Traga seu próprio dispositivo (BYOD, do inglês, Bring Your Own Device) é uma política ou prática que permite aos funcionários usar seus próprios dispositivos eletrônicos, em vez dos fornecidos pelo empregador, para acessar dados, redes e aplicativos internos. Essa estratégia oferece flexibilidade e conveniência aos funcionários, possivelmente aumentando a produtividade e a satisfação.
No entanto, ela também traz desafios em termos de proteção de recursos corporativos (por exemplo, dados e sistemas), gestão de compatibilidade de dispositivos e garantia de conformidade com requisitos regulatórios. Programas BYOD eficazes incluem políticas alinhadas a casos de uso reais e a funções de usuários e administradores.
Tipos de dispositivos sujeitos a políticas de BYOD
A maioria das políticas BYOD concentra-se em smartphones, tablets e notebooks. Para outros dispositivos, em geral, há regras mais rígidas ou eles são excluídos do programa.
- Smartphones: os dispositivos BYOD mais comumente usados para e-mails, mensagens e aplicativos.
- Tablets: usados principalmente com aplicativos de produtividade, para trabalho remoto e operações de campo.
- Notebooks: usados na maioria das tarefas de trabalho, acesso remoto e aplicativos corporativos.
- Dispositivos vestíveis, wearables (por exemplo, smartwatches): menos comuns, mas podem se conectar a aplicativos corporativos ou receber notificações.
- Desktops pessoais: usados em configurações de trabalho remotas ou híbridas.
- Dispositivos de IoT (por exemplo, impressoras, scanners e câmeras): geralmente limitados ou restritos por causa de maiores riscos de segurança.
Cenários e políticas de BYOD no local de trabalho na prática
As políticas de Bring Your Own Device devem gerenciar o acesso seguro, a proteção de dados, os limites pessoais e de trabalho, a resposta a incidentes, e o desligamento, independentemente do setor. Os exemplos a seguir mostram o impacto dessa prática no local de trabalho e as políticas que ajudam a fazê-la funcionar sem interferir na segurança e na produtividade.
- Acesso a e-mails e mensagens: Garanta uma comunicação segura e, ao mesmo tempo, proteja-se, permitindo o acesso a aplicativos corporativos de e-mail e mensagens apenas em dispositivos pessoais registrados no gerenciamento de dispositivos móveis (MDM) e compatíveis com a autenticação multifator (MFA).
- Acesso a arquivos e documentos: Evite que arquivos confidenciais sejam armazenados sem proteção em dispositivos pessoais, permitindo o acesso a arquivos compartilhados apenas por meio de aplicativos aprovados com criptografia, proteção contra perda de dados (controles DLP) e bloqueios de downloads locais.
- Conectividade no trabalho remoto: Proteja os recursos corporativos contra redes inseguras ou dispositivos não gerenciados, exigindo que os funcionários que se conectam remotamente usem um cliente de VPN (rede virtual privada) aprovado pela empresa e cumpram os parâmetros de segurança do dispositivo (por exemplo, tenham sistema operacional atualizado, firewall e antivírus).
- Separação entre arquivos pessoais e de trabalho: Alie a privacidade dos funcionários à proteção dos dados corporativos, determinando que os aplicativos e dados corporativos residam em um contêiner seguro, separado dos aplicativos de uso pessoal.
- Perda ou roubo de dispositivos: Limite a exposição aos dados de dispositivos pessoais comprometidos, exigindo que os funcionários comuniquem a perda ou roubo de dispositivos no prazo de 24 horas, possibilitando à equipe de TI bloquear ou limpar remotamente o contêiner corporativo.
- Restrições de uso dos aplicativos: Evite que os dispositivos de alto risco criem vulnerabilidades de segurança, bloqueando dispositivos com desbloqueados ilegalmente ou por rooting e garantindo que usuários utilizando aplicativos não aprovados sejam impedidos de acessar sistemas corporativos.
- Desligamento e rescisão: Proteja as informações corporativas e respeite o direito de propriedade, removendo o acesso dos funcionários aos dados e aplicativos corporativos após o desligamento, mantendo intacto o conteúdo pessoal.
Como o BYOD se compara ao CYOD e ao COPE?
Embora o BYOD seja um modelo popular, é importante entender suas diferenças em relação a outras abordagens de gerenciamento de dispositivos, como o CYOD (Escolha Seu Próprio Dispositivo) e o COPE (De Propriedade Corporativa, Habilitado Pessoalmente). Abaixo, apresentamos um resumo das diferenças entre as outras estratégias.
BOYD
Permite que os funcionários usem seus próprios dispositivos para trabalhar. São destaques do modelo para uso de dispositivos:
- Propriedade do funcionário.
- O funcionário escolhe e compra o dispositivo.
- Para uso essencialmente pessoal, com acesso corporativo habilitado.
- Controle corporativo limitado sobre todo o dispositivo, com foco na segurança de dados e aplicativos corporativos de TI.
- Vantagens: economia de custos para a empresa, elevada satisfação dos funcionários e familiaridade.
- Desvantagens: riscos de segurança significativos, preocupações com privacidade e suporte de TI complexo.
CYOD (Choose Your Own Device — Escolha Seu Próprio Dispositivo)
Com o CYOD, os funcionários selecionam um conjunto pré-aprovado de dispositivos fornecidos e gerenciados pela organização. São destaques do modelo CYOD para uso de dispositivos:
- De propriedade da empresa.
- O funcionário escolhe o dispositivo em uma lista pré-aprovada de dispositivos fornecidos pela empresa.
- Uso principal relacionado ao trabalho, sendo frequentemente permitido algum uso pessoal.
- Total controle corporativo sobre o dispositivo, pois é propriedade da empresa e gerenciado pela equipe de TI.
- Vantagens: maior segurança que o BYOD, suporte padronizado e a escolha dos funcionários obedece limites.
- Desvantagens: custo mais elevado e liberdade de escolha pessoal reduzida em comparação ao BYOD.
COPE (Corporate-Owned Personally Enabled — Propriedade Corporativa, Habilitado Pessoalmente)
O COPE envolve a emissão de dispositivos pela organização, os quais podem ser usados pelos funcionários tanto para o trabalho quanto para atividades pessoais restritas. São destaques do modelo COPE para uso de dispositivos:
- De propriedade da empresa.
- A empresa escolhe e compra o aparelho.
- Uso principal para atividades de trabalho, mas o uso pessoal é expressamente permitido e gerenciado pela equipe de TI.
- Total controle corporativo sobre o dispositivo.
- Vantagens: segurança e controle mais rígidos, suporte padronizado e direito claro à propriedade dos dados.
- Desvantagens: custo mais elevado para a empresa, a liberdade de escolha dos funcionários é reduzida, com possível insatisfação se o uso pessoal for muito restrito.
Analisando os conceitos básicos da política BYOD e os fatores técnicos de segurança
O modelo BYOD traz flexibilidade, mas também grandes riscos à segurança. Políticas claras de e protocolos de segurança adequados permitem que as organizações protejam informações confidenciais de negócios, respeitando o uso de dispositivos pessoais e não sobrecarregando os funcionários.
10 elementos básicos de uma política BYOD
Uma forte política concilia segurança, conformidade e privacidade dos funcionários, ao mesmo tempo em que define claramente funções e responsabilidades dos usuários e da equipe de TI.
A seguir estão os elementos fundamentais de uma política de Bring Your Own Device. É possível complementá-las com outras diretivas que atendam aos requisitos específicos de uma organização (por exemplo, conformidade e protocolos de segurança elevados para dados altamente confidenciais).
Elegibilidade de dispositivos pessoais: Defina, com especificações técnicas, tais como versões mínimas do sistema operacional, recursos de segurança e plataformas com suporte compatível, que tipos de dispositivos pessoais podem se conectar aos recursos da empresa, a fim de garantir compatibilidade e reduzir os riscos.
Inscrição e registro: Exija que os funcionários registrem seus dispositivos pessoais junto ao departamento de TI ou por meio de uma plataforma de gestão de dispositivos móveis (MDM), para reforçar os parâmetros de segurança antes de acessar os sistemas da empresa.
Uso pessoal versus uso para fins de trabalho: Restrinja que sistemas corporativos, aplicativos ou dados podem ser acessadosem dispositivos pessoais e especifique que usos são estritamente pessoais para evitar o uso indevido e proteger a privacidade dos funcionários e os sistemas da empresa.
Requisitos de segurança: Defina controles de segurança obrigatórios (por exemplo, autenticação multifator, senhas fortes ou números de identificação pessoal, criptografia, uso de VPN e instalação regular de patches), bem como exigir ferramentas antimalware e recursos de limpeza remota para evitar acesso não autorizado a aplicativos, dados ou redes, no caso de perda ou roubo de dispositivos.
Proteção de dados e privacidade: Estabeleça regras sobre como os dados da empresa serão separados dos dados pessoais (por exemplo, conteinerização ou perfis separados) e o que a equipe de TI pode ou não monitorar, para fazer valer a privacidade, a segurança e a conformidade.
Desenvolva uma política abrangente de BYOD: A política deve estabelecer as responsabilidades de todos, declarando claramente o que se espera dos funcionários e que tipo de apoio a organização fornecerá. O uso admissível também deve ser definido, de modo a esclarecer o que constitui uso admissível e inadmissível de dispositivos pessoais para fins de trabalho.
Responsabilidades dos funcionários: Explique os deveres dos funcionários, como manter os dispositivos atualizados, comunicar a perda ou o roubo de dispositivos imediatamente e não desativar controles de segurança, a fim de estabelecer responsabilidade compartilhada em prol da segurança.
Responsabilidades corporativas e de TI: Defina o papel da TI no fornecimento de suporte, na aplicação da conformidade e na garantia do tratamento adequado dos dados, para garantir aos funcionários que seus aplicativos pessoais, fotos e comunicações permaneçam privados.
Resposta a incidentes e fiscalização: Estabeleça procedimentos claros para lidar com incidentes de segurança, violações de políticas e não conformidades incluindo detalhes sobre medidas de imposição de regras (por exemplo, acesso restrito, medidas disciplinares) a fim de manter a consistência e a eficácia.
Procedimentos de saída/desligamento: Crie um processo para remover os dados da empresa e revogar os direitos de acesso dos dispositivos pessoais quando um funcionário sair da organização, para evitar acesso não autorizado a sistemas e informações.
Lidando com riscos de segurança em programas BYOD
As medidas técnicas a seguir devem ser levadas em consideração para mitigar o risco de segurança e garantir a proteção dos dados em programas BYOD. Estes sistemas e práticas de segurança ajudam a identificar e prevenir riscos comuns, como violações de dados, malwares e vazamentos de informações confidenciais.
- Lista de permissões e de bloqueio para restringir aplicativos de alto risco ou não aprovados e impor o uso da loja corporativa de aplicativos.
- Prevenção contra perda de dados (DLP, Data Loss Prevention) para monitorar e controlar transferências de dados, cópias ou sincronizações na nuvem.
- Verificações de conformidade do dispositivo para garantir que a versão do sistema operacional, o nível de patch e as configurações de segurança atendam aos parâmetros antes da concessão de acesso.
- Proteção de endpoints (pontos de extremidade) com antimalwares, firewalls e defesa contra ameaças móveis (MTD, Mobile Threat Defense).
- Criptografia completa de disco para proteger dados armazenados em dispositivos no local.
- Registro e monitoramento para coletar logs de dispositivos e acesso para detecção de anomalias.
- Gestão de dispositivos móveis (MDM, Mobile Device Management) e gerenciamento unificado de endpoints (UEM, Unified Endpoint Management) para a implementação de políticas, armazenamento de dados corporativos em contêineres e a realização de limpezas remotas.
- Autenticação multifator (MFA, Multi-factor Authentication) para fortalecer a segurança de login para aplicativos corporativos e VPNs.
- Limpeza e bloqueio remotos para obter resposta imediata em caso de perda ou roubo de dispositivos.
- Controles de acesso seguro à rede para exigir VPN ou acesso à rede zero trust (ZTNA, Zero-Trust Network Access) com autenticação baseada em certificados.
Prós, contras e fatores de decisão organizacionais
Vantagens
Os programas BYOD trazem uma série de benefícios para as organizações e aos seus funcionários, que promovem o crescimento deles nos locais de trabalho modernos. Entre eles estão:
Atração e retenção de talentos: Oferecer um programa como esse pode tornar uma organização mais atraente para funcionários que buscam ambientes de trabalho flexíveis e políticas modernas voltadas para o local de trabalho.
Maior satisfação dos funcionários: As políticas BYOD podem levar a uma maior satisfação no trabalho, uma vez que os funcionários apreciam a flexibilidade e a confiança demonstradas pelos empregadores, que lhes permitem utilizar os seus dispositivos preferidos. Os funcionários também gostam de poder selecionar os dispositivos e sistemas operacionais que melhor atendem às suas preferências e necessidades.
Benefícios ambientais: Ao reduzir a necessidade de as empresas adquirirem e descartarem hardware, essa política contribui com as iniciativas de sustentabilidade ambiental, reduzindo a pegada de carbono e o desperdício que acompanha a fabricação e o descarte de dispositivos eletrônicos.
Maior rapidez na adoção de tecnologias: As organizações podem notar uma adoção mais rápida de tecnologias e softwares mais recentes, mantendo as empresas mais ágeis e competitivas. Isso ocorre porque funcionários tendem a atualizar seus dispositivos pessoais com mais frequência do que as organizações.
Flexibilidade e mobilidade: Os programas aumentam a flexibilidade e a mobilidade da força de trabalho, permitindo que os funcionários trabalhem de qualquer lugar e a qualquer hora. Isso proporciona maior flexibilidade e possibilita contratos de trabalho remoto ou móvel, bem como beneficia funcionários que viajam com frequência.
Melhor recuperação de desastres: No caso de um desastre que afete o local de trabalho, as políticas BYOD permitem a funcionários continuar com suas atividades sem grandes interrupções, já que seus dados e aplicativos essenciais de trabalho admitem o acesso remoto.
Aumento da produtividade: Os funcionários tendem a se sentir mais confortáveis e proficientes quando trabalham com seus próprios dispositivos. Isso resulta em níveis mais elevados de eficiência na execução de tarefas.
Redução da carga de trabalho de TI: Com os funcionários utilizando seus próprios dispositivos, o departamento de TI tem menos equipamentos para gerenciar diretamente, reduzindo a carga de trabalho e permitindo que a equipe de TI se concentre em outras tarefas mais importantes.
Desvantagens
Embora ofereçam inúmeros benefícios, as políticas Bring Your Own Device também trazem diversos riscos dos quais as organizações devem estar cientes para garantir a eficácia em seu gerenciamento.
É preciso que as organizações entendam e reduzam esses riscos a fim de manter a segurança e a integridade dos dados e das redes corporativas. A seguir estão vários dos principais riscos associados a esse programa:
Vazamento de dados: A combinação de dados pessoais e corporativos no mesmo dispositivo pode levar a vazamentos acidentais de dados. Nesse caso, informações confidenciais poderão ser expostas se um funcionário compartilhar um dispositivo com amigos ou familiares ou perder o equipamento.
Desafios de gestão e suporte de dispositivos: Embora possa reduzir os custos associados à compra de dispositivos, um programa BYOD pode aumentar a carga sobre os departamentos de TI. O desenvolvimento de uma política abrangente que estabeleça diretrizes de segurança, suporte e uso requer esforço significativo e gestão contínua. Isto se deve ao trabalho necessário para a gestão da segurança dos dispositivos, fornecimento de suporte para uma maior variedade de equipamentos e à garantia de proteção dos dados corporativos. Além disso, as equipes de TI devem garantir a consistência do acesso aos recursos corporativos em diversas plataformas.
Preocupações com a privacidade dos funcionários: Aliar a necessidade de uma organização de proteger os dados que ela possui aos direitos de privacidade dos funcionários pode ser complexo. A implementação de certas medidas de segurança em dispositivos pessoais pode levantar preocupações sobre a privacidade e a autorização dos funcionários.
Falta de controle sobre dispositivos: Em comparação aos equipamentos de propriedade da empresa, as organizações têm controle limitado sobre o hardware e o software existentes nos dispositivos pessoais dos funcionários. Essa falta de controle estende-se à instalação de atualizações, patches e softwares de segurança, que podem deixar os dispositivos vulneráveis a novas ameaças, o que torna difícil impor as políticas de TI, realizar atualizações e garantir que todos os dispositivos estejam usando versões de software compatíveis e seguras.
Perda ou roubo de dispositivos: Os dispositivos pessoais que contêm informações corporativas confidenciais podem ser perdidos ou roubados, representando um grande risco à segurança dos dados. Recuperar ou apagar remotamente os dados contidos nele pode ser um desafio, especialmente se os funcionários não comunicarem a perda em tempo hábil.
Segurança de rede: Dispositivos pessoais conectados à rede corporativa podem inserir vulnerabilidades e fornecer pontos de entrada para ataques cibernéticos. Com um programa Bring Your Own Device, torna-se difícil garantir que todos os dispositivos atendam aos padrões de segurança específicos antes de permitir o acesso.
Outros riscos de segurança: Os dispositivos pessoais podem não ter o mesmo nível de segurança que o hardware fornecido pela empresa, o que os torna mais vulneráveis a malware, vírus, hackers e violações de dados. Além disso, os funcionários podem inserir, de forma não intencional, ameaças à segurança da rede corporativa por meio de dispositivos não seguros ou conectando-se a redes Wi-Fi públicas não seguras.
Outros fatores a considerar quanto à adoção de um programa BYOD
As organizações também devem levar em conta fatores como a relação custo-benefício e a produtividade de um programa Bring Your Own Device.
Em relação aos custos, as organizações economizam na compra e na manutenção de hardware, transferindo essas despesas para os funcionários. Os ganhos de produtividade vêm do uso, pelos funcionários, de dispositivos que lhes são familiares, permitindo maior rapidez na integração, flexibilidade com o trabalho remoto e a conectividade contínua.
No entanto, os custos podem aumentar em outras áreas, como com software de gestão de dispositivos móveis (MDM), monitoramento de segurança e gerenciamento de conformidade. Quando gerenciado de forma eficaz, o BYOD pode melhorar a eficiência e a satisfação dos funcionários, ao mesmo tempo em que mantém níveis aceitáveis de segurança e conformidade.
Implementação de uma política Bring Your Own Device: práticas recomendadas
1. Avaliar as necessidades e os requisitos
Conduza uma avaliação das necessidades a fim de descobrir por que o programa é necessário e qual valor se espera que ele traga para a organização. Em seguida, defina o escopo, especificando que dispositivos e funcionários deverão ser incluídos no programa.
Além disso, avalie sistemas, usuários e fluxos de trabalho existentes, estabelecendo parâmetros, requisitos gerais e identificando possíveis riscos de segurança e conformidade relacionados à gestão de dados corporativos em dispositivos pessoais.
Este processo deve incluir uma avaliação da capacidade atual da infraestrutura de TI para comportar o BYOD em termos de rede, segurança e suporte.
2. Desenvolver uma ampla política ampla
Uma política de Bring Your Own Device deve estabelecer a responsabilidade de todos os envolvidos, definindo de modo claro o que se espera dos funcionários e que tipo de apoio a organização fornecerá. O uso admissível também deve ser definido, de modo a esclarecer o que constitui uso admissível e inadmissível de dispositivos pessoais para fins de trabalho.
Além disso, a política precisa conter os detalhes dos requisitos de segurança e privacidade. A política deve especificar o uso e a aplicação de protocolos e sistemas de segurança, como criptografia, proteção por senha e instalação de software de segurança.
Deve também abordar questões de privacidade, descrevendo como a privacidade dos funcionários será protegida e em que circunstâncias a organização poderá ter acesso a dispositivos pessoais.
3. Implementar medidas de segurança
Implemente soluções de gestão de dispositivos móveis (MDM), gerenciamento de mobilidade empresarial (EMM) ou gerenciamento de aplicativos móveis (MAM) para ajudar a proteger, monitorar e gerenciar dispositivos pessoais que tenham acesso a sistemas, redes e dados internos.
Garanta acesso seguro às redes corporativas. Em geral, isso é feito empregando redes privadas virtuais (VPN) e protocolos de segurança Wi-Fi. Todos os dados confidenciais devem sempre ser criptografados quando estiverem em dispositivos pessoais. Além disso, os sistemas operacionais e aplicativos em dispositivos BYOD devem ser atualizados com regularidade.
4. Treinar os funcionários
Ofereça sessões de treinamento com foco na importância das medidas de segurança do Bring Your Own Device, reconhecendo ataques de phishing e protegendo dispositivos contra acesso não autorizado. O treinamento também deve abranger a política BYOD da organização, incluindo os direitos e responsabilidades dos funcionários.
5. Iniciar o programa
Comece com um piloto para um grupo seleto de funcionários, com o objetivo de identificar possíveis problemas antes de uma implementação completa. Tenha equipes de suporte técnico disponíveis para ajudar os funcionários a configurar seus dispositivos para uso no trabalho e solucionar eventuais problemas.
6. Monitorar e gerenciar
Monitore continuamente todos os dispositivos que acessam dados, sistemas e redes internas para garantir que atendam aos requisitos de segurança, privacidade e conformidade. Além disso, devem ser desenvolvidos canais para que os funcionários deem feedback sobre o programa.
7. Atualizar e aprimorar as políticas e práticas com regularidade
Colete informações de funcionários e da equipe de TI sobre a eficácia do programa e as áreas de melhoria, além de avaliar sua eficácia em termos de produtividade, satisfação e incidentes de segurança dos funcionários.
Agende revisões e atualizações periódicas da política Bring Your Own Device para resolver problemas e ameaças, incluindo novas tecnologias, e manter a conformidade com os regulamentos.
10 dicas práticas para funcionários que navegam em programas BYOD
Evite usar Wi-Fi público sem VPN.
Ative a criptografia do dispositivo sempre que possível.
Siga as políticas da empresa para compartilhamento e armazenamento de dados.
Mantenha os dispositivos atualizados com os patches de segurança mais recentes e não desative os controles de segurança.
Instale apenas aplicativos de fontes confiáveis e aprovadas.
Participe de treinamentos de segurança e sessões de conscientização e siga as políticas.
Comunique a perda ou o roubo de dispositivos imediatamente à equipe de TI.
Separe dados pessoais e de trabalho usando aplicativos ou contêineres aprovados.
Use aplicativos aprovados pela empresa para tarefas de trabalho.
Use autenticação forte (por exemplo, número de identificação pessoal, senha ou biometria).
Mantenha-se atualizado sobre as políticas de BYOD que atendam aos requisitos em constante mudança
O esperado é que o trabalho remoto e a mobilidade da força de trabalho móveis continuem a crescer e a se expandir. Com isso, o BYOD também continuará. As organizações devem ter o cuidado de implementar e revisar de modo contínuo as políticas para lidar com as tecnologias em constante evolução e com as ameaças que tiram proveito das vulnerabilidades relacionadas.
As políticas Bring Your Own Device exigem avaliação e gerenciamento cuidadosos para poder conciliar os benefícios de mobilidade e satisfação dos funcionários e os riscos de violações de segurança e perda de dados. A implementação de uma política bem elaborada é crucial para aproveitar as vantagens do BYOD e, ao mesmo tempo, reduzir seus desafios.
AVISO LEGAL: AS INFORMAÇÕES CONTIDAS NESTE ARTIGO TÊM FINALIDADE MERAMENTE INFORMATIVA. NADA AQUI APRESENTADO CONSTITUI OU TEM A INTENÇÃO DE CONSTITUIR CONSULTORIA OU ACONSELHAMENTO JURÍDICO DE QUALQUER NATUREZA. NÃO CABE À SAILPOINT OFERECER TAL ASSESSORIA, SENDO, PORTANTO, RECOMENDADA A CONSULTA A UM ADVOGADO QUANTO A QUAISQUER QUESTÕES LEGAIS APLICÁVEIS.
