BYOD… Como implementar?

by Checchia
6 minutos
BYOD… Como implementar?

Venho acompanhando uma discussão na lista cisspBR sobre o assunto BYOD. Vou tentar explicar neste post quais são os fatores de sucesso para uma implementação “Campeã” — sempre pelo meu ponto de vista!

A primeira grande verdade e que deve nortear todo o desenho do projeto de BYOD (tanto para tecnologia como para segurança): BYOD é um tema que aborda 80% em Pessoas (usuários) e 20% em tecnologia.

Para que o projeto de BYOD funcione, é fundamental que o profissional de segurança (que irá implementar a política) e o de infraestrutura (que irá implementar a tecnologia), saiam de seus cubículos e acompanhem os usuários por, pelo menos, 2 semanas. Analisem como eles utilizam os dispositivos (smartphones, tablets e o desktop), o que é acessado e como é acessado — haverá um choque enorme, pois eles acessam muito mais do que é permitido.

A segunda grande verdade: Mantenham a mente aberta e pensem fora da caixa. É fundamental esquecer todos os dogmas de segurança passados de geração em geração dos profissionais de segurança. O mundo mudou e os usuários estão muito mais atualizados e conectados — até mais do que os profissionais de SI e de infraestrutura que estão presos em políticas de segurança que restringem o acesso à internet.

Terceira grande verdade: Não é mais a área de SI que dita o que pode ser acessado ou não; Que impõe políticas restritivas pensando na Proteção da empresa. Isto é passado. Assim como a área de TI, a área de segurança da informação deve focar em servir o usuário e não o contrário. Deve-se pensar em como atender as necessidades do usuário de forma segura e não mais impor ao usuário tecnologias que não facilitam o seu dia-a-dia.

Quarta grande verdade: Foquem em proteger as INFORMAÇÕES! Esqueçam do dispositivo que as acessa. Deve-se sempre ter em mente que a proteção deve se dar em armazenamento, processamento e transmissão da informação. Se seu projeto de BYOD estiver alicerçado em disponibilização das aplicações via remoteAPP (e seus similares), você deve se preocupar em proteger o servidor com a informação (armazenamento) e o servidor que disponibilizará as aplicações (processamento e transmissão)… e deve se preocupar somente com isto e não com o dispositivo que irá acessar.

Quinta grande verdade: PAREM de escrever políticas de segurança que ninguém lê! Pensem em políticas simples e direta (exemplos: Constituição Americana, as 4 leis de Robótica do Isaac Azimov e outras). A nova geração que está nas empresas não irá ler 700 páginas de políticas que tentam ditar o que deve ser feito ou não. Foquem em políticas explicitas para cobrir a “Quarta Grande verdade”.

Sexta grande verdade: Para atender a quinta verdade, é fundamental ter em mente a Primeira: Preocupem-se em disponibilizar a informação de forma segura COMO O USUÁRIO QUER e não como vocês acham que deve ser.

Se você conseguiu chegar ao final da leitura da Sexta Grande Verdade (alguém chegou até a sexta?), você verá que o BYOD simplifica a gestão de segurança e não o contrário.


Postado originalmente em 20 de agosto de 2012