Política de Segurança da Informação para dispositivos moveis: Uso aceitável.

Em meu trabalho como consultor na área de Segurança da Informação, sempre chega um momento do projeto em que me deparo com o uso aceitável de dispositivos moveis no local de trabalho. Minha ideia é compartilhar com você um modelo que possa ser utilizado como base para elaborar uma Política de Segurança da Informação para dispositivos moveis. O modelo é o mais genérico e abrangente possível, dando margem para a customização de acordo com as necessidades de cada negocio.

 

Um documento de política para dispositivos moveis (às vezes chamado de Política de Uso Aceitável) deve informar aos funcionários o que se espera deles quando se trata de usar smartphones, tablets e outros wearables no trabalho, bem como deve esclarecer as responsabilidades da empresa sobre este assunto.

 

Essas políticas têm múltiplos propósitos – mas as mais importantes são:

• Proteção de dados  e ativos corporativos. 

• Permitir produtividade, acessibilidade e a colaboração que deve acontecer de forma segura, sempre e onde quer que seja: dentro e fora da empresa.

 

Os usuários de dispositivos móveis precisam de regras e procedimentos claros para entender o que a computação móvel segura significa – geralmente, mas também no contexto de sua organização especificamente. Uma boa política não só fornece aos funcionários a informação que precisam para acessar suas redes e sistemas com segurança, mas também diz como gerenciar, resolver ou redirecionar quaisquer problemas que surjam. 

Uma política bem elaborada oferece uma estrutura sólida para gerenciar para qualquer modelo de dispositivo. A estrutura da política também obriga ao Security Officer, a considerar vários outros aspectos (incluindo questões comerciais e legais) antes de chegar ao fim do caminho.

O nível de detalhe desta política pode variar desde declarações amplas sobre o acesso apropriado, até considerar aspectos mais específicos, tais como o reembolso de tarifas de rede celular, quais dispositivos são aceitáveis, melhores práticas de uso seguro e uma mapa de riscos, responsabilidades e isenções.

 

Uma nota importante:

Vale a pena e é preciso para criar uma política para o uso aceitável de dispositivos móveis que os funcionários possam realmente entender. A maioria dos exemplos que você encontrará nas empresas hoje estão escritas em formato legal jurídico. O documento certamente deve ser revisado e aprovado pela sua equipe jurídica, mas isso não significa que ele deve ser impenetrável para as pessoas que precisam usá-lo.

Se os usuários não o entenderem, eles ficarão relutantes e inseguros em usar seus dispositivos em todo seu potencial. Isso significa que você está perdendo oportunidades de produtividade. E se eles não entendem suas responsabilidades no lado da Segurança da Informação, você expõe a organização para riscos desnecessários. Um texto claro e em linguagem simples é a melhor maneira de garantir que a empresa obtenha o máximo de seu investimento em mobilidade.

 

Este é modelo prático para criar seu documento de política. Leia cada item, considere as opções que você possui e a posição que você deseja tomar. Converse sobre as implicações com todos os stakeholders relevantes (incluindo o departamento jurídico). Esta lista de tópicos não é exaustiva, mas fornece um começo – se quiser, basta copiar e colar as seções que fazem sentido para o seu negócio, depois adote-o e adapte-o da melhor forma.

 

  1. Declaração geral explicando por que você criou esta política.

Sobre o que é esse documento.

Por exemplo:

A mobilidade é uma parte cada vez mais importante da estratégia desta empresa para aumentar a produtividade, colaboração e acesso a informações críticas. Mas tudo isso deve ser realizado com segurança. Este documento explica o que se espera de você quando se trata da maneira como usa dispositivos móveis para e no trabalho. Também explica o que você pode esperar da empresa e da TI. E descreve o que fazer se as coisas derem errado – quando um dispositivo for perdido ou furtado, por exemplo.

Este documento foi elaborado o mais conciso possível. Antes de assinar e reconhecer que você entende e concorda com ele, invista alguns minutos para ler este documento. Como é de se esperar, os funcionários que não respeitarem essa política poderão enfrentar reprimendas e penalidades de vários tipos, incluindo a demissão. Se você tiver dúvidas, entre em contato com dispositivosmoveis@empresa.com.br para mais informações.

 

  1. Diretrizes básicas que se aplicam a todos os usuários de dispositivos móveis, independentemente de quem possui o dispositivo. 

Suas responsabilidades para uso de qualquer dispositivo móvel.

Por exemplo:

Você concorda em fazer sua parte para proteger a rede da empresa e os dados confidenciais que estão armazenados ou acessados usando um dispositivo móvel. 

Como? Ao tomar medidas como estas:

• Fazer o melhor para proteger o dispositivo contra perda ou roubo.

• Informar imediatamente sobre um dispositivo perdido ou roubado.

• Mantendo o sistema operacional e os aplicativos atualizados e/ou verificando com a TI se você não tem certeza de como fazê-lo.

• Usando apenas aplicativos e ferramentas aprovados para acessar dados da empresa.

• Usando os programas e práticas de segurança fornecidos pela TI para evitar pirataria e/ou adulterações em software/configurações de segurança no dispositivo.

 

  1. Forneça uma declaração geral aos usuários que realizam trabalhos usando seus próprios dispositivos móveis.

Para os dispositivos que você possui (também chamado BYOD: Bring your own device – Use seu próprio dispositivo) por exemplo:

Convidamos você a trazer e usar seu próprio smartphone e/ou tablet ou qualquer outro dispositivo móvel para e no trabalho. 

Mas porque nosso departamento de TI não gerencia ou mantém esses dispositivos, é fundamental que você siga as diretrizes contidas neste documento. Como proprietário do dispositivo, é de sua responsabilidade:

• Registrar o dispositivo com a TI antes de começar a usá-lo no trabalho.

• Configurar qualquer serviço ou cobrança com a rede da empresa ou com a operadora. Se tiver duvidas, peça ajuda à TI.

• Mantenha o dispositivo atualizado instalando atualizações/patches de software quando eles estiverem disponíveis.

• Você pode instalar qualquer software que seu gerente concorda que é necessário para uso corporativo, mas somente aqueles da lista de software aprovada e fornecida pela TI.

• Mantenha atualizada as informações de garantia relevantes para seu dispositivo.

• Substitua a bateria do seu dispositivo se e quando isso for necessário.

• Execute sempre copias de segurança de todos os dados, configurações, mídia e de aplicativos.

 

  1. Aqui você fornece orientação para os usuários que trabalhem com um dispositivo próprio da empresa, mas que também usem esse dispositivo em suas vidas pessoais. Nos cenários COPE (Corporate Owned, Personally Enabled), a TI geralmente possui os mesmos controles que exerce nos dispositivos corporativos. Geralmente, a TI e a empresa concordam em permitir conteúdo pessoal dos usuários nestes dispositivos, a menos que os conteúdos causem interferências entre si. Quando os recursos de segregação avançados estão funcionando sem problemas, a TI geralmente pode ficar completamente fora do acesso ao conteúdo pessoal dos usuários.

 

Para os dispositivos que a empresa possui, que também contêm seus dados pessoais (também chamado de COPE, Corporate Owned, Personally Enabled),

Por exemplo:

Os smartphones, os tablets e até os notebooks COPE são gerenciados pela TI.

Você é responsável por:

• Instalar/concordar com atualizações de software que são disponibilizado pela TI.

• Informar imediatamente um dispositivo perdido ou roubado.

Você pode baixar aplicativos de lojas de aplicativos populares, instalar o software que deseja ou precisar, e armazenar suas fotos, vídeos e música, etc. A empresa fará todas as tentativas de respeitar sua privacidade de usuário COPE. Mas lembre-se, este é um dispositivo de propriedade da empresa. Você deve estar ciente de que o dispositivo pode ser apagado remotamente ou reiniciar se houver suspeita de estar comprometido. Consulte a seção “Monitoramento e proteção” para obter mais detalhes.

 

  1. Aqui você encontra as áreas de responsabilidade da TI. Também estão explicados aqui o que o usuário pode esperar da TI de acordo com o modelo de propriedade; então os usuários BYOD não ficarão surpresos quando a TI os dirigir de volta para sua operadora em determinados problemas de suporte.

 

O que você pode esperar dos Serviços de Suporte de TI

Por exemplo:

Para os dispositivos que você possui (BYOD), a área de IT necessita que você:

• Certifique-se de que o seu dispositivo está em conformidade com o nossos padrões de segurança. Se estiver, a TI irá registrá-lo sob o seu nome e depois configurá-lo para acessar aplicativos e redes aprovadas pela empresa.

• Configurar seu serviço de sincronização de e-mail, calendário e contatos.

• Configurar seu acesso Wi-Fi.

• outras demandas que se fizerem necessárias.

 

  1. Aqui você descreve quem pode acessar redes e dados corporativos através de dispositivos móveis – incluindo clientes, fornecedores e outros parceiros. Você deve informar aos funcionários sobre como solicitar o acesso em nome desses terceiros. Lembre-se de  que você deve desenvolver um documento aceitável para esses indivíduos também.

 

Quem é elegível para acesso móvel?

Por exemplo:

• Quem quer acesso móvel à nossa rede ou dados por dispositivo móvel deve solicitar aprovação de um gerente superior.

• Nem todos os usuários terão as mesmas permissões ou níveis de acesso. Você pode encontrar restrições com base no seu perfil, função ou departamento.

• Quando os fornecedores, clientes e convidados recebem acesso, seus privilégios serão limitados. Para solicitar acesso para um parceiro externo, entre em contato com a TI e envie o formulário de solicitação de acesso à rede para convidados. 

 

  1. Mesmo quando existe uma clara segregação entre os dados de trabalho e os dados pessoais num dispositivo móvel (containerização ou sandboxing), forneça uma explicação clara sobre o que é e o que não é certo.

 

O que você pode e não pode fazer na rede corporativa

Por exemplo:

• Restringimos o acesso a determinados sites e aplicações. Esta lista é atualizada o tempo todo, mas você pode solicitar à TI a versão mais recente, se estiver disponível.

Enquanto você está conectado à rede corporativa, lembre-se:

• Você não deve usar o dispositivo para armazenar ou transmitir material ilícito ou informação proprietária pertencente a esta empresa para outra empresa.

• Não digite mensagens (Whatsapp por exemplo) ou email enquanto dirigir. É proibido pela empresa, independente de qualquer legislação local. Apenas fale em um dispositivo móvel enquanto estiver dirigindo se estiver usando um dispositivo handsfree.

• Em dispositivos onde existe uma segregação clara e segura (ou sandbox) para dados e/ou aplicativos corporativos, as políticas da empresa serão aplicadas apenas aos dados e aplicativos relacionados ao trabalho e a qualquer acesso corporativo à rede. 

  1. Dispositivos atualmente suportados

Liste os dispositivos atualmente aceitáveis, incluindo versões de software, modelos e instruções específicas com base no tipo de dispositivo. Especifique qualquer distinção no modelo do dispositivo  – por exemplo, a empresa não pode fornecer dispositivos Android corporativos, mas pode permitir o uso do BYOD Android.

Por exemplo:

Para dispositivos BYOD (onde você possui o dispositivo):

• IOS 10 e 9; Atualmente, os dispositivos Android 7 e 6 são permitidos.

• Depois de enviar seu pedido de acesso à rede e ele ter sido aprovado pelo seu gerente, entre em contato com a TI. Eles vão configurar o seu dispositivo para uso com nossos aplicativos de trabalho padrão (como e-mail, software de produtividade e ferramentas de segurança) e quaisquer aplicativos ou softwares aprovados especiais que sua função exija.

• A TI poderá fornecer suporte para quaisquer problemas que você possa ter com as ferramentas de trabalho ou para se conectar à rede corporativa. Para quaisquer problemas relacionados ao próprio dispositivo, lembre como você faria com qualquer dispositivo móvel pessoal que você possui (por exemplo, ligue para o provedor de serviços ou a operadora de rede). Se você não tem certeza qual é o problema, comece com seu provedor – eles serão capazes de dizer se é algo que eles podem ajudar ou não. 

  1. Explique que apenas dispositivos aprovados podem ter acesso, independentemente do modelo do dispositivo. Você também pode detalhar sobre como os usuários podem solicitar que a TI adicione um determinado dispositivo à lista. 

Dispositivos que atualmente não são suportados.

Por exemplo:

As seguintes plataformas de dispositivos não são suportadas neste momento:

• iOS 7, 8 ou anterior; Android 4, 5 ou anterior

• Se você não tem certeza se o seu dispositivo pessoal é suportado para uso no trabalho, verifique a lista completa de dispositivos suportados. Se ele não estiver listado, não é suportado. Você pode checar com a TI para saber se o seu dispositivo pode ser suportado em breve – a lista é atualizada regularmente à medida que novos dispositivos se tornam disponíveis e os mais antigos se tornam obsoletos. 

  1. Aqui estão descritas ações específicas e as precauções que os usuários devem tomar para garantir o acesso seguro do dispositivo à rede e à proteção de dados corporativos. Também descreverá o funcionamento do seu sistema de gestão de dispositivos móveis, em termos do que o sistema de gestão de dispositivos pode exigir dos usuários, e como isso pode afetar a experiência do usuário. 

Como fazer sua parte para a Segurança da Informação em dispositivos móveis

Por exemplo:

Como indicado neste documento, o acesso móvel a redes e dados corporativos vem com responsabilidades, seja você o proprietário ou não do dispositivo

Se você usa um dispositivo móvel no trabalho:

• Preste atenção para evitar malware e vírus, instalando apenas aplicativos e software confiáveis; faça um esforço para evitar que os dispositivos sejam perdidos ou roubados e para garantir que dados confidenciais não sejam perdidos ou comprometidos.

• Deixe que os controles de segurança sejam implementados apenas pela TI.

• Certifique-se de que o dispositivo esteja protegido por senha. Também é necessária uma senha forte para acessar a rede da empresa. O que faz uma senha forte? Deve ter pelo menos oito caracteres e uma combinação de letras maiúsculas e minúsculas, números e símbolos, com um mínimo de uma letra maiúscula e um símbolo. Você precisará alterar sua senha a cada 45 dias e a nova senha não pode ser usada nos últimos 12 meses.

• Certifique-se de que o dispositivo esteja programado para se bloquear com uma senha ou PIN se estiver ocioso após cinco minutos.

• Após dez tentativas de login falhadas, o dispositivo deve ser bloqueado. Você precisará entrar em contato com a TI para recuperar o acesso.

• Não use dispositivos moveis rooted ou jailbroken para acessar a rede corporativa. Estes são dispositivos que tiveram limitações e proteções removidas para que os usuários possam adicionar coisas como software não autorizado.

• Assegure, sempre que possível, que o dispositivo esteja configurado para manter separados os dados corporativos dos dados pessoais de forma segura.

• Não tente se conectar a smartphones e tablets que não estão na lista de dispositivos suportados da empresa.

• Não conecte smartphones e tablets que você possui para uso pessoal que não estão registrados com TI.

• Certifique-se de que seu dispositivo está configurado para criptografar o conteúdo. Somente os dispositivos que possuem esse recurso estão na lista aprovada.

• Certifique-se de ter as aprovações corretas. O seu acesso móvel aos dados da empresa depende das aprovações que você possui do gerente superior – muitas vezes esta é uma função do seu perfil de acesso ou departamento de trabalho.

• Informe um dispositivo perdido ou roubado imediatamente entrando em contato com TI e seu gerente também. Embora a TI tenha as melhores precauções de segurança, quanto mais tempo transcorrer entre a perda do dispositivo e a TI que o atende, maior o risco de os dados da empresa caírem nas mãos erradas.

• Saiba que o seu dispositivo pode ser apagado remotamente se 1) o dispositivo for perdido, 2) se você deixar a empresa, ou 3) A TI detectar uma violação de dados ou políticas ou outra ameaça à segurança dos dados ou tecnologia da empresa. Quando possível, apenas os dados corporativos serão apagados, a menos que você dê aprovação escrita para a TI limpar seu conteúdo pessoal também. 

• Mantenha atualizado o sistema operacional e os aplicativos corporativos do seu dispositivo. 

  1. Monitoramento e proteção

   Consulte o departamento jurídico se precisar de ajuda para a redação deste parágrafo.

Por exemplo:

A empresa tem o direito de:

• Monitorar as aplicações e o conteúdo na área corporativa (container) do seu dispositivo móvel.

• Limpar remotamente ou redefinir o dispositivo para os padrões de fábrica. Onde os dados pessoais e corporativos e os aplicativos são mantidos separados, todas as tentativas serão feitas para limpar apenas os dados e aplicativos corporativos (a menos que você nos peça para limpar seu conteúdo pessoal também).

• A limpeza remota pode ser necessária se o dispositivo for perdido, roubado ou suspeito de estar comprometido. O dispositivo também pode ser apagado se não for compatível com as políticas da empresa, ou você não estiver mais vinculado com a empresa. 

  1. Aqui estão descritos detalhes sobre quem pagará o dispositivo, o plano de dados, excessos, taxas de roaming etc.

Reembolso

Por exemplo:

A empresa reembolsará o custo inicial de dois dispositivos móveis, até R$2500,00 cada, por exemplo. Você pode comprar um dispositivo que seja mais caro, desde que esteja na lista de dispositivos aceitáveis, mas você precisará pagar a diferença. Como você provavelmente sabe, você pode diminuir o custo total do dispositivo, adquirindo um plano de voz e dados mais longo (2 anos, por exemplo) ou conectado ao dispositivo que adquirir.

Você precisa comprar o dispositivo primeiro, depois enviar o formulário de compra para solicitar reembolso. Seu reembolso será emitido dentro de 10 dias úteis, uma vez que tenha sido aprovado pelo seu gerente.

Você pode atualizar os dispositivos a cada 18 meses e reivindicar o mesmo valor (R$2500,00) com cada atualização. 

  1. Se estiver disponível, descreva o que os usuários podem e devem fazer através de recursos de autoatendimento antes de buscar qualquer envolvimento Helpdesk da TI. Descreva as responsabilidades dos usuários para fazer backup de dados e como contatar a TI ou sua solução em cenários de backup e restauração. 

Gerenciamento de autoatendimento para dispositivos 

Por exemplo:

A empresa fornece uma ferramenta que você pode usar para lidar com certas tarefas de administração para seus dispositivos. Por exemplo, se o seu dispositivo for perdido ou roubado, você pode usar este aplicativo baseado na web para alterar remotamente a senha ou excluir os dados do seu dispositivo. Você não precisa instalar nenhum software no seu computador para usar esta ferramenta. A TI fornecerá o endereço da Web e as informações de login. 

  1. Estas são algumas sugestões para viagens internacionais

Forneça orientações sobre o uso aceitável de dispositivos móveis durante uma viagem. Aborde quaisquer responsabilidades, destaque países de alto risco e detalhe as práticas de pós-viagem necessárias.

Por exemplo:

A empresa cobrirá as despesas de roaming ou de viagem que você incorrer enquanto trabalha. Estes podem incluir:

• Chamadas de longa distância que você precisa fazer para negócios.

Roaming ou taxas de uso de voz e dados que você incorre quando estiver viajando por negócios. Pedimos que você faça o melhor para minimizar esses custos – usando Wi-Fi, por exemplo, em vez de dados de celular enquanto viaja. Em alguns casos, de acordo com o seu gerente, a TI pode desativar o roaming internacional do seu dispositivo móvel para reduzir os custos. 

  1. Você deve pedir ajuda ao departamento jurídico para esta seção, pois aqui estão envolvidos sérios problemas de privacidade e responsabilidade. 

Riscos / Passivos / Isenções

Por exemplo:

• Reservamo-nos o direito de desconectar dispositivos ou desativar serviços sem prévia notificação.

• Se o seu dispositivo for perdido, roubado ou comprometido, informe imediatamente, mas prioritariamente dentro de 24 horas, a TI e seu gerente superior. Se você possui o dispositivo, mas usa para trabalhar (BYOD), é de sua responsabilidade notificar sua operadora de celular (o provedor de serviços) se o dispositivo for perdido ou roubado ou furtado e limpar o dispositivo de qualquer conteúdo relacionado ao trabalho se você tiver capacidade para tal.

• Você deverá usar seu dispositivo sempre de forma ética e legal, e seguir a política de uso aceitável da empresa (descrita acima).

• Se você não estiver de acordo com as políticas contidas neste documento, saiba que a empresa se reserva o direito de tomar medidas disciplinares apropriadas, incluindo a rescisão de seu contrato de trabalho. 

  1. Penalidades

Por exemplo:

Qualquer usuário que tenha violado as políticas descritas neste documento pode estar sujeito a medidas disciplinares. Eles incluem:

• Ter negado o acesso às redes corporativas, aplicativos e dados.

• Ter os dados removidos do dispositivo.

• Ter o contrato de trabalho rescindido.

 

e 17. Lembre-se de adicionar uma área – ao final deste documento – para o usuário assinar e para que você tenha um registro do acordo de cada empregado com esta política.

#Fui

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s