas sobre os seguintes temas:• Qual a sua postura pessoal sobre a consumerização de TI em sua empresa?• Quais os controles de segurança já utilizados, e quais você planeja implementarno próximo ano, relacionado especificamente a consumerização de TI na suaempresa?10Artigo Aspectos legais da Consumerização publicado em 02/05/2011, na coluna É Legal na ediçãoMAI/2011 – Nº 35.11Pesquisa realizada anualmente com inicio em 2006, está na 5º edição. Pesquisa desenvolvida pelaTecnoativa (http://www.tecnoativa.com.br) em parceria com a Sucesso/BA – Associação de Usuários deInformática e Telecomunicações (http://www.sucesu.org.br/).
  • 10. 10• Qual a situação atual da consumerização de TI em sua empresa?• Com relação à segurança da informação, você acredita que sua organizaçãoestá:4. Visão das empresas no cenário AmericanoA Airtight, fornecedora de soluções de segurança para ambientes WiFi, os resultados deum estudo realizado com 316 profissionais das áreas TI e segurança de redes, com o objetivo deavaliar novas tendências de tecnologia e as ameaças para segurança de redes de empresas detodos os portes. [AIRTIGHNETWORKS1, 2012].
  • 11. 115. DesafiosO Tsunami da consumerização, e os desafios trazidos por esta ação avassaladora sobrea infraestrutura de TI das corporações, ainda está longe de ser domado. Conforme já vimos nasseções anteriores, ainda há muito que se fazer para adequar a nossa infraestrutura a realiadetrazida e imposta pela consumerização.Apesar da perda de sono causada pelas preocupações com a consumerização, osexecutivos de TI precisam aceitar a tendência como uma transformação inevitável. Elesprecisam abraçar a consumerização para aproveitar os benefícios que a acompanha, o quealguns estão chamando de uma revolução tão grande quanto o advento do PC. O risco de lutarcontra a consumerização é que o negócio vai consumir tempo e dinheiro e, no final, serultrapassado por competidores que são mais flexíveis, progressistas e à frente da concorrência.[MSSTREND, 2012].Segurança e perda de produtividade ainda são as justificativas mais frequentes parabarrar a consumerização “por essas praias”, como constatou Marcelo Landi, country manager daCitrix no Brasil. “Mas o que é mais inseguro: o sujeito que “espeta” um pen drive no PCcorporativo ou o que usa um dispositivo pessoal?”, questiona. [TI Inside online2, 2012].Este fenômeno gerou um dos grandes desafios hoje das áreas de infraestrutura, que écomo gerenciar e garantir a segurança de aparelhos diversos que não pertencem à empresa,mas que são empregados na lida corporativa. [TI Inside online1, 2012].Dentre todos esses temas discutidos e abordados até aqui, destacamos três pontos defundamental importância, e que merecem uma ação diferenciada. Classificamo-los como algunsdos principais desafios trazidos pelo tsunami, sendo eles:
  • 12. 125.1 Como proteger redes corporativas e os dados acessados por smartphones e tablets depropriedade da empresa e dos funcionáriosDe acordo com a Pesquisa de Segurança e Crimes de Computador da CSI, 7% dasperdas financeiras totais sofridas por negócios com incidentes de segurança de TI foramrelacionados à perda de dados importantes ou confidenciais resultantes de roubo de dispositivosmóveis. [MSSTREND, 2012].Um levantamento mundial realizado pelo Ponemon Institute traz um dado alarmante:77% das empresas admitem que ocorreu vazamento de dados no último ano, por conta dealgum tipo de incidente. A principal causa citada para isso é a perda ou o roubo deequipamentos, seguida por ataques à rede, vulnerabilidades dos dispositivos móveis, Web 2.0 ee-mails enviados para remetentes errados. [PERALLIS, 2011].“As plataformas móveis atuais colocam muito poder e informação nas mãos do usuáriofinal. Isso abre as portas para o roubo e perda de dados”, afirma John McCormack, presidenteda Websense. “Com a adoção em grande escala de dispositivos móveis e mais funcionáriostrazendo seus próprios smartphones e tablets para o trabalho, os desafios são maiores do quenunca”. As empresas precisam proteger os dados imediatamente, e precisam estabelecer efiscalizar as práticas e políticas de segurança. [AGREGARIO, 2012]Prevenir a perda de dados pelo reforço da política restritiva de acesso dos dispositivoslimita o risco de incidentes de perda de dados. A capacidade de limpar remotamente todo oconteúdo de um dispositivo perdido/roubado não só protege os dados no dispositivo, mastambém ajuda a atender aos requisitos de conformidade evitando a divulgação de uma violaçãode dados, o que causaria um grande impacto na reputação da organização. [MSSTREND, 2012].Uma alternativa viável para auxiliar no controle dos dados, com o objetivo de evitar ovazamento desses dados armazenados nos dispositivos é adotar uma solução de DLP – DataLoss Prevention (Prevenção contra perda de dados).Ainda segundo a [AGREGARIO, 2012], a Websense desenvolveu uma solução degerenciamento de segurança para proteção contra vazamento de informações que oferececontroles para prevenir a perda de dados em qualquer dispositivo. Conteúdos de e-mail e anexosconsiderados de alto risco para acesso e armazenamento a partir do dispositivo móvel sãosubstituídos por uma notificação de e-mail configurada pelo administrador.
  • 13. 13A Symantec também traz uma ferramenta que promete ajudará os CISOs a monitorar econtrolar a transmissão de dados confidenciais a partir dos dispositivos móveis sem restringir oacesso dos usuários aos aplicativos.“O uso crescente de dispositivos móveis para uso pessoal e profissional fez crescer odesafio de organizações e indivíduos obterem um nível confortável de controle. Como o númerode dispositivos móveis continua subindo e exigindo mais da área de TI, cresce enormemente anecessidade das organizações protegerem e gerenciarem esses dispositivos e as informaçõesneles contidas”, disse Stephen Drake, vice-presidente do programa de Mobilidade & Telecom doIDC. [SYMANTEC, 2012].5.2 Como gerenciar o acesso ao conteúdo corporativo do uso pessoal em dispositivosdos funcionários com acesso à rede.Aceitando o desafio da consumerização de TI, as organizações podem manter seusfuncionários felizes, economizar dinheiro e dar ao seu departamento de TI alguma esperança deficar a par de quais dispositivos estão sendo usados e como. [MSSTREND, 2012].Ainda segundo a Trend, Muitas organizações estão abordando os desafios daconsumerização com um enfoque de três níveis de dispositivos que se diferenciam de acordocom a forma com que são gerenciados pela área de TI:• Dispositivos não gerenciados (Dispositivos de propriedade dos funcionários, comfuncionalidades básicas de segurança, têm acesso a webmail, mas não aaplicativos de negócios).• Dispositivos levemente gerenciados (Dispositivos de propriedade dosfuncionários sujeitos aos requisitos de segurança e gerenciamento. Têm acessoao e-mail corporativo, calendários e intranet, mas acesso limitado a aplicativosde negócios e continuam a rodar muitos aplicativos pessoais).• Dispositivos totalmente gerenciados (Dispositivos de propriedade da empresa,com funções completas de segurança e MDM e suportadas pela área de TI eHelpdesk. Têm acesso total a mensagens corporativas, calendário e aplicaçõesde negócio e poucos, ou nenhum, aplicativo pessoal instalado).Utilizando como base esta segregação e classificação, a escolha e implantação de umasolução que auxilie nesse gerenciamento torna-se uma tarefa muito mais simples. Como solução
  • 14. 14mais comum para auxiliar nesta administração, existem soluções de softwares conhecidas comMDM - Mobile Device Management (Gerencia de Dispositivos móveis).Essas soluções hoje são disputadas por players que vão de empresas como SAP e IBM,que têm plataformas de Mobile Device Management (MDM), a integradores de mobilidade edesenvolvedores de aplicativos, e, como não poderia deixar de ser, os fornecedores da área desegurança.Como o aparelho pertence ao funcionário, é preciso adaptar as políticas como, porexemplo, ao invés de bloquear os usos indevidos totalmente, fazer isso somente quando ofuncionário está na empresa. [TI Inside online1, 2012]. Por isso a importância da classificaçãodos níveis de dispositivos.O CEO da Navita, Roberto Dariva, concorda: "temos de tratar computadores edispositivos móveis da mesma forma, e isso não acontece hoje. As empresas precisam tercontrole dos dispositivos que acessam suas informações, com ferramentas que permitambloquear, rastrear e apagar esses dados críticos remotamente". Segundo Dariva, a principalameaça está naqueles usuários que instalam aplicativos piratas em seus smartphones e tablets."Quando aplicativos pagos são reempacotados e comercializados em lojas ilegais, muitas vezestrazem consigo um código malicioso", explica o executivo da Navita. [MOBILETIME, 2011].Para o diretor de serviços profissionais para a América Latina da F-Secure, AlexandreLima, além de uma política de segurança e de ferramentas que permitam bloquear e apagar asinformações de um dispositivo, é preciso combiná-las com uma solução de backup em nuvem,para que nada seja perdido. [MOBILETIME, 2011].A grande vantagem de ter uma ferramenta de MDM são os recursos de gerenciamento esegurança que elas oferecem, onde as mais importantes e indispensáveis para apoiar ogerenciamento e a manutenção de um ambiente seguro são:• Proteção contra ameaças web, malware móvel e aplicativos móveis maliciosos;• Firewall de dispositivo;• Controle de aplicativos;• Controle de dispositivos;• Gerenciamento centralizado;• Aplicação de senhas no dispositivo;• Criptografia dos dados armazenados no dispositivo.
  • 15. 155.3 Como restringir ou controlar o acesso à rede para que apenas pessoas/dispositivosautorizadas tenha acesso.Baseado na aplicação e utilização do conceito de níveis de dispositivo, enfrentamosoutro desafio, que é controlar quem deve ou não ter acesso a rede da empresa.Para implantação deste tipo de controle, uma solução bastante interessante e que vale apena analisar é a utilização do NAC – Network Acess Control.Na visão do Gartner o fenômeno (BYOD), com disseminação de iPads, iPhones esmartphones Android para fins comerciais, vai estimular o renascimento do NAC. Segundo aconsultoria, o momento é ideal para o ressurgimento desse conceito por causa da necessidadede abraçar a consumerização com medidas de segurança. [IDGNOW, 2012].Lawrence Orans, analista do Gartner lembra que a primeira onda do NAC começou hácerca de 10 anos, com aprovação modesta, principalmente por instituições financeiras euniversidades para garantir a segurança de sistemas críticos. Agora o NAC promete deslancharcasado com outra sigla que está se tornando conhecida no mundo corporativo: Mobile DeviceManagment (MDM), que é o gerenciamento de dispositivos móveis dentro das companhias.[IDGNOW, 2012].O grande objetivo das soluções de NAC é fornecer controle de acesso à rede, baseadoem políticas de segurança definidas previamente pelo gestor de TI.A solução de NAC permite ao administrador de rede criar regras de segurança que lhepossibilitem identificar e verificar o status dos seus clientes e baseado em suas configuraçõestomar ações alocando um determinado segmento de rede, uma acl e/ou uma faixa de IPespecífica. Com o NAC é possível definir um conjunto de regras a serem verificadas e permitir oacesso à rede somente se o dispositivo estiver compliance com as configurações definidas.Para esclarecimento maior sobre como a solução de NAC pode ajudar a empresa queadota a consumerização de TI, é possível imaginar um exemplo prático, onde um diretor oucolaborador de uma instituição possui um blackberry corporativo, iPhone pessoal, iPad e seunotebook pessoal e deseja ter acesso a rede corporativa e dados da empresa. Com a solução deNAC implantada em uma corporação, é possível criar regras que permitam verificar a situaçãode cada dispositivo e aplicar configurações diferentes para cada um deles, como por exemplo:para o blackberry corporativo permitir acesso aos sistemas e dados da empresa, para o iPhone eiPad pessoal direcioná-lo para uma vlan especifica de dispositivos móveis que permite acessoapenas a internet com liberação aos sites como redes sociais restringido por cotas de tempo de
  • 16. 16acesso ou horário de acesso. Ao notebook, verificar o status de atualização do antivírus, sistemaoperacional etc de acordo com a lista de compliance definida a ser verificada, aloca-lo em umavlan especifica para notebooks e permitir o acesso aos servidores e dados corporativos. Caso odispositivo não esteja compliance o mesmo poderá ser direcionado para uma vlan especificacom acesso apenas a sites de fabricantes com as atualizações e patchs de segurança. Todas asações e parametrizações a serem utilizadas em uma solução de NAC, devem estar de acordocom as normas e politicas de segurança definida pela corporação.6. ConclusãoVisto que a consumerização de TI já é uma realidade presente nos dias atuais, o gestor de TI jáentende a necessidade e importância de conviver com esta situação. Entende-se que aconsumerização de TI hoje já é um caminho sem volta, onde a melhor solução é desenvolvermecanismos e métodos de segurança para garanti a proteção baseado na informação e não nodiapositivo ou no meio/forma de acesso. Seguindo os conceitos dos três pilares básicos desegurança em TI (Tecnologia, pessoas e processos) é imprescindível ter políticas de segurançade TI bem definidas e homologadas pela diretoria (processos), é fundamental a utilização deferramentas de segurança como o NAC, DLP e MDM para apoio e gerencia do ambiente e dainformação (Tecnologia), e finalmente criar a cultura de treinar e conscientizar os usuários eclientes dos serviços de TI da corporação para que seja possível uma utilização mais conscientedos recursos (pessoas).Desta forma, será possível mitigar os riscos de ter problemas de segurança com oambiente por conta da consumerização, além de maximizar e potencializar os benefícios que aconsumerização traz para a corporação convertendo isso em benefícios e resultadosestratégicos vivos e palpáveis para os gestores, visto que hoje a TI tem se tornado cada vezmais estratégica no negócio.7. Referências Bibliográficas[NBR ISSO/IEC 27002] ABNT, NBR ISO/IEC 27002. Tecnologia da informação - Técnicas desegurança –Código de prática para a gestão da segurança da informação. ABNT, 2005.ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT, Rio de Janeiro. Normas ABNTsobre documentação. Rio de Janeiro, 2000. (Coletânea de normas).
  • 17. 17[NAKAMURA, Segurança de Rede] NAKAMURA, Emilio Tissato e GEUS, Paulo Lício.Segurança de Redes Em Ambientes Cooperativos:Fundamentos, Técnicas, Tecnologia eEstratégias. São Paulo: Novatecc, 2010.[COMPUTERWORLD2,2012] Computerworld.Consumerização Traz de volta a idéia de controlede acesso a rede. Publicado em http://www.computerworld.com.pt/2012/05/14/consumerizacao-traz-de-volta-ideia-de-controlo-do-acesso-a-rede/. Acessado em 15/07/2012.[UNISYS, 2011] Estudo revela crescente uso de dispositivos móveis nas organizaçõesbrasileiras. Publicado em http://www.unisys.com/unisys/countrysite/news/index.jsp;jsessionid=8EA5527DDAB4902916EDFECB357635B2?cid=300002&id=3300105. Acessado em 15/07/2012[JUNIOR, 2011] Consumerização e a continuidade do negócio. Publicado em http://www.infoeducativa.animercado.net/index.asp?page=artigo&id=929. Acessado em 15/07/2012.[COOPERATI, 2012] Publicado em http://www.cooperati.com.br/wordpress/2012/05/07/videocast09-consumerizao-o-que-isso/. Acessado em 15/07/2012.[AVAGE2,2012] Global Survey: Dispelling Six Myths of Consumerization of IT. Disponível emhttp://www.avanade.com/Documents/Resources/consumerization-of-it-executive-summary.pdf.Acessado em 16/07/2012.[SAMPAIO, 2010] A história dos Tablets. Disponível em http://www.tecmundo.com.br/3624-a-historia-dos-tablets.htm. Acessado em 29/07/2012.[MICROSOFT, 2012] Consumerização de TI. Disponível em http://www.microsoft.com/pt-br/windows/enterprise/customer-stories/consumerization-of-it.aspx. Acessado em 15/07/2012.[MICROSOFT, ESTRATEGIES, ABRIL 2011]. Strategies for Embracing Consumerization.Disponível em http://download.microsoft.com/download/E/F/5/EF5F8B95-5E27-4CDB-860F-F982E5B714B0/Strategies%20for%20Embracing%20Consumerization.pdf. Acessado em15/07/2012[TI Inside online1, 2012] MDM Nasce nova categoria de software e serviço. Disponível emhttp://www.tiinside.com.br/12/07/2012/mdm-nasce-nova-categoria-de-software-e-servico/ti/288264/revista.aspx. Acessado em 21/07/2012 .[COMPUTERWORLD4, 2012]. Companhias investem emgereciamento da consumerização.Disponível em http://computerworld.uol.com.br/tecnologia/2012/01/26/companhias-investem-no-gerenciamento-da-consumerizacao/IDGNoticiaPrint_view. Acessado 21/07/2012.[COMPUTERWORLD1, 2012] Sete verdades sobre Consumerização de TI. Publicado emhttp://computerworld.uol.com.br/gestao/2012/01/24/sete-verdades-sobre-consumerizacao-da-
  • 18. 18ti/IDGNoticiaPrint_view Acessado em 21/07/2012.[COMPUTERWORLD5, 2012] Preocupações com os riscos da consumerização ainda ronda asempresas. Disponível em http://computerworld.uol.com.br/gestao/2012/01/16/preocupacao-com-riscos-da-consumerizacao-ainda-ronda-empresas/IDGNoticiaPrint_view Acessado em21/07/2012. Acessado em 21/07/2012.[COMPUTERWORLD6, 2011] Beneficios e desafios da estratégia de consumerização. Publicadoem http://computerworld.uol.com.br/tecnologia/2011/12/22/beneficios-e-desafios-da-estrategia-de-consumerizacao/IDGNoticiaPrint_view. Acessado em 21/07/2012[COMPUTERWORLD7, 2011] Chegou ahora de pensa em estratégias de consumerização.Publicado em http://computerworld.uol.com.br/gestao/2011/12/21/chegou-a-hora-de-pensar-em-estrategias-de-consumerizacao/IDGNoticiaPrint_view Acessado em 21/07/2012[AVENAGE1,2012] Relarório de pesquisa sbre os mitos da consumerização de TI. Publicado emhttp://www.avanade.com/pt-br/about/avanade-news/press-releases/Documents/Avanade_PR_CoIT_Brazil_Ptg.pdf. Acessado em 21/07/2012.[GESTÃO E PRODUÇÃO, 2001] O PAPEL DA TECNOLOGIA DA INFORMAÇÃO NAESTRATÉGIA DAS ORGANIZAÇÕES. Publicado em http://www.scielo.br/pdf/gp/v8n2/v8n2a04. Acessado em 26/07/2012[PESQUISA AVANAGE, 2012] Onsumerization of it. Publicado em http://www.avanade.com/pt-br/approach/research/pages/consumerization-of-it.aspx. Acessado em 26/07/2012[IMASTERS, 2012] O Fenomeno do BYOD dentro das empresas de Ti. Publicado emhttp://imasters.com.br/artigo/24758/cloud/o-fenomeno-byod-dentro-das-empresas-de-ti.Acessado em 26/07/2012[IMASTERS2, 2012] Crescimento da consumerização nas empresas revela necessidades deadaptações. Publicado em http://imasters.com.br/noticia/24843/tendencias/crescimento-da-consumerizacao-nas-empresas-revela-necessidade-de-adaptacoes. Acessado em 03/08/2012.[COMPUTARWORLD3, 2012] TI tem que mudar politicas de segurança. Publicado emhttp://computerworld.uol.com.br/seguranca/2012/03/01/ti-tem-que-mudar-politicas-de-seguranca/Acessado em 29/07/2012[CIO, 2012] Patricia Peck avisa aos CIOS. Publicado Gestores que é preciso regularhttp://cio.uol.com.br/gestao/2012/05/27/patricia-peck-avisa-os-cios-e-preciso-regular-consumerizacao/ Acessado em 06/08
  • 19. 19[PARTNERSALES, 2011] Aspectos legais da consumerização. Publicado emhttp://www.partnersales.com.br/artigo/368/aspectos-legais-da-consumerizacao. Acessado em06/08.[TI Inside online2, 2012] Consumerização: Entenda-a u seja devorado. Publicado emhttp://www.tiinside.com.br/22/04/2012/consumerizacao-entenda-a-ou-seja-devorado-/ti/274097/revista.aspx. Acessado em 06/08/2012.[MSSTREND, 2012] Mobile Security – Trend Mcicro. Publicado emhttp://br.trendmicro.com/imperia/md/content/br/products_enterprise/mobile-security/110808-mobile-security-solution-brief__3_.pdf. Acessado em 06/08/12[REFRESCANTE, 2012] Presquisa de mercado – Consumerização em TI. Publicado emhttp://refrescante.com.br/pesquisa-indica-que-43-das-empresas-no-brasil-admitem-perda-de-dados-pelo-uso-pouco-seguro-de-dispositivos-moveis.html. Acessado em 06/08/2012.[PERALLIS, 2011] Empresas tiveram vazamento de dados no umtimo ano.http://www.perallis.com/news/77-das-empresas-tiveram-vazamento-de-dados-no-ultimo-ano-mostra-estudo. Acessado em 06/08/2012.[AIRTIGHNETWORKS1, 2012] Air Tight Byoud Survey. Publicado emhttp://www.airtightnetworks.com/fileadmin/pdf/AirTight-BYOD-Survey-April-2012.pdf. Acessadoem 06/08/2012.[AGREGARIO, 2012] Mudanças de conceito em segurança móvel - Websense. Publicado emhttp://agregario.com/websense-redefine-seguranca-movel-combinando-principal-solucao-mercado-seguranca-web-dados-gerenciamento-dispositivos. Acessado em 06/08/2012.[SYMANTEC, 2012]. Aprimoramento de segurança na mobilidade corporativa. Publicado emhttp://www.symantec.com/pt/br/about/news/release/article.jsp?prid=20120510_01. Acessado em06/08/2012.[MOBILETIME, 2011] Não existe sistema operacional imune a riscos – Karpesky Labs. Publicadoem http://www.mobiletime.com.br/27/09/2011/nao-existe-sistema-operacional-movel-imune-a-riscos-alerta-kaspersky/241960/news.aspx. Acessado em 07/08/2012.[IDGNOW, 2012] Consumerização traz de volda a ideia de NAC. Publicado emhttp://idgnow.uol.com.br/ti-corporativa/2012/05/10/consumerizacao-traz-de-volta-ideia-de-controle-de-acesso-a-rede/. Acessado em 07/08/2012.