BYOD. "Bring Your Own Device": 13 razões (e uma excepção) para não a implementar

Começa a impôr-se em muitas organizações a ideia de que o conceito de BYOD: "Bring Your Own Device" para as redes locais das organizações é uma "boa ideia". Para as áreas de IT e, em particular, para as áreas de suporte e segurança informática é cada vez mais difícil resistir a este impulso e a generalização do teletrabalho provocada pela COVID-19 parece ter acentuado ainda mais este movimento.

Embora seja relativamente comum e, uma forma de BYOD, encontrar colaboradores com instalações de Office 365 ou, até, de sistemas VoIP nos seus equipamentos pessoais (telemóveis) a maioria das organizações ainda resiste a estender este tipo de tolerância até aos computadores pessoais e a utilizações mais generalistas e a outro tipo de software.

Mas porque é uma má ideia implementar ou, generalizar, uma política de BYOD: "Bring Your Own Device" (com a excepção que listarei mais adiante)?

1. Uma das opções que está sempre ao dispor de qualquer área de IT é, perante uma ameaça de segurança ou uma anomalia grave do equipamento, formatar o dito e recomeçar do zero. Essa opção pode não existir no caso de um equipamento pessoal ou não poder ser executada porque depende do aval/concordância do proprietário do mesmo (o utilizador final) o que, em último caso, colocará em risco a organização como um todo ou a capacidade que este tem para cumprir as suas funções profissionais.

2. Em caso de conflitos legais o equipamento pode ter que ser entregue para arquivo até ao momento em que ocorre o processamento judicial por parte das autoridades e o utilizador do mesmo fica sem acesso ao mesmo.

3. Em caso de conflito judicial entre o colaborador e o seu empregador, o equipamento pessoal não pode ser usado como prova de um eventual comportamento culposo ou que justifique o acto legal em curso. Por outro lado, se o equipamento pessoal for usado no âmbito de um processo judicial o utilizador do mesmo poderá expor a terceiros a sua vida e dados pessoais.

5. Se uma organização adoptar uma política BYOD deve encontrar igualmente uma forma justa de compensação pelo uso por parte dos seus colaboradores dos seus equipamentos pessoais como ferramentas de trabalho.

6. Um colaborador que usa um telemóvel pessoal para as suas actividades laborais está a entregar à rede de colaboradores mas também à rede de fornecedores e clientes o seu número de telemóvel pessoal o que reduz o seu nível de privacidade e a capacidade da organização para repor o seu fluxo de trabalho em caso de uma saída intempestiva ou programada. Isto é especialmente importante em colaboradores de áreas comerciais ou de vendas porque reduz as possibilidades de as organizações serem capazes de reterem os clientes que integravam a sua carteira.

7. Se uma organização adoptar uma política BYOD alguns colaboradores poderão encarar a dita como uma tentativa de intrusão na sua vida pessoal e se já tiverem aplicações como o Outlook ou o Teams instalados nos seus equipamentos pessoais poderão reagir de forma adversa desinstalando-as o que acabará produzindo o efeito inverso ao que se pretendia obter. É preciso contudo abrir uma excepção para aplicações de autenticação que enviam SMS ou usam Apps de autenticação como o Google ou o Microsoft Authenticator e que, na falta de um telemóvel empresarial, devem ser instaladas no telemóvel pessoal. Neste caso a excepção visa proteger o computador ou o telemóvel de serviço e deve ser aberta por essa razão é porque, em última instância, defender a organização é importante para o próprio colaborador da mesma.

8. O argumento de que o BYOD é um risco de segurança porque expõe os segredos da organização à concorrência não deve ser usado para negar estas políticas porque esse risco existe sempre, mesmo usando os computadores e equipamentos da organização. Na falta de outros mecanismos de segurança quem o quiser fazer, fá-lo-á sempre e a única forma eficiente de o impedir é usar a litigação legal em todos os casos em que isso acontecer por forma a dissuadir recorrências.

9. Existem duas grandes abordagens BYOD possíveis: uma "ligeira" em que o utilizador instala aplicações no seu equipamento e outra mais "pesada" em que a organização ganha capacidade de controlo do equipamento tal como um "remote wipe" uma abordagem de segundo tipo dá à organização a capacidade de controlar a presença dos dados nesses equipamentos quando os utilizadores deixam a organização sem os devolver ou quando estes são furtados ou perdidos.

10. Em qualquer implementação BYOD é preciso de ter em conta se a organização tem algum tipo de seguro de cibersegurança (p.ex. contra danos de um ataque de ramsonware) já que tal tipo de política pode colidir directamente com algum do seu clausulado (e, certamente, aumentar o risco de segurança coberto por essa apólice).

11. Como não existe um controlo sobre equipamentos pessoais tão intenso como existe (ou deve existir) sobre equipamentos organizacionais, não é possível garantir que todos os equipamentos estão atualizados a um dado nível e, logo, será particularmente certo afirmar que a maioria não terão todas as actualizações de segurança disponíveis no mercado. Ademais serão também equipamentos muito mais expostos a riscos de segurança do que os equipamentos corporativos porque os utilizadores instalam nos seus equipamentos Apps para uso pessoal, hábitos de navegação pessoais (tais como pornografia: um meio onde os exploits e malwares são comuns). Toda esta combinação pode levar a perdas de desempenho do equipamento que afectarão o desempenho da actividade profissional desenvolvida nesses equipamentos.

12. Em termos de custos a implementação de uma política BYOD também terá impacto em duas áreas: Desde logo em termos de licenciamento necessário para a gerir e depois, nos custos na conta telefónica do próprio utilizador ou na comparticipação por parte do empregador (se esta existir). Existirão também mais custos com o aumento da actividade de suporte decorrente desta mudança organizacional especialmente se este serviço for prestado em regime de outsourcing e se esse suporte não for capaz de acompanhar o aumento de serviço ou se não for capaz de o prestar decentemente (devido, por exemplo, às circunstâncias ou condições desses equipamentos pessoais) aumentará o descontentamento dos utilizadores e cairá, consequentemente, a satisfação global dos utilizadores com a organização.

13. Qualquer política BYOD faz aumentar a quantidade de risco que a organização vai passar a suportar. Muito concretamente: aumenta o risco de perda de dados, de intrusões, de comunicações sem controlo. Mas não é só o risco que aumenta. Aumentam também os custos. Os já referidos custos de licenciamento, os custos de perda de reputação caso ocorra um incidente de segurança, a perda financeira direta (p.ex. num incidente de ransomware). Custos de multas por violação do RGPD (que podem ascender a muitos milhões de euros...).

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de