Qual sistema móvel é mais seguro para sua empresa iOS ou Android?

appleandroAutor: George Hume

Com milhões de novos dispositivos iOS e Android chegando às empresas a cada trimestre, é importante saber exatamente o quanto de risco esses dispositivos trazem – e se um sistema operacional móvel tem uma vantagem sobre o outro quando se trata de proteger aplicativos e dados corporativos.

Quando olhamos apenas para as tendências de malware, a suposição fácil pode ser de que o sistema iOS é a plataforma mais segura. Um relatório do Departamento de Segurança Interna do Departamento de Justiça dos EUA, publicado no ano passado dos EUA, descobriu que apenas 0,7% de todo o malware móvel tem os dispositivos iOS como alvo, em comparação com os 79% dirigidos aos dispositivos Android.

Mas há muito mais a considerar para garantir que os dispositivos móveis são seguros, além da simples contabilização de malware. Além de spyware e outras formas usuais de malware, as empresas precisam se preocupar com os ataques que visam especificamente os seus usuários, parceiros, bem como com a compatibilidade e conformidade com inúmeras regulamentações da indústria e do governo. Isso é um grande desafio, sem dúvida.

Portanto, a dúvida persiste. Quando se trata de realmente proteger os usuários corporativos, qual sistema operacional móvel – Android ou iOS – é mais seguro?

Android avança
Muitos afirmam que o  sistema operacional móvel da Apple é o mais seguro. Brian Katz, diretor, chefe de engenharia da mobilidade da Sanofi é uma exceção. “É um equívoco dizer que o iOS é mais seguro do que o Android”, diz Katz. “Há grandes aspectos da segurança do iOS que são internos, mas você precisa tomar algumas medidas para permitir o acesso a esses recursos de segurança”, diz ele. “Você não pode simplesmente deixar as pessoas usarem os iPhones para acessar as informações da empresa sem tomar algumas dessas medidas.”

Já Jay Leek, vice-presidente sênior e diretor de segurança da informação do The Blackstone Group concorda um pouco com o senso comum. Hpje, os US$ 250 bilhões (de ativos sob gestão) da empresa de private equity estão apoiados apenas na plataforma iOS. Essa decisão foi impulsionada, em grande parte, por questões de segurança com os outros sistemas operacionais móveis, bem como o alto nível de popularidade dos dispostivos iOS entre os funcionários da Blackstone.Agora, a equipe de TI da Blackstone deve começar a suportar dispositivos  Android. Não todos. Apenas aqueles que foram identificados como passíveis de proteção, como o sistema operacional móvel seguro da Samsung, o  Knox.

“Se o iOS é mais seguro do que o Android é difícil de responder. Primeiro, depende do hardware Android com o qual será feita a comparação. A Samsung tem feito um bom, trabalho com a plataforma Android em relação à segurança, quando se trata de da integração de seu hardware com alguns dos recursos de segurança do Android. É por isso que, para suportarmos o Android, vamos dar preferência a aparelhos específicos da Samsung “, afirma Leek.

E é este tipo de integração de hardware que dá à Apple a vantagem, por enquanto. “Ela só tem uma plataforma de hardware que é casada com o sistema operacional. Que é otimizado”, diz Leek.

“Esse nível de controle não existe entre os fabricantes do Androi. Sem uma integração com o hardware. como garantir que os dados não estão sendo desviados, o microfone não está sendo ligado remotamente, ou qualquer outra outra atividade está sendo executada sem o conhecimento dos usuários?”, argumenta Leek.

Recentemente, tanto o sistema Android quanto o iOS têm feito progressos em relação aos recursos de segurança nativos. Para começar, o iOS 7 permite às empresas escolher quais aplicativos devem se conectados através de uma VPN corporativa, fornece suporte aprimorado via MDM, criptografa os dados mantidos dentro de aplicativos de terceiros, aceita single sign-on e fornece built-in de autenticação biométrica.

Já o Android 4.4 (também conhecido como KitKat) oferece suporte maior  para avisos digitais de segurança, para Elliptic Curve Cryptography, e fácil identificação de estouros de buffer. Além disso, recursos de segurança construídos por  fornecedores de hardware, como os presentes no Samsung Knox. KNOX, pretendem proporcionar um processo de inicialização mais seguro, a criação de uma zona confiável para aplicações corporativas, e um kernel com segurança avançada. O KNOX também limita quais recursos podem ser executados dentro da área  protegida.

“A diferença com os dispositivos Android é que cada fabricante tem suas próprias APIs e todos são gerenciados de maneira diferente”, diz Katz. “Portanto, há diferentes chamadas para chegar a essas APIs, o que significa que você realmente tem que trabalhar com os diferentes fornecedores”, explica Katz.

Os elementos de segurança daqui para frente
Em meados do ano Leek espera ter um sistema de gerenciamento de dispositivos móveis capaz de aplicar políticas de segurança em seus dispositivos Android. “Vamos avaliar as aplicações móveis e fazer um inventário de aplicativos usados pelas pessoas”, explica Leek. “Vamos testar os aplicativos, e se encontramos coisas que não são desejáveis, ou sentimos que algo está potencialmente expondo a Blackstone, tomaremos ações para remediar o problema até que seja corrigido”, explica Leek.

Essa habilitação de aplicações seguras não será apenas para dispositivos Android, mas para dispositivos iOS também. “Os mesmos princípios devem ser aplicados para a plataforma iOS. Acredito que estamos menos propensos a ter problemas com iPhones, mas eu não ficaria surpreso com a possibilidade de descoberta de uma quantidade razoável de desafios de segurança com aplicativos iOS”, diz ele.

Katz argumenta que, quando se trata de permitir que os dispositivos móveis acessem a rede, deve haver uma diferença entre dispositivos BYOD ou não. “Certos dispositivos podem ter  acesso total ao meio ambiente por causa dos controles que você pode ter no local, enquanto outros teriam acesso limitado, ou nenhum acesso mesmo. Essa decisão seria baseada em controles de segurança básicos que podem ser colocadas no dispositivo”, diz Katz. “Desta forma, as pessoas podem escolher o que quiserem, mas o seu acesso será limitado com base no dispositivo escolhido”, diz ele.

No ambiente corporativo, isso se aplica igualmente aos dispositivos de propriedade da empresa e aos de propriedade de seus colaboradores. A estratégia de segurança deverá refletir essa diversidade interna.

A verdade universal sobre a mobilidade é que uma solução única não satisfaz todos os conjuntos de necessidades. Muitas empresas determinarão os recursos de segurança a partir de uma matriz  que divide as necessidades endereçadas pelo BYOD nesses quatro grupos descritos abaixo.

Categoria 1: engloba informações comerciais de rotina
Motoristas de caminhões, representantes de vendas, funcionários de vendas, designers gráficos, programadores de aplicações, pessoal de manutenção, restauradores – as pessoas com essas profissões raramente lidam com informação muito sensíveis do ponto de vista pessoal ou legal. Se um smartphone usado por um desses profissionais for perdido ou roubado, o impacto passa apenas pela necessidade de reconstrução de alguns dados, e de garantir que o serviço de comunicações seja suspenso.

Há também o risco de o ladrão ter acesso à conta de e-mail do funcionário, e por isso torna-se necessário mudar imediatamente os dados de autenticação no servidor. Os mecanismos de segurança recomendáveis incluem o uso de um PIN para uso o dispositivo e o uso de uma senha.

Boas, mas não essenciais, as práticas de segurança e de gestão de capacidades englobam processos de expiração de senhas e requisitos complexos para obtenção das mesmas.

É importante garantir também a possibilidade de apagar os dados do dispositivo, remotamente, associada a uma política de eliminação de dados após certo número de tentativas.

Categoria 2: informações importantes de negócios
Gestores de vendas, assistentes pessoais, consultores, professores, editores, operadores de vídeo, programadores, gestores de nível médio – pessoas com estas funções ou profissões têm acesso a alguma informação pessoal e financeira que não vai destruir a empresa se for roubada. Mas que pode causar danos financeiros e de imagem que é importante  prevenir.

Também têm acesso a alguns sistemas internos através de senhas que poderão ser usadas por pessoas mal intencionadas. Se o dispositivo móvel for perdido ou roubado, o esforço para evitar as falhas de segurança vão além da eliminação de informação e exigem alteração de senhas partilhadas.

Podem exigir também informar os parceiros de negócios sobre o sucedido, e perder vantagens competitivas no curto prazo.

As capacidades necessárias de segurança e gestão incluem o uso de uma senha complexa para usar no dispositivo, processos de expiração dessas senhas, a possibilidade de eliminação de dados por via remota, e encriptação SSL de e-mail e outros dados.

A eliminação de dados após certo número de tentativas de autenticação falhas também é uma política importante. Não é essencial que sejam usadas redes VPN, e/ou a autenticação por dois fatores para acesso a dados e sistemas de armazenamento. Mas tal como a criptogtafia no próprio dispositivo, técnicas de criptografia dos dados serão muito úteis se disponíveis.

Categoria 3: informações comerciais confidenciais
Funcionários financeiros, auditores, banqueiros, médicos, pessoal de RH, advogados, agentes reguladores, gestores de produto, investigadores, gerentes de divisões, altos executivos de TI, gestores de marketing e chefes de vendas, executivos na maioria das empresas, e todos os seus assistentes – estes profissionais trabalham com informações muito sigilosas (legais, financeiras, de produtos e de RH).

E geralmente têm acesso aos principais sistemas internos de armazenamento de dados. Se os seus dispositivos forem perdidos ou roubados, pode haver sérias consequências financeiras devido e perdas competitivas se detalhes sobre as negociações comerciais, de salários ou dados semelhantes forem revelados.

As capacidades necessárias de segurança e gestão incluem a exigência de senhas complexas para uso no dispositivo móvel, um sistema de expiração de senhas e a capacidade de eliminar dados por via remota conjugada com limites de tentativas de autenticação. Envolve também a utilização de criptografia SSL de e-mail e de outros, além do uso de redes VPN e, ou, sistemas de autenticação de dois fatores para acesso aos sistemas e dados sensíveis. O uso de criptografia no dispositivo também é essencial. Menos importante, mas útil, é o controle de acesso a redes específicas, ou a capacidade de desligar a câmara, e o controlo sobre a instalação de aplicações.

Categoria 4: fornecer informações altamente sigilosas
Fornecedores da defesa, espiões, policiais, diplomatas, militares, responsáveis políticos e assistentes – pessoas com essas profissões e funções trabalham com informações confidenciais cuja exposição pode colocar vidas em risco.

Os seus dispositivos devem suportar a utilização de senhas complexas, sistemas de senhas expiráveis, a eliminação remota de informação, criptografia com nível militar de dados de email e outros. Os processos de eliminação de informação depois de seguidas tentativas de autenticação falhas devem ser de nível militar.

E os dispositivos devem usar redes de acesso por VPN a sistemas internos, além de suportarem autenticação de dois fatores físicos. O dispositivo também deve suportar encriptação de grau militar no próprio equipamento e as normas MIME e FIPS 140.

Deve possibilitar também o controle e bloqueio discreto sobre o acesso a redes e a instalação de aplicações.

Fonte: COMPUTERWORLD

Anúncios

Um pensamento sobre “Qual sistema móvel é mais seguro para sua empresa iOS ou Android?

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s