MDM - Mobile Device Management

Explicar Gerenciamento de Dispositivos Móveis seria como explicar uma mistura de hardware (de diversas origens, tipos, proprietários - da empresa ou do funcionário) utilizando softwares (diversos, tanto da camada do sistema, do usuário quanto do empregador) que se conectam num universo único, complexo, com possibilidade de regras divergentes e diversificado que deve ser “suportado, protegido e monitorado” em prol de uma garantia mínima de controles que colaborem com a segurança, tanto do usuário, do equipamento quanto da empresa.

GOVERNANÇA

Tastyus Supersonicus

12/21/20245 min ler

MDM mobile Device Mgmt MAM
MDM mobile Device Mgmt MAM

INTRO MDM - Mobile Device Management

Em linguagem simples, são todos os tipos de dispositivos portáteis (notebooks, tablets, computadores, smartphones, dispositivos inteligentes etc.), que nem sempre pertencem em sua totalidade a companhia (veja BYOD), mas que ainda precisam de um monitoramento mínimo para que problemas, riscos, abusos e incidentes continuem sendo controlados e tenham um mínimo de previsibilidade - dentro de todas as questões legais que permeiam o assunto.

Importante lembrar que como os usuários (ou os ativos), uma vez utilizando-se total ou parcialmente da infraestrutura da companhia, precisam seguir as recomendações de direitos e deveres em uso pela corporação: políticas, normas, processos, instruções e outros controles ainda são válidos, devem ser idealmente proporcionais a exposição, o uso e a criticidade de cada recurso que a companhia deseja controlar e também oferecer.

A priori de explorarmos algumas possibilidades, vamos considerar alguns prós e contras da utilização de equipamentos na modalidade BYOD - Bring Your Own Device. É saudável mencionar que, quanto mais moderna, nativamente digital e aberta a novas experiência for a companhia, provavelmente menor a interferência dos “contras” neste tipo de ambiente.

+ PRÓS

  • Melhor produtividade - há controvérsia sobre esse ponto

  • Redução de custos com equipamentos

  • Satisfação do usuário (liberdade, em tese, com responsabilidade)

  • Atualização tecnológica (nem sempre)

  • Velocidade no início das tarefas online com menor tempo de integração, acesso aos sistemas e onboarding

  • Abordagem agnóstica de segurança por dispositivos (pode facilitar a administração futuramente, se pensada previamente de forma independente dos ambientes)

  • Visão e implementação de controles de segurança de forma mais flexível, mais generalista e vendor-neutral

  • Redução da informalidade com o tema (regras claras dos direitos e deveres)

  • Possibilidade de criação e monitoramento de redes/containers/gaiolas/sandboxes dedicados e isolados ao assunto

  • Mobilidade, integração e personalização

  • Diversidade (sobrevivência ou imunidade) em caso de ameaças ou vulnerabilidades direcionadas e específicas aos fornecedores de hardware/software específicos da companhia

– CONTRAS

  • Possível desintegração com produtos corporativos

  • Acréscimo de custo adicional com controles

  • Maior tempo, acionamento e pedido de ajuda com Help Desk

  • Descontrole e sobreposição (do conteúdo pessoal x corporativo x misto)

  • Ponto extra de vazamento de dados

  • Mais uma fonte/repositório de informação descentralizada

  • Complexidade em atender “controles” de Compliance pela variedade de plataformas, marcas e fornecedores

  • Dificuldade de reposição (peças, hardware por vezes não-primeira linha, software dedicado) em caso de problemas com o equipamento;

  • Uso compartilhado (talvez com membros da família e outros eventos/situações extra companhia)

  • Questionamentos legais/trabalhistas sobre “fronteiras do trabalho” e uso/compartilhamento de recursos

  • Sincronização de conteúdo (na entrada, no dia a dia e no processo de descarte)

  • Aquisição de ferramentas multiplataformas complementares para proteção e segurança

  • Questões jurídicas envolvendo o uso, incidentes e responsabilização por acontecimentos oriundos do “equipamento não corporativo”, corresponsabilidade, responsabilidade ativa/passiva

  • Custos extras com seguros (de cyber, de dados, equipamentos ou dos ativos)

  • Equidade de recursos (se porventura a empresa puder oferecer equipamentos de menor porte por padrão e o adepto BYOD possuir modelo muito superior

Ainda nesse cenário, o BYOD (Bring Your Own Device) deu ao MDM uma importância ainda maior, uma vez que essa prática deve ser cada vez mais aplicada a partir dos tempos atuais (mais ainda futuramente) pelas corporações.

RECOMENDAÇÕES

Implementar recursos de MDM nos ajuda a controlar os riscos, reduzir vazamentos, proporcionar maior segurança aos dados e as informações corporativas. Uma vez que tenha embarcado nessa jornada, torna-se importante considerar pelo menos:

  1. Ter capital humano que entenda e consiga administrar o assunto em toda sua extensão e complexidade (rever tabela anterior);

  2. A existência de política explícita e bem comunicada sobre o tema (preferencialmente centrada em dados e no perfil do usuário, não especificamente no dispositivo/máquina que pode ser muito heterogênea);

  3. Processos que considerem a temática tanto na admissão do profissional, na rescisão de contrato, manutenção quanto em mudanças ao longo da sua atividade (de área ou função) dentro da cia;

  4. Implementar procedimentos bem definidos tanto para as regras quanto para as exceções (possíveis situações ou dispositivos que não se enquadrem nas possibilidades sempre existirão - veja a próxima tabela);

  5. Considere todos os controles mínimos esperados pela cia (criptografia, solução anti-malwares, atualizações, endpoints, ferramentas oficiais da corporação, hardening mínimo, containers, DLPs...);

  6. Dentro do possível, essa classe de dispositivos, deve consumir “redes isoladas ou dedicadas” com recursos limitados e mais bem monitorada proativamente do que as demais;

  7. Tenha um programa recorrente de vulnerabilidades associadas a esses equipamentos e aos desvios conhecidos (programas inseguros, impróprios, crackeados, rooted, não-homologados, que possam comprometer licenciamento, copyright ou práticas mal-intencionadas por parte do colaborador e situações que possam se tornar problemas corporativos, para a sociedade ou legais);

  8. Adicione travas de segurança para o download/upload de arquivos, acesso a links, macros ou formulários dentro dos respectivos contextos de interesse (ou de containers/sandboxes de Segurança de acordo com cada perfil/sessão de uso);

  9. Tenha preocupação maior com contas, privilégios, chaves, certificados e credenciais armazenadas nestes dispositivos ou em seus acessórios, seja do ponto de vista de unificação, federação ou mesmo segregação;

  10. Considere um inventário/CMDB com excelente nível de acuracidade associado a recursos de acesso à rede (NAC) que ajude na proteção e identificação de dispositivos “estranhos”, não-aderentes a política ou com comportamentos anormais;

  11. Avalie em conjunto com o SOC, RedTeam, BlueTeam e outros times disponíveis exercícios balísticos direcionados a esse público e equipamentos (lembre-se que o infrator sempre procura o caminho mais fácil, de menor esforço – considere quando aplicável Pen-Testing humano, simulação com artefatos externos e acesso por canais incomuns).

  12. Considere (se aplicável e legalmente possível) questões envolvendo adjacências, geolocalização, IDs, Mac-Address ou assinaturas que permitam identificar de forma única (não-repúdio) cada dispositivo, naturalmente, em linha e aderência a sua política de logging/rastreabilidade;

  13. Processos que permitam localizar ou remover (wipe - de forma definitiva) dados dos dispositivos em caso de emergências, roubos, furtos ou perda do equipamento;

  14. Tenha certeza ou pelo menos formalizado quais equipamentos (hardware e software) por algum motivo, possa não receber mais atualizações (firmware, sistema operacional, etc.) por parte da marca ou tenham uma política muito divergente/flexível da corporativa;

  15. Eduque, treine e conscientize sempre.

CONTROLES vs LIBERDADE

Continuando, abaixo uma tabela com sugestão de alguns níveis de controles que utilizam como base a “liberdade com responsabilidade” para determinar os perfis de acesso que cada equipamento poderia ter.

CONTEXTOS E RECURSOS

Em casos onde o gestor não possua ferramenta dedicada de MDM, listamos alguns grupos de controles que, soam importantes numa jornada inicial de controle de dispositivos e que poderiam ter sua aplicabilidade considerada (independente da sua ferramenta ou fornecedor).

FIM

Fim mesmo (não é File Integrity Monitoring). É possível que o leitor encontre referências para MAM - Mobile Application Management e MES (Modern Enterprise Security) que, separando as particularidades e interesses comerciais de mercado, deveriam fazer parte do mesmo contexto (sem novas siglas que mais confundem que ajudam os times de Segurança/Tecnologia).

MDM (e suas variações ao tempo e tecnologia) é essencial para proteger dispositivos móveis corporativos, garantindo conformidade com políticas de segurança e controle sobre os dados sensíveis, a segurança e a privacidade, permitindo a boa governança de dispositivos remotamente distribuídos e heterogêneos independente das fronteiras físicas, contextuais ou lógicas. Sequimur et, quis custodiet ipsos custodes?

Logotipo OmniSec Intelligence & Security
Logotipo OmniSec Intelligence & Security

(c) 2023-2025

OmniSec Intelligence & Security
info@omniseccorp.com
+55 (19) 2042.3240
Campinas - RMC - São Paulo - Brasil