Em nossas publicações, temos mencionado a noção de soluções de Mobile Device Management (MDM); falamos do projeto de políticas de segurança móvel, sobre proteger a confidencialidade nas mensagens SMS e as possíveis formas de defesas contra códigos maliciosos do tipo ransomware. Essas ferramentas e outras semelhantes fornecem procedimentos para garantir a segurança dos dados do sistema e, portanto, é fundamental entender seus pontos fortes e fracos.

Origens, motivação e alcance

Com o surgimento dos dispositivos pessoais dentro do ambiente corporativo, as organizações passaram a buscar formas de gerenciar políticas e configurações para lidar com essa situação de forma fácil e centralizada.

As soluções MDM surgiram como um método para controlar o acesso de equipamentos móveis aos recursos da empresa, mas que com o tempo foram evoluindo e hoje contribuem com a segurança por meio da administração do sistema operacional e dos aplicativos instalados, o monitoramento dos pacotes que são enviados nas diferentes redes e as características físicas do dispositivo.

Dessa forma, é possível apoiar processos como ativar ou desativar dispositivos, excluir remotamente dados corporativos, criar cópias de segurança, gerenciar a criptografia, assim como limitar os aplicativos que podem ser instalados no equipamento por meio de lojas virtuais personalizadas (para aplicativos) ou forçar a implementação de instalações, de acordo com a política de segurança vigente.

No entanto, os sistemas operacionais móveis fornecem uma API exclusiva para as soluções MDM, inacessíveis para apps regulares, por meio da qual é possível coletar informações e administrar políticas.

O que é um contêiner móvel?

Um conceito muito relacionado com a MDM é o de contêiner. Esses recipientes separam os dados corporativos que podem existir no equipamento de qualquer outra informação pessoal do usuário. Nesse caso, a premissa é impedir que os dados sensíveis possam ser acessados por pessoas não autorizados por meio de aplicativos de algoritmos criptográficos.

Os contêineres funcionam a nível de sistema operacional e costumam ser uma camada de proteção extra que é oferecida com as soluções MDM. Na verdade, essa ferramenta age criptografando as comunicações que ocorrem entre o dispositivo e os recursos do sistema corporativo, em conjunto com os dados que são armazenados no equipamento, como resultado dessas comunicações.

Outros atores em cena

A MDM faz parte de uma estratégia de administração de segurança muito mais geral denominada Enterprise Mobility Management (EMM). Dentro desse panorama, a MDM gerencia a segurança tendo como ponto central os dispositivos e sua capacidade de criptografar-se ou bloquear-se.

Paralelamente, são apresentados outros dois enfoques: Mobile Application Management (MAM) e Mobile Information Management (MIM). O primeiro é responsável pelo controle de acesso aos diferentes aplicativos com a criação de listas brancas ou negras que dão entrada a alguns usuários através de determinados equipamentos, enquanto que o segundo é focado em garantir que os dados apenas possam ser acessados e transmitidos por meio de componentes autenticados, construindo um ambiente de sandboxing e emitindo alertas quando os dados estejam por violar os limites de sua segurança.

O EMM aplica restrições sobre os diferentes aplicativos monitorados por meio de seu mesmo código ou através de um contêiner. Dessa forma, os aplicativos corporativos podem ser distribuídos, administrados e monitorados por meio de uma central de controle. A integração entre essas estratégias deve ser sempre orientada pelo equilíbrio entre flexibilidade e produtividade. Por meio do EMM, a organização obtém visibilidade sobre os dados em cada tipo de dispositivo, sistema operativo e atores do sistema.

MDM não é sinônimo de segurança absoluta

Executar soluções MDM ou contêineres pode chegar a oferecer uma reconfortante sensação de segurança para os departamentos de TI. No entanto, não devemos esquecer que essas soluções não constituem uma política de segurança por si só; isso porque, desde o início, nenhuma dessas tecnologias foram concebidas com a finalidade de garantir a segurança como principal pilar.

Por exemplo, as soluções MDM não podem garantir a segurança dos dados quando os mesmos são processados por serviços na nuvem ou possam ser comprometidos por um spyware instalado no equipamento. Além disso, os dados que são armazenados nos dispositivos do tipo “pessoal” (dos usuários) acabam ficando sem nenhuma proteção.

O mesmo ocorre com as EMM. Essas soluções não detectam malware, nem protegem ao usuário de ameaças que surgem por meio do uso de aplicativos não monitorados. Nem mesmo impedem a execução de códigos maliciosos, uma vez que o dispositivo tenha sido infectado, podendo ter seus dados vazados para servidores maliciosos na Internet.

Contra esses riscos, é necessário adotar um enfoque de segurança com múltiplas camadas que combine diferentes tecnologias de proteção, segundo as características particulares do sistema.