Bring Your Own Device BYOD

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Eduardo Antunes da Rosa
Trabalho da disciplina Governança de Segurança da Informação
Tutor: Prof. André Jorge Dias de Moura
Curitiba – PR
2017
ESTUDO DE CASO:
Governança de Segurança da Informação
INTEL CORP. – Bring Your Own Device
REFERÊNCIA:
CHANDRASEKHAR. R. INTEL CORP. – Bring Your Own Device. Ontário. Londres, 2013.
O caso foi escrito unicamente para fornecer material discussão em classe (estudo) e trata da tendência do BYOD – Bring Your Own Device (Traga seu Próprio dispositivo), no contexto da INTEL CORP, onde havia uma iniciativa da equipe de TI a respeito do assunto, e agora era a favor da implementação do BYOD. O então diretor executivo da segurança da informação Malcolm Harkins tem alguns dilemas em relação a implementação do BYOD.
Em 2010 dos quase 80.000 funcionários da empresa pelo mundo, mais de 10.000 já traziam seus próprios dispositivos para o trabalho. Harkins previa que em 2014 70% dos funcionários estariam usando seus próprios dispositivos.
Seus dilemas eram triplos:
- Como extrair valor do BYOD e torna-lo uma nova fonte competitiva na Intel?
- Como garantir a segurança dos dados corporativos nos dispositivos em que os funcionários trazem para o trabalho.
- Como responder ao e-Discovery solicitações de informações armazenadas em dispositivos que não pertencem a intel?
Harkins já havia observado em 2009 a crescente tendência dos funcionários de trazerem seus dispositivos moveis para o trabalho e o uso dos dados corporativos e pessoais passaram a ser simultâneos. Com o crescimento da tendência do BYOD havia uma preocupação entre os profissionais de TI, principalmente no que se tratava a questão de suporte a dispositivos pessoais, dispositivos que não eram gerenciados. E também trazia preocupação aos profissionais da segurança da informação, outra preocupação e que a distração com dispositivos moveis poderia afetar na produtividade.
As preocupações de Harkins não estavam somente relacionada a TI e SI que era sua área de domínio, mas também, financeiro, legal, recursos humanos e o valor da marca da empresa, que não eram suas áreas de domínio. E funcionários investiam em seus próprios dispositivos e traziam para o trabalho da empresa, isso reduziu os custos com a aquisição de equipamentos mas trazia riscos a segurança e aos dados da empresa, a intel precisava controlar os dados da empresa, mas como fazer isso em dispositivos pessoais sem afetar o direito de privacidade.
Havia três opções para Intel em relação ao BYOD, encarar a tendência como moda e logo passaria e seus funcionários esqueceriam, poderia também negar o BYOD dentro da empresa, mas corria o risco de ficar para traz em relação as outras companhias ou apoiar o BYOD adotando as leis da segurança da informação.
No inicio da década de 1990 a Intel reconhecia estas leis. Com o crescimento do uso dos computadores em casa, a Intel permitiu que alguns funcionários acessassem remotamente a rede da empresa, mas devido aos riscos esse acesso era limitado a funcionários que assumiam processos de missão critica.
Em 1997 com o lançamento dos notebooks e acesso a rede sem fio era um novo marco na utilização dos dispositivos moveis. Em 2006 com a chegada dos smartphones era marcada o inicio da tendência do BYOD. Em 2009 a Intel reconheceu que precisava implementar o BYOD.
Como parte de uma estratégia em 2009 Harkins organizou uma sessão web de dois dias por 48 horas, onde sua equipe respondeu a duvidas de quase 7000 funcionários e respondeu mais de 1000 posts, onde havia uma oportunidade para os funcionários fornecer material a respeito de como eles queriam usar seus dispositivos e também para a equipe de segurança da informação explicar o que significava o uso dos dispositivos pessoais significava para a empresa.
Havia uma visão quase que unanime dos funcionários de que a Intel poderia gerenciar as questões de segurança de seus dispositivos, e 100% estavam dispostos a receber treinamento e ajustes necessários em troca de usar seu próprio dispositivo no trabalho.
O BYOD trazia responsabilidades duplas, para a empresa ao gerenciar a segurança e ajustes nos dispositivos pessoais e dos funcionários caberiam entender os riscos que isto trazia para o negocio. 
Um prejuízo que havia para a intel era a perda de equipamento e roubo que agora diminuiria visto que os funcionários seriam mais cuidadosos como os seus dispositivos.
Mas essa não era só uma questão de tecnologia, trazia também duvidas legais e de recursos humanos nas questões de direito de privacidade, licença de softwares e conformidade.
Harkins desenvolve então um modelo de cinco camadas para gerenciar o risco de segurança inerente ao BYOD, onde era definido cinco níveis de acesso.
O valor do BYOD poderia ser definido por três fontes: redução de custos, ganhos de produtividade e vantagem competitiva. A redução de custos era grande já que 60.000 funcionários aproximadamente trariam seus dispositivos para o trabalho.
Ganhos de produtividade porque efetivamente os funcionários estariam gatando mais tempo com assuntos corporativos em seus dispositivos pessoais, em suma estariam trabalhando mais e poderiam atender clientes internos e externos de forma mais efetiva. 
O BYOD fez com que a Intel figurasse em 98º posição numa lista das 100 melhores empresas para se trabalhar nos EUA.
Riscos de Segurança - dois componentes básicos: Dispositivos e dados.
Segurança do dispositivo: como implemtar
Segurança dos dados: Era predominante em qualquer caso, e como ser extraída em um ambiente BYOD.
Hardwares da empresa tinham parâmetros de segurança configurados, hardning, domínio, protocolos de acessos, firewall e antivírus. No ambiente BYOD teriam dois tipos de dispositivos os gerenciados e os não gerenciados, os dispositivos gerenciados tinham controles em camadas: criptografia e capacidade de apagamento remoto. Os dispositivos gerenciados se encaixavam perfeitamente neste modelo, já os dispositivos pessoais não, pois no caso criptografia podia estar danificando dados pessoais dos usuários e apagamento remoto também afetaria esses dados, isso seria um problema de privacidade. Outra questão era as horas extras geradas e o passivo que isso podia gerar a longo prazo.
Outra preocupação era a mistura de identidades como do Google ID e do Live ID com credenciais de email e corporativo e Active Directory.
Harkins tinha na Intel o framework 4P para SI em geral: Previsão, Persistência, Paciência e Preparação:
Previsão: Prever de onde as ameaças de segurança da informação viriam, quais partes da empresa estariam vulneráveis e como o risco se manifestaria.
Persistência: Ser persistente sobre coisas importantes para a Intel e as praticas com as quais se preocupariam como empresa.
Paciente: Não alarmista, não fazer alardes.
Preparação: Controles estratégicos, planos de contingencia e procedimentos de mitigação.
Dilema: Como aplicar este framework na execução do BYOD?
Outro dilema era o e-Discovery
“e-Discovery refere-se ao método de busca, pesquisa e localização e obtenção de dados e informações eletrônicas com a intenção de utilizá-los como evidencias em um processo judicial.”
(pt.wikipedia.org/wiki/Electronic_discovery, 2015)
Os desafios do e-Discovery eram muitos, a questão da posse dos dispositivos, o posse por parte do funcionário exclui a intervenção da equipe de TI sem consentimento.
Harkins apresenta aos outros executivos da Intel três questões praticas: 
Consideração financeira: A Intel daria incentivos para compra de dispositivos com prestação de suporte especifico, onde o dispositivo seria considerado como aprovado.
Segurança: Poderia negar todo acesso a dispositivos considerados “não gerenciados” a dados protegidos, e ai todos os dispositivos BYOD seriam gerenciados, mas isso seria shadow TI. 
e-Discovery: Havia três opções, todos o funcionários assinariam um termo de acrodo, aplicativospoderiam ser desenvolvidos para garantir que as informações fossem repassadas através de servidores corporativos, a Intel colaboraria com fabricantes de dispositivos para instalar as capacidades do e-Discovery.