Seções iMasters
Cloud Computing + Mobile

O fenômeno BYOD dentro das empresas de TI

Estamos entrando a passos largos no mundo pós-PC, onde o centro nervoso passa a ser a nuvem. O PC muda seu significado de Personal Computer para Personal Cloud, e a nuvem passa a ser o centro da nossa vida digital. Esse é um processo que vem se acelerando, e pesquisas, como a da Cisco, estimam que em 2016 o tráfego de dados via smartphones e tablets será 50 vezes maior que hoje em dia. O IDC diz que em 2015 o número de usuários americanos acessando a Internet por dispositivos móveis será maior que os usando PCs. Mobilidade, portanto, passa a ser uma das prioridades para os CIOs.

E no cenário da mobilidade surge o fenômeno da consumerização e o BYOD, ou seja “Bring Your Own Device” para dentro da empresa. Na prática, isso ocorre porque, usando-se um tablet ou um smartphone, torna-se cada vez mais difícil separar as atividades que executamos profissionalmente das que são estritamente pessoais. Acessar via smartphone ou tablet um buscador como o Google ou entrar no Facebook pode representar obter de imediato uma informação útil para o cumprimento de uma tarefa de negócios. A pressão por parte do usuários, sejam eles executivos ou operacionais, pelo uso de seus dispositivos pessoais no trabalho é grande e tende a aumentar à medida que eles se disseminam. Hoje, um tablet ou smartphone já é o objeto de desejo de quase todos nós, suplantando o “velho” PC.

Impedir BYOD é praticamente impossível. Se a área de TI tentar impedir seu uso, vai descobrir que os usuários por conta própria vão descobrir meios de acessar os dados corporativos. Por outro lado, embora a TI não deva e nem possa impedir a onda do BYOD entrar nas empresas, é necessário desenhar uma estratégia de mobilidade clara e objetiva. Uma pesquisa da Symantec mostrou que, embora 90% dos funcionários das empresas pesquisadas admitissem que podiam usar seus próprios dispositivos móveis no trabalho, 60% das empresas não tinham uma política específica para BYOD. Claramente, existe uma lacuna que gera insegurança e riscos de exposição indevida de informações corporativas.

As empresas devem adotar uma política de BYOD de acordo com suas próprias características e necessidades. Na verdade, podemos pensar em um balanceamento entre duas forças: uma inibidora, que seriam as pressões por segurança, sejam elas internas (cultura organizacional avessa aos riscos e às novidades tecnológicas) ou externas (aderência a regras específicas do setor de indústria); a outra, impulsionadora, que é o valor que a mobilidade e a estratégia de BYOD trará para o negócio. Salvo poucas exceções de empresas que avaliem que a pressão por segurança seja muito alta e o valor para o negócio baixa – e portanto BYOD será inibido ou impedido -, a maioria vai identificar claramente que os riscos existem e a pressão por segurança não é desprezível, mas os benefícios de uso de smartphones e tablets são claros e tangíveis.

Compensará, portanto, desenhar uma estratégia de BYOD que defina uma política para acesso e uso seguro aos dados e sistemas corporativos. Mas não é só isso. É necessário estimar os custos para manter essa política, pois o ciclo de atualização dos smartphones e tablets é muito mais rápido que os dos PCs, bem como a área de RH deve ser envolvida, uma vez que os usuários estarão potencialmente conectados 24 horas. A estratégia BYOD deve ser implementada de forma corporativa e multidisciplinar, e não apenas por TI. Além de TI, que deve liderar o processo, também as áreas jurídicas, RH e a de negócio deverão desenhar em conjunto esta estratégia.

O que deve constar na estratégia? Sugiro listar alguns pontos importantes que incluem:

  1. Quem vai pagar os gastos com a compra dos aparelhos e suas taxas mensais de uso? Geralmente, os funcionários pagam e a empresa arca com os custos mensais de sua utilização.
  2. Quem fornecerá o suporte técnico? Algumas empresas suportam um conjunto finito de aparelhos, deixando os demais por conta dos fornecedores. Neste último caso, o funcionário é quem deve correr atrás do suporte. No caso de suporte interno, não se esqueça de preparar os técnicos para que  tenham os skills adequados. O esforço maior do suporte interno provavelmente será de resolver problemas mais ligados à interfaces dos dispositivos móveis com os aplicativos internos e menos com as características técnicas dos aparelhos.
  3. Que aparelhos serão aceitos na política BYOD? Hoje existe uma profusão de aparelhos e é necessária uma limitação, principalmente por questões de segurança. Assim, sugiro, para minimizar esses riscos, que sejam definidos limites mínimos de funcionalidades de segurança que o aparelho implementa, para que possa ser aceito na política BYOD da empresa. Por exemplo, é necessário dispor de funcionalidades que permitam controle de sincronização, roaming, uso de senhas, timeout por inatividade, criptografia de dados e desabilitação remota, em caso de roubo ou perda.
  4. Enfatize educação no uso desses equipamentos, mostrando claramente os riscos do uso indevido, quais softwares são permitidos, o que é bloqueado, e assim por diante.
  5. Estabeleça claramente as regras de uso e torne obrigatória sua divulgação e aceite formal por todos funcionários que fizerem parte da política BYOD.
  6. Implemente tecnologias e processos de segurança adequados a esse novo contexto, com tecnologias que incluam virtualização do dispositivo, MDM (Mobile Device Management) e NAC (Network Access Control).

A IBM é um exemplo interessante, pois está implementando uma estratégia BYOD para seus mais de 400 mil funcionários no mundo todo. É uma força de trabalho altamente móvel e, portanto, adotar uma estratégia BYOD faz todo o sentido, pois traz alto valor para o negócio. Por outro lado, não pode correr o risco de perder o controle sobre dados essenciais e críticos a sua operação, uma vez que o mercado de TI é altamente competitivo.

Assim, a IBM adotou uma política BYOD que libera seu uso, mas mantém controle sobre aspectos críticos. Por exemplo, a política explicita que o funcionário que quiser usar seu próprio dispositivo concorde que seja instalada uma tecnologia chamada Tivoli Endpoint Manager, que permite que a empresa apague o conteúdo dos dispositivos em caso de perda, roubo ou mesmo saída do funcionário da companhia. Além disso, a política BYOD impede o uso de nuvens públicas como Dropbox e iCloud, além do Siri, assistente pessoal criado no iPhone 4S. O Siri, por exemplo, envia dados de voz para a nuvem da Apple para que seja feito o reconhecimento e interpretação da voz. O Siri também exige acesso a informações pessoais, como contatos, e ganha acesso à localização do aparelho. Todas essas informações são enviadas para a nuvem da Apple, sobre a qual a IBM não tem nenhum controle. Assim, o framework de MDM (Mobile Device Management) adotado desabilita o acesso ao Siri para os dispositivos usados na política BYOD. A ideia é que tarefas simples, como agendar reuniões, enviar e-mails, adicionar contatos e configurar lembretes podem parecer tarefas inocentes à primeira vista, mas embutem riscos potenciais se forem gravadas e analisadas em um local inadequado.

A nuvem pessoal merece um capítulo à parte. A sua facilidade de uso incentiva os usuários a adotarem nuvens como iCloud e Dropbox para armazenarem suas informações pessoais, mas entre elas podem estar também muitas informações corporativas. Por exemplo, entre as fotos pessoais podem estar fotos de produtos ainda em testes, não lançados ao público. Ou o conteúdo de webinares internos. E, o pior, um usuário pode fazer uso de diversas nuvens, o que amplifica  a complexidade das iniciativas de segurança.

O cenário da consumerização e o fenômeno do BYOD irão ganhar a guerra, se é que existe mesmo tal guerra. Portanto, em vez de lutar contra, a área de TI deve liderar o processo de aglutinar a empresa em uma estratégia corporativa de mobilidade e política BYOD, definindo claramente o que pode, e o que não pode e nem deve ser usado. Com o BYOD e a consumerização, o foco das iniciativas de segurança deve passar da gestão e controle do equipamento físico (como fazemos no mundo atual do PC), para a gestão e controle da informação, onde quer que ela esteja. Esse é o cerne da mudança de paradigma de MyDocuments (tipico do PC) para MyDropbox, emblemático do novo mundo centrado nas nuvens. Aliás, o BYOD está se tornando um acrônimo tão badalado quanto ITIL… Muita gente está falando, mas nem todos estão colocando em prática da forma adequada.

Comente também

3 Comentários

Humberto Pinheiro

Ridícula a estratégia da IBM de impedir acesso a dados pessoas na nuvem como Dropbox por exemplo, estão com medo de quê? Qualquer usuário mal intencionado sabe como passar por essas barreiras se quiser fazer algum mal, enquanto isso os trabalhadores bem intencionados são prejudicados :/

wallace

Prezados,

No link abaixo uma forma segura de oferecer serviços de TI neste contexto BYOD: http://www.supravizio.com/Noticias/ArtMID/619/ArticleID/68/Era-BYOD-Portal-de-Processos-Supravizio-oferece-recursos-acessiveis-em-dispositivos-moveis.aspx

Trata-se de uma forma segura de disponibilizar serviços de TI no cenário BYOD.

Obrigado.

ricardo

Só uma observação: tablets e smartphones continuam sendo computadores pessoais. Logo, continua-se a usar a ideia de Personal Computer. Não é porque agora a maioria das pessoas confia seus arquivos pessoais à terceiros (e depois reclamam do PRISM), que deixamos de usar computadores pessoais.

Dizer “Personal Cloud”, pra mim, é só mais uma buzzoword infeliz.

Qual a sua opinião?