Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Sua empresa tem políticas de governança para aplicações móveis?

18/07/2014

A recente conferência de mobilidade M6 mostrou que ainda existem muitas empresas indiferentes com relação à segurança de aplicações móveis. Muitas organizações consideram a segurança um peso e não um benefício. Mas quando o assunto é governança de segurança corporativa e a segurança do nível de aplicação, citamos Bob Dylan:“The Answers Are Blowing in the Wind" (As respostas estão soprando ao vento).

Os CIOs que se sobressaem em suas posições têm mostrado que estão atentos às premissas básicas da mobilidade empresarial. Ao estudar as atitudes e sucesso desses CIOs, sabemos que eles prestam atenção às áreas que fazem a verdadeira diferença nas estratégias de mobilidade corporativa: segurança, integração, escalabilidade, recursos de habilidades, conectividade off-line e gestão da execução. Hoje, gostaria de explorar mais profundamente os tópicos da governança de segurança corporativa e a segurança do nível de aplicação.

Uma estratégia eficaz para a governança de segurança corporativa reduz os riscos de acesso não autorizado aos sistemas e dados de TI. Os CIOs altamente eficazes colocam uma clara prioridade nas atividades de governança de segurança. Através do Diretor de Segurança da Informação (CISO-Chief Information Security Officer) eles institucionalizam, acessam e melhoram o gerenciamento de riscos e políticas de segurança. Os CIOs altamente eficazes veem a governança de segurança como uma questão de colaboração com o CISO, não como um assunto para ser delegado.

Os CIOs altamente eficazes mantêm o CISO em um alto padrão ao garantir que planos detalhados e políticas de segurança sejam realmente seguidos e observados. Esses CIOs se preocupam como as unidades, o pessoal, os executivos e a equipe trabalham juntos para proteger os bens digitais da empresa, para evitar a perda de dados e proteger a reputação pública da organização.

O ambiente de conformidade e de regulamentos de uma organização geralmente fornece uma estrutura para as expectativas da governança de segurança corporativa. A abordagem da missão, cultura e gerenciamento das organizações em geral também serão levadas em conta nesta abordagem. Mas os CIOs eficientes nunca comprometem a segurança para apenas terem um bom relacionamento com a corporação. Os melhores CIOs sabem como conquistar o CEO e dão suporte aos custos relacionados com governança de segurança corporativa. Os especialistas em mobilidade tendem a enfatizar a necessidade dos CISOs serem flexíveis quando o assunto é segurança móvel para não sacrificarem a usabilidade e a adoção do usuário.
Os que estabelecem a escolha pragmática para as aplicações como segura ou utilizável perdem o foco. Isso não deveria ser uma escolha. Deve ser feito um esforço para fornecer segurança e usabilidade.

Os CIOs altamente eficazes geralmente se encarregam de conduzir simulações de ameaças, inspeções surpresas e usam especialistas de conformidade externos para manter um elevado senso de conscientização organizacional para os requisitos de segurança. Ameaças, vulnerabilidade e avaliação de risco foram levadas a sério e fatoradas na originalidade dos modelos de negócios da empresa e indústria.

Com a evolução da internet, nuvem e mobilidade corporativa, as estratégias da governança de segurança corporativa devem ser significativamente alteradas. No passado, abordagens centralizadas de processamento de dados permitiam que uma organização focasse na solidificação dos bens ao proteger a localização física de processamento de dados.

Os CIOs altamente eficazes entendem que uma organização deve permanecer focada em reduzir a chance de que bens físicos de propriedade da empresa possam ser roubados ou danificados. Claro que, dispositivos móveis podem ser perdidos ou roubados. Esta certeza de perda deve ser levada em conta nos sistemas e planos de governança de segurança. Para muitos, isto quer dizer que o foco muda para proteger os dados. Mas os CIOs devem entender que não são somente os dados que precisam de proteção, mas também os processos de negócios.

Tradicionalmente, a governança de segurança da informação inclui barreiras físicas, bloqueios, cercas, sistemas de incêndio, iluminação, sistemas de alarme e câmeras de segurança.
Os dispositivos móveis trazem um novo conjunto de requisitos incluindo:

- Gerenciamento de inventário e bens;
- Bloqueio e limpeza remota;
- Gerenciamento de aplicação incluindo identificações de aplicação não autorizadas;
- Criação de um Limite de Dados da Empresa;
- Notificações de Roaming em tempo real;
- Registros persistentes e registros de auditoria.

Políticas de governança para aplicações móveis devem ser consideradas após autenticação do usuário. Revise as aplicações que serão usadas em sua empresa para conformidade com as práticas de segurança para autenticação do usuário móvel. Abordagens aceitáveis podem combinar senhas criptografadas, validação de localização, verificação física do dispositivo, ou abordagens similares para autenticar e identificar o usuário, dispositivo e contexto. Alguns estão vendo o pareamento de dispositivos como meio de segurança. Por exemplo, um relógio ou outro item que pode ser usado deve estar presente para garantir o acesso do usuário ou confirmar a identidade para as mais seguras aplicações. Mecanismos de bioidentidade como impressão digital também são uma opção.

Políticas de governança para aplicações também devem incluir o gerenciamento de direitos do usuário. Revise as aplicações que serão usadas em sua empresa para conformidade com práticas de segurança para direitos do usuário. Geralmente, os diretos do usuário são designados e gerenciados em cada sistema da empresa. Os direitos para um mesmo usuário pode ter que variar entre segurança da área de trabalho e contextos móveis. Alguns direitos podem até ser sensíveis ao local ou consciente do contexto. Os direitos do usuário também podem precisar ser mais restritivos para aplicações no modo off-line versus modo on-line.
A necessidade de uma segurança da aplicação é importante em todos os contextos, incluindo a mobilidade corporativa. Nem todas as medidas de segurança se tornam barreiras para a adoção do usuário, apenas as medidas de segurança mal implantadas. Isto não é diferente de outros aspectos de uma aplicação móvel: interface de usuário, definições de dados e processos de negócios precisam se ajustar ao contexto móvel.

(*) Glenn Johnson é Vice Presidente Sênior da Magic Software Américas

Site: CIO
Data: 18/07/2014
Hora: 8h44
Seção: Opinião
Autor: Glenn Johnson
Link: http://cio.com.br/opiniao/2014/07/18/sua-empresa-tem-politicas-de-governanca-para-aplicacoes-moveis/