Getty Images/iStockphoto
Como abordar a conformidade móvel em um ambiente empresarial
Quando as organizações planeiam a conformidade e a segurança dos dados, devem considerar os dispositivos móveis devido à sua proliferação no ambiente empresarial e à facilidade com que são perdidos.
Os especialistas costumam falar sobre conformidade de TI em termos de setores altamente regulamentados (financeiro, saúde e governo), mas a verdade é que a maioria dos setores tem obrigações significativas de proteção de dados.
No entanto, o debate sobre a conformidade móvel continua negligenciado, apesar do uso crescente de dispositivos Android e iOS para aceder a dados sensíveis dos clientes. A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e o Regulamento Geral de Proteção de Dados (GDPR) são algumas das leis importantes que ditam padrões de políticas de conformidade para TI, mas existem muitas regulamentações locais que regem a divulgação e privacidade de dados, das quais as organizações também devem estar cientes.
Por exemplo, a Califórnia possui a Lei de Privacidade do Consumidor da Califórnia (CCPA), que se aplica a negócios com clientes nesse estado.
A mudança generalizada em direção ao software como serviço (SaaS) e aplicativos em nuvem em muitos setores significa que problemas de conformidade podem afetar PCs, laptops e dispositivos móveis —especialmente smartphones e tablets. Modelos de trabalho híbridos e remotos permitem que funcionários e prestadores de serviços acessem dados corporativos confidenciais de endpoints externos à rede corporativa tradicional.
Quais requisitos de conformidade móvel são comuns na empresa?
Os dispositivos móveis, especialmente em um cenário BYOD, criam desafios de conformidade únicos porque os funcionários móveis têm o mesmo acesso aos dados corporativos usando um aplicativo móvel e no PC corporativo. Estes desafios só são aumentados pelo GDPR, que afeta a maioria das organizações, mesmo que não estejam sediadas na UE. O GDPR tem vários requisitos importantes de divulgação e monitoramento. São os seguintes:
- Fornecer aviso sobre qualquer coleta de dados de identificação pessoal.
- Notifique o público sobre qualquer violação de dados.
- Obtenha o consentimento de qualquer pessoa cujos dados estejam sendo coletados.
- Siga os requisitos de manutenção de registros sobre como os dados são armazenados e usados.
- Permitir que as pessoas cujos dados são coletados visualizem, modifiquem e excluam qualquer informação sobre si mesmas.
As atuais regulamentações federais, estaduais e locais dos EUA não vão tão longe quanto o GDPR na maioria das situações, mas os EUA poderiam expandir para um nível semelhante de rigor regulatório num futuro próximo. As melhores práticas determinam que a TI deve atender aos critérios mais rigorosos em toda a sua organização para estar preparada para o futuro, evitar penalidades significativas por não conformidade e evitar reações negativas dos clientes.
Por que a conformidade móvel é tão difícil de gerenciar?
As violações de dados de dispositivos móveis podem ser particularmente problemáticas porque muitas organizações não têm capacidades de monitorização adequadas para determinar se os dispositivos foram violados.
Quase metade das empresas pesquisadas no Verizon Mobile Security Index de 2022 disseram ter sofrido um comprometimento de dados pela violação de um dispositivo móvel nos últimos 12 meses. As empresas com presença global tiveram ainda maior probabilidade de serem afetadas. Mais de três em cada cinco –61%– foram afetadas, em comparação com 43% das organizações com presença apenas local.
Obviamente, existe uma lacuna significativa no conhecimento empresarial sobre incidentes de segurança móvel.
Muitas organizações não têm certeza de quais dados os usuários armazenam em seus dispositivos móveis. Este é um grande desafio do ponto de vista da conformidade móvel e pode significar um desastre para qualquer organização auditada.
O que a TI pode fazer para cumprir os regulamentos de conformidade móvel?
Abaixo estão algumas estratégias que os departamentos de TI podem implementar para preparar melhor uma frota de dispositivos móveis para permanecer em conformidade:
Estabeleça e aplique uma política móvel em toda a organização
Para cumprir as principais regulamentações e enfrentar a ameaça de incidentes de segurança móvel, a TI deve estabelecer uma política móvel totalmente avaliada para toda a organização. Esta política deve definir claramente quais informações os usuários podem armazenar localmente, como listas de clientes e dados pessoais, quando e como os usuários podem operar seus dispositivos móveis, a quais sistemas corporativos eles podem se conectar e níveis de requisitos de login, como biometria, criptografia única login.
A aplicação dessas políticas exige que uma organização implemente uma ferramenta de gerenciamento de dispositivos móveis (MDM), gerenciamento de mobilidade empresarial (EMM) ou gerenciamento unificado de endpoints (UEM) de um fornecedor como Microsoft, Kandji ou Jamf . Sem um pacote eficaz de gerenciamento de mobilidade, as equipes de TI não podem estabelecer políticas apropriadas e monitorar o uso e o fluxo de dados de maneira adequada para manter a conformidade com todas as regulamentações exigidas.
Os departamentos de TI em setores altamente regulamentados provavelmente já estão cientes do que é necessário em suas áreas. Em alguns casos, a TI manterá seus próprios sistemas para garantir a conformidade e, em alguns casos, as organizações terceirizarão o gerenciamento de mobilidade para terceiros, como um provedor de serviços gerenciados de mobilidade (MSP) que seja bem versado em questões de conformidade.
Implemente uma estratégia eficaz de segurança móvel em toda a sua frota de dispositivos
Os dispositivos móveis correm maior risco de roubo, perda ou comprometimento em cenários de trabalho híbrido e remoto, colocando em risco dados corporativos confidenciais. Use uma plataforma MDM para fornecer um nível padrão de criptografia, autenticação segura e recursos de limpeza remota.
O gerenciamento de dispositivos de propriedade corporativa facilita a implementação de uma estratégia eficaz. Gerenciar a conformidade com endpoints BYOD torna-se mais desafiador devido à diversidade de configurações, sistemas operacionais móveis e versões de aplicativos nos dispositivos dos usuários. A única maneira de ficar à frente desses desafios é dedicar mais tempo à construção de uma estrutura de suporte para BYOD, começando com requisitos de dispositivos regidos por políticas de MDM para ajudar a garantir a conformidade móvel por meio da autorização de dispositivos.
Institua um plano de conformidade para usuários móveis
As organizações sem um plano de conformidade interno para usuários móveis devem instalar um, buscar orientação de um grupo de consultoria familiarizado com questões de conformidade ou terceirizar completamente a conformidade para terceiros especializados em mobilidade empresarial. Aqui estão alguns exemplos notáveis de violações de dados móveis e falhas de conformidade:
- Descobriu-se que o Zoom estava compartilhando dados pessoais dos usuários com o Facebook sem o consentimento do usuário, violando os regulamentos da HIPAA. Em 2021, a Zoom pagou US$ 85 milhões por não cumprir os regulamentos da HIPAA. As alegações incluíam que o Zoom compartilhava informações pessoais dos usuários com o Facebook e o Google sem o consentimento do usuário e mentiu sobre suas práticas de criptografia.
- O WhatsApp foi multado em US$ 267 milhões em 2021 por violar o GDPR em conexão com uma atualização de 25 de maio de 2018 em seus Termos de Serviço.
- Banco de América , Barclays e Morgan Stanley estão entre os bancos que divulgaram acordos para pagar até US$ 200 milhões devido ao uso de aplicativos de mensagens não aprovados por seus funcionários.
Além disso, o Procurador-Geral do Estado da Califórnia anunciou uma investigação em janeiro de 2023 focada na conformidade de aplicativos móveis. Eles enviaram cartas a empresas dos setores de varejo, viagens e serviços de alimentação que supostamente não cumprem a CCPA, especialmente solicitações de cancelamento de consumidores ou consumidores que desejam interromper a venda de seus dados.
Monitore e atualize regularmente software e dispositivos
Assim como as equipes de TI devem monitorar e atualizar o software, os PCs e os servidores que compõem a rede corporativa, a TI deve estender uma estratégia semelhante aos endpoints e softwares de propriedade corporativa e BYOD que interagem com a infraestrutura e os sistemas de TI para garantir a segurança e conformidade.
Uma publicação do PCI DSS intitulada Diretrizes de segurança para aceitação de pagamentos móveis do PCI é um excelente exemplo de um órgão de padrões de conformidade que publica práticas recomendadas úteis para conformidade móvel.
Mantenha registros precisos
Gerenciar o ciclo de vida do dispositivo móvel com seus registros precisos é uma necessidade para atender às regulamentações de conformidade móvel. Os registros incluem o rastreamento de quais dispositivos uma organização fornece aos funcionários, quais funcionários têm acesso a dados corporativos confidenciais e quais medidas de segurança estão em vigor nos dispositivos dos funcionários.
Oferecer treinamento contínuo em segurança móvel a todos os usuários
O trabalho híbrido e remoto exige que as organizações reconsiderem a forma como educam seus usuários sobre segurança e conformidade móvel. A segurança de dispositivos móveis não pode mais ser um módulo de um curso de treinamento on-line de conscientização em segurança que é superficial e não leva em consideração os detalhes específicos da organização, levando os funcionários a revisar o curso para enviar um certificado em PDF por e-mail ao seu gerente .
O treinamento em segurança móvel na era do trabalho híbrido e remoto exige o seguinte:
- Treinamento móvel dedicado desde a integração dos funcionários com foco em segurança e conformidade.
- Publicação e divulgação de documentação e auxílios de trabalho focados em segurança móvel através de canais como Notion ou outras plataformas centralizadas.
- A segurança móvel passa a fazer parte das reuniões de equipe e dos canais de comunicação assíncronos como o Slack .
- O treinamento “just-in-time” em segurança móvel, à medida que novas ameaças surgem no setor ou à medida que a estratégia de segurança móvel muda, é um acompanhamento necessário.
Leve a sério a conformidade móvel
Os dispositivos móveis de algumas organizações provavelmente foram hackeados sem o conhecimento da equipe de segurança. É imperativo que todas as organizações, e não apenas as regulamentadas, levem a sério a conformidade móvel e a incutam em toda a organização a um nível cultural. A TI e o gerenciamento devem garantir que toda a sua frota de dispositivos móveis seja tão compatível quanto a sua base instalada de PCs. Não fazer isso pode resultar em multas significativas, perda de clientes, relações públicas negativas e, em alguns casos, na prisão de executivos.