A utilização de SIG móveis oferece flexibilidade e funcionalidades benéficas como parte dos SIG de uma empresa. A segurança tem um papel importante em garantir que a confidencialidade, integridade e disponibilidade dos dados é mantida num ambiente móvel em constante evolução. Este tópico descreve algumas das melhores práticas recomendadas para evitar riscos específicos de dispositivos móveis como parte dos SIG de uma empresa.
As recomendações e funcionalidades gerais de segurança móvel para melhorar a postura de segurança de uma implementação móvel encontram-se listadas abaixo. Para obter uma lista detalhada de riscos e estratégias de mitigação dos mesmos, consulte o OWASP Mobile Top 10.
Uma solução empresarial de gestão de dispositivos móveis (MDM) é um bom ponto de partida para uma postura móvel mais segura. A MDM é a administração de dispositivos móveis numa organização. É tipicamente aplicada com software que permite a centralização e otimização da funcionalidade e gestão de segurança para dispositivos móveis. O software inclui normalmente um componente servidor que envia comandos de gestão para dispositivos móveis que têm um componente cliente para receber e executar os comandos de gestão.
Uma solução MDM inclui tipicamente as seguintes capacidades:
- Monitorização, reinicialização e encriptação de dispositivos
- Aplicação de políticas de palavra-passe, redefinição de palavras-passe
- Definições de Wi-Fi pré-definidas/configurações de rede privada virtual (VPN)
- Remoção de capacidades de bloqueio e limpeza
- Aplicação de definições de cópia de segurança
- Deteção de jailbreak
A gestão de aplicações móveis (MAM) proporciona um nível adicional de segurança para dispositivos móveis; é a utilização de software e serviços que aprovisionam e controlam o acesso de aplicações individuais em dispositivos. Isto permite aos administradores ter um controlo mais granular ao nível da aplicação para gerir e proteger os dados da aplicação. Uma solução de software MDM pode incluir capacidades MAM como parte da respetiva funcionalidade.
A Esri observou que as ofertas MAM centradas em MDM que requerem a reconstrução da aplicação com o Kit de Desenvolvimento de Software (SDK) de MDM normalmente não funcionam bem. A Esri tem alguns clientes que utilizam ofertas MAM que não requerem a incorporação de um SDK MDM. A Esri irá fornecer suporte para versões de loja lançadas, indicadas apenas no suporte do ciclo de vida do produto.
Para obter informações mais detalhadas, a equipa de Segurança e Privacidade de Software Esri lançou um documento técnico intitulado ArcGIS Secure Mobile Implementation Patterns (Padrões de Implementação Móvel Segura ArcGIS) para ajudar a orientar gestores de TI e administradores de SIG na implementação de um SIG empresarial com um componente de campo móvel.
Autenticação
A autenticação envolve a verificação das credenciais numa tentativa de ligação para confirmar a identidade do cliente. Assegure-se de que a autenticação se encontra ativada para aceder a serviços SIG. Especificamente para dispositivos móveis, existem várias opções, dependendo das funcionalidades disponíveis na sua empresa, como a existência de uma gateway de segurança móvel ou se os dispositivos móveis podem tomar partido de uma rede privada virtual (VPN). Estas opções incluem:
- Autenticação Integrada do Windows (IWA): utilização de Kerberos (ou NTLM, se disponível), que fornece uma experiência de registo único num ambiente baseado em Windows.
- Autenticação baseada em tokens—Utilização de tokens ArcGIS, que permitem a autenticação em todo o ArcGIS.
- Organização específica com SAML 2.0 ou OpenID Connect: o ArcGIS Online ou ArcGIS Enterprise permite aos clientes utilizar SAML 2.0 ou OpenID Connect para fornecer uma experiência web de início de sessão único.
Autorização
A autorização é o processo através do qual as permissões de clientes são verificadas antes do acesso a um recurso ou da execução de uma função específica. Os privilégios atribuídos aos utilizadores devem ser baseados no papel e no princípio do privilégio mínimo. No caso dos dispositivos móveis, isto pode acontecer a vários níveis.
- Gestão apropriada de autorizações dos vários papéis disponíveis no ArcGIS, como administrador, publicador e utilizador
- Ao nível EMM, utilização de autorizações e aprovisionamento de granularidade grossa ao nível da aplicação
Encriptação
A encriptação é o processo de transformação de dados para que sejam ilegíveis por aqueles que não têm acesso a uma chave de desencriptação.
- Encripte dados em trânsito que exijam HTTPS em todos os SIG da sua empresa.
- Encripte dados inativos no dispositivo móvel. Isto pode ser tecnicamente aplicado através da utilização de:
- Um MDM empresarial
- MS Exchange ActiveSync em caso de utilização do Microsoft Exchange
Registo e auditoria
O Registo consiste em registar eventos importantes de determinado sistema. A auditoria é a prática de inspecionar esses registos para assegurar que o sistema está a funcionar adequadamente ou responder a uma questão sobre uma transação específica que ocorreu. O registo e a auditoria podem ser facilitados nos seguintes níveis de utilização móvel:
- Ao nível do dispositivo, como facilitado pela solução de gestão de mobilidade empresarial
- Ao nível da aplicação, registando transações específicas de utilizadores
Estes resultados devem ser inseridos numa solução empresarial Security Information and Event Management (SIEM) para facilitar a correlação automática dos dados de registo para contribuir para a deteção de atividade maliciosa.
Hardening
Hardening é o processo de configuração segura de sistemas para impedir tantos riscos de segurança quanto possível. A superfície de ataque pode ser minimizada para implementações móveis ao:
- Proteger parâmetros de servidor
- Utilizar uma solução de gestão de aplicações móveis (MAM) para restringir aplicações
- A segurança do lado do servidor é identificada como o risco número um em dispositivos móveis de acordo com o Top 10 Móvel do OWASP.
- Siga as recomendações padrão de proteção do servidor que se alinham com as melhores práticas da indústria.