Bring Your Own Device (BYOD) é extremamente comum nos locais de trabalho modernos. Com o trabalho híbrido a tornar-se um padrão, os funcionários esperam aceder aos sistemas corporativos a partir de portáteis, telemóveis e tablets pessoais.
No entanto, embora o BYOD esteja a amadurecer como padrão, as políticas em torno da sua implementação segura continuam a ficar para trás, e geralmente não se deve a um design de segurança deficiente. Os funcionários simplesmente não estão a seguir as diretrizes que lhes são exigidas, e as equipas de cibersegurança ficam no escuro.
Então, como podem as organizações conceber uma política BYOD que os funcionários realmente sigam, sem comprometer a segurança?
Tornar a segurança invisível (ou pelo menos quase invisível)
Para que uma política BYOD funcione na prática, a segurança precisa de se integrar naturalmente na forma como os funcionários já trabalham. Quanto mais interromper os fluxos de trabalho diários, mais provável é que os utilizadores procurem formas de a contornar.
O atrito no início de sessão é um dos maiores fatores que matam a adoção. Exigir inícios de sessão repetidos, etapas de autenticação complexas ou reverificação constante pode rapidamente levar à frustração. Mas não tem de ser assim.
Com tecnologias como Single Sign On (SSO) e métodos simples de MFA (como notificações push ou biometria), as organizações podem manter uma segurança forte sem atrasar os utilizadores.
Permitir uma persistência de sessão mais longa também é uma forma de reduzir a frustração com uma desvantagem mínima de segurança. O objetivo é evitar forçar os utilizadores a dar passos extra para tarefas básicas. Se aceder a e-mails, documentos ou ferramentas internas se tornar difícil, os funcionários naturalmente procurarão atalhos.
Conceber políticas BYOD em torno do comportamento do utilizador
Uma política BYOD deve refletir como os funcionários realmente trabalham, não como as organizações pensam que devem trabalhar. Na realidade, os funcionários alternam entre dispositivos, conectam-se a partir de diferentes localizações e movem-se através de redes ao longo do dia. As políticas que ignoram isto naturalmente levarão ao não cumprimento.
Em vez de conceber para cenários ideais, construa políticas em torno do comportamento real. Por exemplo, é uma boa prática exigir várias etapas de autenticação cada vez que um utilizador tenta iniciar sessão a partir de um novo
dispositivo. No entanto, exigir o mesmo nível de autenticação com cada início de sessão frustrará as pessoas.
A flexibilidade é obrigatória em ambientes BYOD. As políticas devem, portanto, focar-se principalmente em proteger dados e acessos, em vez de controlar cada dispositivo ou localização.
Também vale a pena considerar afastar-se de regras universais. Um programador, representante de vendas e funcionário de finanças interagem com sistemas de formas diferentes e provavelmente usam ferramentas completamente diferentes. Ajustar o quão rigorosas são as regras, com base na função, nível de acesso e sensibilidade dos dados envolvidos, levará a uma melhor adoção.
Abordar preocupações de privacidade de frente
É natural que os funcionários se sintam céticos em relação às políticas BYOD, mesmo que sejam brandas, simplesmente porque implicam um nível de acesso ou controlo do empregador sobre um dispositivo que possuem.
É por isso que as organizações devem focar-se estritamente em controlar o acesso aos dados e sistemas da empresa, e explicar isso aos funcionários para que se sintam confiantes de que tudo o resto que fazem no seu dispositivo permanece privado.
A separação clara é fundamental. As organizações não precisam de visibilidade sobre aplicações pessoais, ficheiros ou atividade para gerir o risco BYOD eficazmente. Todos os dados corporativos devem residir em aplicações na nuvem e espaços de trabalho geridos, em vez de no próprio dispositivo. É assim que os controlos de segurança podem existir sem se estender ao ambiente pessoal do utilizador.
Os empregadores também beneficiam desta abordagem. Se um dispositivo for perdido, comprometido ou um funcionário deixar a empresa, as organizações podem remover o acesso ou apagar dados corporativos sem impactar o conteúdo pessoal.
Fornecer formação prática e contínua
Os funcionários são muito mais propensos a seguir uma política BYOD se compreenderem por que existe. Quando a segurança parece abstrata ou irrelevante, é fácil ignorar. Mas quando os utilizadores estão conscientes de riscos reais como phishing, apropriação de contas ou Wi-Fi público não seguro, são muito mais propensos a levar as políticas a sério.
A formação deve ser prática e relevante para a forma como os funcionários realmente usam os seus dispositivos. Em vez de sessões de sensibilização genéricas, foque-se em cenários do mundo real que encontram diariamente. Para ambientes BYOD, isso inclui reconhecer tentativas de phishing, evitar ligações suspeitas, compreender os riscos de redes públicas e saber como aceder com segurança aos sistemas corporativos a partir de dispositivos pessoais.
Também é importante não tratar a formação como um exercício único. As ameaças evoluem constantemente, e a consciencialização dos funcionários também deve evoluir. Atualizações ou lembretes curtos e regulares são muito mais eficazes do que sessões de formação longas e pouco frequentes que são rapidamente esquecidas.
O objetivo não é transformar funcionários em especialistas de segurança, mas dar-lhes consciência suficiente para tomar melhores decisões em situações quotidianas.
Conclusão
BYOD é a realidade de como o trabalho moderno é feito. O desafio na maioria dos casos não é se deve ser permitido, mas como implementar uma política BYOD que os funcionários realmente sigam. As políticas mais eficazes não são as mais rigorosas, mas as que tornam fácil para os funcionários segui-las sem introduzir risco desnecessário.
No final, maximizar a adoção da política BYOD resume-se a encontrar um equilíbrio entre segurança e usabilidade. As organizações que acertam neste equilíbrio não só melhorarão a segurança, mas também criarão um ambiente de trabalho mais suave e produtivo.
