Center for Internet Security disponibiliza guia para detalhar e mapear dispositivos móveis

Texto traduzido e adaptado de “New Release: CIS Controls™ Mobile Companion Guide“.

No último dia 7 de março, o CIS – Center for Internet Security disponibilizou em seu blog, um guia complementar que auxilia as empresas e organizações a detalhar e mapear os controles aplicáveis recomendados pelo CIS e sua implementação em ambientes que englobam dispositivos móveis.

O guia tem objetivo de ajudar as empresas a implementarem as boas práticas desenvolvidas na versão 7 do CIS Controls para telefones, tablets e aplicativos móveis.

Em relação aos dispositivos móveis, o guia focou em uma abordagem consistente sobre como aplicar as recomendações de segurança do CIS Controls aos ambientes Google Android e Apple iOS.

Fatores como “ Quem possui os dados? ”e “Quem é o proprietário do dispositivo?“. Todos afetam como o dispositivo pode ser protegido e contra quais ameaças.

O guia explora várias maneiras pelas quais as organizações compram, disponibilizam e fornecem dispositivos aos funcionários. Os estilos incluem:

  • Não gerenciado – as organizações podem fornecer acesso a serviços corporativos, como e-mail, contatos e calendário, a usuários, sem inspecionar ou inspecionando o dispositivo. Embora seja um modelo popular para pequenas empresas e startups, esse é o cenário mais perigoso para a empresa e deve ser evitado na medida do possível.
  • BYOD (Traga seu próprio dispositivo)  – Os dispositivos são de propriedade do usuário final, mas ocasionalmente são usados ​​para fins de trabalho e devem ter menos acesso aos recursos da organização. O acesso de dispositivos BYOD a recursos organizacionais deve ser estritamente controlado e limitado.
  • COPE (Corporativo, Pessoalmente habilitado) – Os dispositivos COPE funcionam de maneira semelhante ao BYOD, exceto que a organização possui e fornece o próprio dispositivo móvel. Restrições serão aplicadas ao dispositivo, mas geralmente não impedem a maior parte do que o usuário pretende fazer com o dispositivo. Embora um dispositivo COPE seja ativado pessoalmente, ele pertence à empresa, assim como as informações do dispositivo.
  • Totalmente gerenciado – os dispositivos nesse cenário de implantação geralmente são bloqueados e têm permissão apenas para executar funções de negócios. Dispositivos totalmente gerenciados geralmente são de propriedade da organização, assim como todos os dados que residem no dispositivo, exigindo que os funcionários tenham um segundo dispositivo para uso pessoal. Esses dispositivos geralmente são gerenciados de maneira centralizada, o que proporciona importantes benefícios de segurança, mas também apresenta barreiras de usabilidade aos funcionários.

Ao longo do guia, também são analisados os sistemas que ajudam a administrar e monitorar dispositivos móveis, como Enterprise Mobility Management (EMM), Mobile Device Management (MDM), Mobile Application Vetting (MAV) e Mobile Threat Defense (MTD). Todas essas tecnologias podem ser usadas em conjunto para proteger a área de cobertura móvel de uma empresa e são as principais tecnologias usadas para implementar os Controles CIS para telefones, tablets e aplicativos móveis.

Para realizar download do Guia Complementar para dispositivos móveis, clique aqui.