Com Kaspersky, agora é possível. http://brazil.kaspersky.com/produtos-para-empresas

Be Ready for What’s Next

Um whitepaper que explora as questões comuns das leis e regulamentações, confidencialidade, integridade e disponibilidade da segurança de informações.

Escrito pelo Dr. Michael R. Overly, CISA, CISSP, CIPP, ISSMP, CRISC

SeguRaNça de iNfoRmaçõeSe CoNfoRmidade Com aS leiS:

eNCoNtRaNdo um deNomiNadoR Comum

Índice

2

1.0 Introdução 3

2.0 Que tipos de dados devem ser protegidos? 5

3.0 Por que a proteção é importante 7

4.0 Conceitos equivocados comuns sobre a conformidade da segurança de informações 8

5.0 Encontrando as questões comuns em leis e regulamentações de conformidade 9

6.0 Lidando com a segurança de informações nas relações com parceiros de negócios e fornecedores 11

7.0 Programas BYOD (Traga seu próprio dispositivo) 16

8.0 Conclusão 20

3

As empresas enfrentam hoje a tarefa quase impossível de cumprir um confuso conjunto de leis e regulamentações referentes à privacidade e segurança de dados. Elas podem ter diversas origens: legisladores locais, estaduais, nacionais e até mesmo internacionais. Esse problema não atinge apenas as grandes corporações. Até mesmo uma pequena empresa com uma presença geográfica localizada pode estar sujeita a leis de outros estados e, possivelmente, de outras nações, por estar presente na Internet.

Em muitos casos, essas leis e regulamentações são vagas e ambíguas, com poucas orientações específicas em relação à conformidade. Pior ainda, as leis de jurisdições diferentes podem ser – e frequentemente são – conflitantes. Um estado ou país pode exigir medidas de segurança completamente diferentes das de outro estado ou país. A reconciliação de todas essas obrigações legais pode ser, no mínimo, um trabalho de tempo integral e, no pior dos casos, objeto de multas, penalidades e ações judiciais.

Em resposta à crescente ameaça à segurança de dados, os reguladores de, literalmente, todas as jurisdições promulgaram ou estão se empenhando para promulgar leis e regulamentações para impor obrigações de segurança e privacidade de dados nas empresas. Até mesmo em uma única jurisdição, diversas entidades governamentais podem ter autoridade para agir contra uma empresa que não cumpra as normas aplicáveis. Ou seja, uma única violação de segurança pode sujeitar a empresa a ações de execução de diversos reguladores, sem falar de possíveis reivindicações de danos por clientes, parceiros de negócios, acionistas e outros. Por exemplo, os EUA usam uma abordagem com base em setores para proteger a privacidade e segurança de informações pessoais (existem leis federais diferentes relacionadas às informações pessoais de saúde, financeiras, de possibilidade de crédito, de estudantes ecrianças). Outras abordagens, como a da União Europeia, fornecem uma norma unificada, mas oferecem mais proteção para determinados tipos de informações altamente sigilosas (como informações de saúde, associação em sindicados etc.). A implementação real das normas na legislação depende do país. O Canadá usa uma abordagem semelhante em sua Lei sobre documentos eletrônicos e proteção de informações pessoais (PIPEDA). As obrigações por multas e danos podem facilmente chegar a milhões de dólares. Mesmo que as responsabilidades sejam relativamente limitadas, a reputação comercial da empresa pode ser prejudicada irremediavelmente pela publicidade negativa e pela perda de confiança de clientes e parceiros de negócios.

Introdução

1.0A reconciliação de todas as obrigações legais pode ser, no mínimo, um trabalho de tempo integral e, no pior dos casos, objeto de multas, penalidades e ações judiciais.

4

As ameaças de segurança de dados estão em seu apogeu. É rara uma semana em que não aparece uma história nos noticiários sobre a última empresa que foi vítima de uma violação da segurança de dados. Embora, segundo o FBI americano, a ameaça dos hackers seja substancial, a incidência de apropriação indevida ou comprometimento de informações confidenciais por ‘pessoal interno’ nunca foi tão grande. Além dos próprios funcionários da empresa, essas pessoas com informações privilegiadas também incluem fornecedores e parceiros de negócios. É por esse motivo que enfocamos, neste whitepaper, duas das ameaças internas mais importantes: situações em que os parceiros e fornecedores de uma empresa recebem dados corporativos sigilosos em confiança e os programas BYOD (Traga seu próprio dispositivo), nos quais os dados corporativos são acessados em dispositivos sobre os quais a empresa tem pouco controle. No primeiro caso, os terceiros que detêm informações privilegiadas (ou seja, fornecedores e parceiros de negócios) criam um risco que deve ser atenuado. No segundo, o risco é criado por funcionários que têm essas informações.

Embora não haja soluções fáceis, este whitepaper tem diversos objetivos:

• Tornar claro que a privacidade relacionada a informações pessoais é apenas um elementoda conformidade. As empresas também têm a obrigação de proteger muitos outros tipos de dados (por exemplo, segredos comerciais, dados e informações de parceiros de negócios, informações financeiras não públicas etc.).

• Analisar as várias leis e regulamentações de privacidade e segurança para identificar três linhas de raciocínio comuns, relativamente diretas, que permeiam muitas delas:

1. O requisito de confidencialidade, integridade e disponibilidade (CIA, Confidentiality, Integrity and Availability).

2. A atuação ‘razoável’ ou tomada de medidas ‘apropriadas’ ou ‘necessárias’.3. O dimensionamento de medidas de segurança para refletir o nível de sigilo das

informações e a magnitude da ameaça.Com o entendimento desses conceitos gerais, de alto nível, as empresas podem compreender melhor suas obrigações globais de conformidade. No entanto, vale a pena destacar um ponto: as leis de segurança e privacidade de informações não exigem o impossível. Embora a segurança perfeita seja uma meta, não é um requisito. De certa forma, como será enfatizado repetidamente na discussão a seguir, as leis e regulamentações dessa área são direcionadas para que as empresas façam o que é aceitável e apropriado, não o impraticável ou absurdo. Se uma empresa alcançar esse padrão e, não obstante, ocorrer uma violação, em geral, ela não terá um problema de conformidade.

• Destacar os possíveis riscos da não conformidade (por exemplo, ações judiciais, multas, sanções etc.) e discutir conceitos equivocados comuns sobre as leis de segurança e privacidade de informações.

• Fornecer dois exemplos reais de como esses princípios podem ser postos em prática, incluindo etapas específicas para atenuar riscos e satisfazer as obrigações de conformidade:

1. O primeiro exemplo aborda como integrar melhor a segurança de informações nas relações com fornecedores e parceiros de negócios.

2. O segundo exemplo se concentra no controle de riscos durante a implementação de um programa BYOD (Traga seu próprio dispositivo).

65% das empresas de todo o mundo acreditam que as políticas BYOD ameaçam a segurança de seus negócios.1

As leis e regulamentações são direcionadas para que as empresas façam o que é razoável e apropriado, não o impraticável ou inaceitável.

1 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013

5

Ao considerar as leis e regulamentações de segurança de informações, a maioria das pessoas pensa imediatamente em dados de identificação ou em informações pessoais. Embora certamente seja verdade que a maioria das leis e regulamentações enfoca informações pessoais, esse é apenas um tipo de dados sobre os quais as empresas podem ter obrigações legais. Quase todas as empresas terão uma grande variedade de informações altamente sigilosas que devem ser protegidas. Alguns exemplos incluem:

Informações confidenciais gerais das empresasPode incluir informações financeiras, planos de marketing, possíveis atividades promocionais, informações de contatos comerciais, informações de investidores, planos de novos produtos, listas de clientes etc.

Propriedade intelectualA propriedade intelectual frequentemente compreende um dos mais, se não o mais substancial ativo das empresas. Uma violação de segurança poderia resultar na perda da capacidade da empresa de fazer cumprir seus direitos de propriedade intelectual. Por exemplo, segredos comerciais são definidos como informações sigilosas de uma empresa, que têm valor porque não são de conhecimento geral do setor e são o sujeito dos esforços da empresa em garantir que permaneçam confidenciais (por exemplo, a fórmula da Coca-Cola®).Se um segredo comercial for revelado ao público, ele perderá seu status e seu valor como segredo comercial. Quase todas as empresas têm pelo menos alguns segredos comerciais. Uma lista de clientes, código fonte de software, fórmulas, métodos de fazer negócios etc. podem ser segredos comerciais. Eles devem ser protegidos para garantir que as informações permaneçam seguras como um segredo comercial.

Informações de saúdeAs informações de saúde são um dos tipos de informações mais regulamentados e sigilosos.Nos Estados Unidos, por exemplo, a Lei sobre portabilidade e responsabilidade do seguro saúde (HIPAA, Health Insurance Portability and Accountability Act) regulamenta a privacidade e a segurança das informações pessoais de saúde. Em algumas jurisdições, elas recebem a mais alta proteção, em comparação com outros tipos de dados pessoais. Na União Europeia, as informações de saúde estão sujeitas a maior proteção sob a Diretiva de proteção de dados da União Europeia (European Union Data Protection Directive), que se reflete nas leis implementadas nos países membros. Consulte também a Lei australiana de privacidade de 1988 (Australian Privacy Act) e a recente Emenda da lei de privacidade (que aumenta a proteção de privacidade).Uma empresa pode estar no setor de saúde e ter posse de registros de pacientes reais, mas mesmo uma empresa que não tenha nada a ver com o setor de saúde pode ter informações de saúde de seus funcionários (por exemplo, informações de reivindicação de seguro) que é obrigada a proteger.

informações financeiras pessoaisDa mesma forma que as informações de saúde, as informações financeiras pessoais também contam com regulamentações sólidas e são consideradas altamente sigilosas. Nos Estados Unidos, a Lei Gramm-Leach-Bliley (GLBA) trata da privacidade e segurança de informações financeiras pessoais. Em outros países, as informações pessoais são amplamente

2.0

Que tipos de dados devem ser protegidos?

60% dos eventos de perda de dados resultam em algum prejuízo da capacidade de operaçãoda empresa.2

2 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013

6

definidas em leis abrangentes de forma a englobar quase tudo que identifique um indivíduo, inclusive, claro, suas informações financeiras. Consulte, por exemplo, a Lei de proteção de informações pessoais do Japão. Da mesma forma que com as informações de saúde, as empresas não precisam estar no setor de serviços financeiros para ter posse desse tipo de informações. Cada empregador tem informações financeiras sigilosas de seus funcionários (por exemplo, informações de salário, números de CPF e outros números de identificação pessoa, números de contas bancárias etc.).

Informações de segurançaAté mesmo as próprias informações de segurança são sigilosas e devem ser protegidas. As políticas de segurança, os relatórios de auditoria de segurança, os planos de recuperação de desastres e de continuidade dos negócios da empresa e outras informações semelhantes são todos altamente sigilosos. Se comprometidas, essas informações poderiam ser usadas para explorar vulnerabilidades da empresa.

7

A conformidade legal está certamente bem no alto da lista de motivos das empresas para implementar medidas de segurança de informações para proteger dados sigilosos. Contudo, há outros motivos muito significativos para as empresas abordarem esse risco.

Protegendo os ativos corporativosConforme observado na seção anterior, além dos dados de identificação pessoal, as empresas também têm outras informações altamente reservadas que deve proteger (por exemplo, propriedade intelectual, planos de marketing, planos de novos produtos, informações de investidores, informações financeiras etc.). Tudo isso são ativos valiosos da empresa, que merecem proteção.

Estabelecendo a diligênciaMuitas leis e regulamentações incluem o conceito de exigir que a empresa aja com a devida diligência na proteção de dados sigilosos. O mesmo conceito existe de forma mais geral na obrigação da administração corporativa de agir com o devido cuidado e exercitar um julgamento aceitável ao realizar negócios, o que incluiria agir com a devida diligência para proteger os ativos de informações corporativas. Nem a legislação aplicável, nem essa norma mais geral de governança corporativa exigem perfeição. Mas a empresa e seus administradores precisam conseguir demonstrar que agiram de forma razoável, apropriada e com a devida diligência para proteger seus ativos de informações. Com a implementação e documentação de uma abordagem ponderada para atenuar os riscos de segurança das informações, a empresa e seus gerentes terão evidências para sustentar que eles fizeram isso, no caso de uma violação.

Protegendo a reputação da empresaSer vítima de uma violação de segurança pode prejudicar drasticamente a reputação de uma empresa. Uma publicidade negativa desse tipo pode causar danos graves à empresa. Os clientes e parceiros de negócios podem perder a confiança na capacidade da empresa de proteger suas informações e seus sistemas.

Minimizar possíveis responsabilidadesPor fim, o motivo mais óbvio para implementar uma abordagem cuidadosa à segurança de informações é minimizar as possíveis responsabilidades. A responsabilidade pode assumir diversas formas: multas de vários reguladores, sanções estatutárias, ações judiciais movidas por acionistas e ações civis movidas por parceiros de negócios e clientes (incluindo a possibilidade de ações judiciais bastante custosas) contra a empresa e, possivelmente,contra sua administração.

Por que a proteção é importante

3.0O impacto típico de uma violação da segurança de dados é de aproximadamente US$ 50.000 para pequenas e médias empresas, e de US$ 649.000 para corporações.3

3 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013

8

Há muita confusão e muitos conceitos equivocados em relação à conformidade da segurança de informações. Os dois maiores erros são pensar que ‘tudo se resume aos dados’ e que ‘tudo se resume à confidencialidade’. Embora os dados e a confidencialidade sejam certamente de importância crítica, é necessária uma abordagem mais holística. Uma empresa deve se preocupar com seus dados,mas deve se preocupar igualmente com os sistemas nos quais os dados residem. Além disso, a confidencialidade é apenas uma das três proteções principais necessárias para a verdadeira segurança.

Todos os envolvidos em segurança de informações devem conhecer o acrônimo ‘CIA’. Para que os dados estejam realmente seguros, cada um desses três elementos deve ser satisfeito. ‘Confidencialidade’ significa que os dados são protegidos contra o acesso não autorizado e a divulgação. ‘Integridade’ significa que os dados são confiáveis em sua precisão e não foram sujeitos a alterações não autorizadas. Por fim, ‘Disponibilidade’ significa que os dados estão disponíveis para acesso e utilização quando necessário. Não há utilidade em ter dados confidenciais e cuja integridade está mantida, se eles não estão realmente disponíveis quando o usuário precisa deles. Para cumprir esse último requisito, os sistemas nos quais os dados residem devem ter níveis de serviço específicos em relação a disponibilidade, tempo de resposta etc. Isso será particularmente importante quando um fornecedor terceirizado estiver hospedando os dados em benefício da empresa.

A importância da CIA não é exagerada. Não é apenas um conceito em tratados de segurança de informações. Os legisladores incorporaram essa linguagem diretamente em determinadas leis e regulamentações da segurança de informações. As empresas que não conseguem alcançar a CIA em relação a seus dados podem estar violando essas leis.

Um último conceito errôneo que envolve as leis de segurança e privacidade de informações é que elas exigem a perfeição (ou seja, que qualquer violação, independentemente no nível de diligência da empresa, criará uma responsabilidade). Isso não é verdadeiro. As leis e regulamentações dessa área são direcionadas para que as empresas façam o que é aceitável e apropriado. Se uma empresa alcançar esse padrão e, não obstante, ocorrer uma violação, em geral, ela não terá um problema de conformidade.

Conceitos equivocados comuns sobrea conformidade da segurança de informações

4.0As leis e regulamentações dessa área não exigem perfeição – elas são direcionadas para que as empresas façam o que é aceitável e apropriado.

9

O número absoluto e a variedade de leis e regulamentações que podem se aplicar até mesmo a pequenas empresas que lidam com informações sigilosas podem ser intimidantes, se não devastadores. Em algumas situações, pode ser quase impossível até mesmo para uma organização grande e sofisticada identificar todas as leis aplicáveis, reconciliar inconsistência e então implementar um programa de conformidade. O objetivo desta seção não é discutir qualquer lei ou regulamentação específica, mas identificar três questões comuns que permeiam muitas delas. Ao compreender essas questões comuns, as empresas podem entender mais facilmente suas obrigações de conformidade básicas.

Essas correntes não passam apenas por leis e regulamentações, mas também normas contratuais, como o PCI DSS (Payment Card Industry Data Security Standard) e até mesmo padrões comuns do setor para segurança de informações publicados por organizações como a CERT em Carnegie Mellon e a ISO (International Standards Organization). A adoção dessas direções comuns ao projetar e implementar um programa de segurança de informações aumentará e muito a capacidade da empresa de alcançar a conformidade geral com as leis, regulamentações e outros requisitos (por exemplo, PCI DSS, padrões do setor etc.) aplicáveis.

Confidencialidade, integridade e disponibilidade (CIA, Confidentiality, Integrity and Availability)Conforme abordado na Seção 4, o antigo conceito de CIA que se encontra em todos os manuais de segurança de informações agora foi codificado em muitas leis e regulamentações. Os três braços desse conceito tratam dos objetivos mais fundamentais da segurança de informações: os dados/informações devem ser mantidos confidenciais, protegidos contra modificação não autorizada e devem estar disponíveis para serem usados quando necessário. A ausência de qualquer dessas proteções afetaria de forma importante a conformidade e o valor dos ativos de informações.

A atuação ‘razoável’ ou tomada de medidas ‘apropriadas’ ou ‘necessárias’O conceito de atuação ‘razoável’ é usado em muitas leis estaduais e federais nos Estados Unidos, na Austrália e em vários outros países. O conceito relacionado de tomada de medidas ‘apropriadas’ ou ‘necessárias’ é usado na União Europeia e em muitas outras regiões. Juntos, eles formam o cerne de quase todas as leis de segurança de informações e privacidade de dados. As empresas devem agir de forma razoável ou fazer o que é necessário ou apropriado para proteger seus dados. Observe que isso não exige perfeição. Porém, a empresa deve levar em conta o risco envolvido e não o que é razoável ou necessário para atenuar esse risco. Se, mesmo assim, ocorrer uma violação e a empresa tiver estabelecido esse requisito básico, em geral, não será considerado que ela esteja infringindo as leis ou regulamentações aplicáveis.

Encontrando as questões comuns em leis e regulamentações de conformidade

5.0

10

Dimensionando as medidas de segurança para refletir a natureza dos dados e das ameaças Um conceito que está intimamente relacionado à ação razoável ou ao fazer o que é apropriado é a ideia de dimensionar as medidas de segurança de forma a refletir a natureza das ameaças e o nível de sigilo dos dados. Ou seja, a empresa não precisa gastar todo seu orçamento de segurança para tratar uma ameaça de baixo risco. Porém, se o risco for substancial, especialmente devido ao volume e/ou confidencialidade dos dados, o nível de esforço e despesas que a empresa deve ter para lidar com esse risco deverá aumentar. Um banco de dados somente com nomes e endereços físicos pode não exigir tanta segurança quanto um banco de dados de nomes, endereços e números de CPF. Para entender esse conceito melhor, seguem trechos de duas leis que incorporam o ‘dimensionamento’:

Primeiro exemplo

A empresa deve implementar proteções apropriadas a: (a) o tamanho, o escopo e o tipo de negócios da pessoa obrigada a proteger as informações pessoais sob este programa abrangente de segurança de informações; (b) a quantidade de recursos disponíveis para essa pessoa; (c) à quantidade de dados armazenados e (d) a necessidade de segurança e confidencialidade das informações do cliente e do funcionário.

Segundo exemplo

As iniciativas de segurança devem levar em conta:

(i) O tamanho, a complexidade eos recursos da empresa.

(ii) Os recursos de segurançada infraestrutura técnica, de hardware e de software da empresa.

(iii) O custo das medidas de segurança.(iv) A probabilidade e a importância de

possíveis riscos para os dados.

Nas duas próximas seções, esses conceitos são abordados no contexto de duas situações reais, aplicáveis a quase todos os tipos e tamanhos de empresas. O primeiro aborda como integrar melhor a segurança de informações nas relações com fornecedores e parceiros de negócios. Ou seja, quando um fornecedor de uma empresa tem acesso ou posse das informações mais sigilosas da empresa, o que deve ser feito para garantir que essas informações serão protegidas.O segundo se concentra no controle de riscos durante a implementação de um programaBYOD (Traga seu próprio dispositivo) para os funcionários da empresa.

11

Quase todas as semanas acontecem casos de empresas que confiaram suas informações sigilosas a fornecedores ou parceiros de negócios e acabaram tendo essas informações comprometidas porque o fornecedor não conseguiu implementar proteções de segurança de informações apropriadas. Pior ainda, frequentemente se percebe que essas mesmas empresas tiveram pouca ou nenhuma devida diligência em relação aos fornecedores e não abordaram a segurança de informações de forma adequada nos contratos de seus fornecedores. Em muitos casos, a empresa acaba ficando sem solução para o prejuízo substancial que sofreram como resultado de um acordo.

No atual ambiente regulatório, as empresas devem ser muito mais rigorosas em suas relações com clientes nas quais informações sigilosas serão colocadas em risco. Nesta seção, são descritas três ferramentas que as empresas podem utilizar imediatamente para reduzir significativamente as ameaças impostas à segurança de informações por seus fornecedores e parceiros de negócios, garantir a execução e documentação da devida diligência e fornecer soluções no caso de um comprometimento.

Essas ferramentas são:

• Questionário sobre a devida diligência do fornecedor.• Principais proteções contratuais.• O uso, nas situações apropriadas, de um anexo de Requisitos de segurança de informações.

Sempre que um fornecedor ou parceiro de negócios tem acesso à rede, às instalações ou aos dados de uma empresa, uma ou mais dessas ferramentas deve ser usada.

Com o uso dessas ferramentas, as empresas conseguem atingir o nível de CIA em relação a seus dados, demonstrar que agiram de forma razoável/apropriada ao tratar dos riscos e dimensionar sua abordagem de acordo com o nível de risco envolvido (por exemplo, exigindo proteções contratuais mais fortes e a devida diligência mais profunda quando o fornecedor tem posse de quantidades substanciais de dados altamente sigilosos e, por outro lado, exigindo proteções e diligência menos rigorosas quando o fornecedor tem apenas contato incidental com dados sigilosos.

Lidando com a segurança de informações nas relações com parceiros de negócios e fornecedores

6.0

12

Devida diligência: a primeira ferramentaEmbora a maioria das empresas realize alguma forma de diligência devida antes de confiar aos fornecedores suas informações sigilosas ou o acesso a seus sistemas, muitas vezes, isso é feito de maneira informal, não uniforme e não documentada claramente. Em muitos poucos casos, o resultado dessa devida diligência é realmente incorporado no contrato entre as partes. Essa abordagem específica de devida diligência não é mais apropriada, nem aceitável, no contexto do ambiente regulatório e de negócios atual.

Para garantir a documentação apropriada e a uniformidade no processo de devida diligência, as empresas devem desenvolver um ‘Questionário sobre devido empenho’ que cada possível fornecedor ou parceiro de negócios com acesso a dados corporativos confidenciais ou sigilosos, ou a informações pessoais, deve preencher. As áreas englobadas no questionário incluem: responsabilidade corporativa, cobertura de seguros, condição financeira, práticas pessoais, políticas de segurança de informações, segurança pessoal, segurança lógica, recuperação de desastres e continuidade dos negócios, além de outras áreas relevantes.

O uso de um questionário padronizado tem várias vantagens importantes:

• Fornece uma estrutura uniforme pronta para a devida diligência.• Garante uma comparação das respostas dos fornecedores ‘com a mesma base’.• Assegura que todas as principais áreas de diligência sejam contempladas e que nenhuma seja

negligenciada.• Oferece um jeito fácil de incorporar as informações de devida diligência diretamente no

contrato. Em geral, o questionário preenchido é adicionado como anexo do contrato final.

Desde o princípio, os fornecedores devem estar cientes de que as informações que fornecem como parte do processo de devida diligência e, particularmente, em resposta ao Questionário sobre a devida diligência do fornecedor, serão (i) consideradas confiáveis ao fazer uma seleção de fornecedores e (ii) incorporadas e inseridas como parte do contrato final. Para ser mais eficiente, o questionário deve ser apresentado aos possíveis fornecedores no estágio mais inicial possível da relação. Ele deve ser incluído como parte de todas as concorrências relevantes ou, senão houver uma concorrência, como documento autônomo durante as discussões preliminares com o fornecedor.

Essa abordagem específica de devida diligência não é mais apropriada, nem aceitável, no contexto do ambiente regulatório e de negócios atual.

13

As principais áreas do Questionário sobre a devida diligência do fornecedor incluem o seguinte:

• Condição financeira do fornecedor. O fornecedor é uma empresa pública ou privada? Há cópias dos balanços financeiros mais recentes disponíveis? A condição financeira pode não parecer um fator crítico para fins de segurança de informações, mas a possibilidade de um fornecedor decretar falência ou simplesmente interromper seus negócios enquanto tiver em seu poder informações sigilosas de uma empresa representa um risco significativo. Nesses casos, pode ser difícil, se não impossível, recuperar os dados e garantir que eles tenham sido eliminados de forma adequada dos sistemas do fornecedor. De forma semelhante, a capacidade de processar um fornecedor incobrável por danos será prejudicada se o fornecedor não tiver capacidade financeira de pagar pelos danos concedidos.

• Cobertura de seguros. Que tipos de cobertura o fornecedor tem? Quais são os limites e os outros termos da cobertura? Os pedidos de cobertura são feitos ou baseados em ocorrências? Como normalmente as políticas gerais de responsabilidade comercial não abrangem violações de segurança de informações, pense em requerer que o fornecedor tenha um seguro contra riscos cibernéticos ou segurança de rede. Esses tipos de políticas estão se tornando mais comuns.

• Responsabilidade corporativa. Existem condenações criminais ou litígios recentes importantes, ocorrências em que o fornecedor teve um comprometimento substancial da segurança, violações de privacidade, resultados negativos de auditorias etc.?

• Subcontratação. O fornecedor precisará usar algum subcontratado ou afiliado para executar seus serviços? O fornecedor usará subcontratados ou afiliados fora de seu país? Onde os subcontratados e afiliados estão localizados? Que tipos de serviços eles fornecerão? Se houver, quais informações pertencentes à empresa serão enviadas a essas entidades?

• Procedimentos de segurança organizacional. O fornecedor conta com um programa de segurança de informações abrangente e bem documentado? Quais são as políticas de manuseio de informações do fornecedor? O fornecedor tem uma equipe dedicada à segurança de informações? Há uma equipe de resposta a incidentes? Quais são as práticas de segurança de informações do fornecedor em relação a seus contratados e agentes (por exemplo, devida diligência, exigência de contratos de não divulgação, obrigações contratuais específicas relacionadas à segurança de informações etc.)?

• Segurança física, controles lógicos. Quais medidas e procedimentos de segurança física o fornecedor emprega? O fornecedor usa controle de acesso a seus sistemas para limitar o acesso a informações apenas às pessoas especificamente autorizadas?

• Controles de desenvolvimento de software. Se o fornecedor for desenvolvedor de software, quais são seus procedimentos de desenvolvimento e manutenção? Quais controles de segurança são usados durante o ciclo de vida de desenvolvimento? O fornecedor realiza testes de segurança de seus softwares? O fornecedor mantém ambientes separados para testes e produção? O fornecedor licencia código de terceiros para incorporação em seus produtos? Se for o caso, que tipos de código?

• Problemas de privacidade. Se as informações pessoais de clientes, consumidores ou outras pessoas estiverem correndo risco, o fornecedor tem uma política de privacidade? Qual é o histórico de revisões da política? Houve alguma situação em que o fornecedor teve de entrar em contato com os consumidores por conta de uma violação de segurança? O fornecedor dá treinamento específico a seus funcionários para o manuseio de informações pessoais? Se der, com que frequência?

• Recuperação de desastres e continuidade dos negócios. Quais são os planos de continuidade dos negócios/recuperação de desastres do fornecedor? Quando ocorreu o último teste? Quando ocorreu a última auditoria? A auditoria encontrou algum resultado negativo? As deficiências foram corrigidas? Qual é o histórico de revisões de seu plano? Quais procedimentos de segurança são seguidos no site de recuperação ?

14

Principais proteções contratuais: a segunda ferramentaNa esmagadora maioria das negociações, o contrato firmado entre uma empresa e seus fornecedores tem pouco ou nada em relação à segurança de informações. Quase sempre, há uma referência de passagem a requisitos de segurança indefinidos e uma cláusula básica de confidencialidade.As práticas recomendadas atualmente no setor (como CERT e ISO) e as leis e regulamentações de segurança de informações sugerem que é necessário usar um discurso muito mais específico nas relações com fornecedores. Deve ser considerada a inclusão das seguintes proteções nos contratos de fornecedores relevantes:

Confidencialidade. Uma cláusula de confidencialidade totalmente detalhada deveria ser o pilar das proteções de segurança de informações em todos os contratos. A cláusula de confidencialidade deveria ser traçada de forma ampla, incluindo todas as informações que a empresa deseja manter confidenciais. Devem ser incluídos exemplos específicos de informações protegidas (como código fonte, planos de marketing, informações sobre novos produtos, segredos comerciais, informações financeiras, informações pessoais etc.). Enquanto o período de proteção de confidencialidade possa ser fixado por, digamos, cinco anos, deve ser oferecida proteção contínua expressamente para informações pessoais e segredos comerciais da empresa. Devem ser evitados requisitos de que a empresa sinalize as informações como ‘confidenciais’ ou ‘reservadas’. Esse tipo de requisito é irreal no contexto da maioria das relações com fornecedores. Frequentemente as partes negligenciam o cumprimento desses requisitos e, no final, informações reservadas confidenciais são colocadas em risco.

Garantias. Além das garantias padrão referentes à forma como os serviços devem ser realizados e às autorizações para firmar o contrato, as seguintes garantias específicas relacionadas à segurança de informações devem ser consideradas:

• Uma garantia que exija que o fornecedor cumpra as ‘práticas recomendadas do setor referentes à segurança de informações’.

• Conformidade com todas as leis e regulamentações aplicáveis sobre segurança de informações, privacidade, proteção do consumidor e semelhantes.

• Conformidade com a política de privacidade da empresa referente à manipulação e ao uso de informações pessoais.

• Uma garantia contra a disponibilização de informações confidenciais da empresa a subcontratados ou afiliados estrangeiros, a menos que especificamente autorizado por escrito pela empresa.

• Uma garantia afirmando que as respostas do fornecedor ao Questionário sobre a devida diligência do fornecedor, que deve ser incluído como anexo do contrato, são verdadeiras e corretas será atualizado, quando a pedido razoável da empresa, e deverá continuar verdadeira e correta durante toda a vigência do contrato entre as partes.

Obrigações gerais de segurança. Considere a inclusão de um texto geral no contrato referente às obrigações do fornecedor de tomar todas as medidas aceitáveis para proteger e defender seus sistemas e instalações contra acesso não autorizado ou invasões, de testar periodicamente seus sistemas e instalações quanto à presença de vulnerabilidades, de divulgar imediatamente todas as violações ou possíveis violações de segurança da empresa, de participar de auditorias conjuntas de segurança e de colaborar com os reguladores da empresa na revisão das práticas de segurança de informações do fornecedor, etc.

15

Indenizações. Em situações nas quais uma violação da segurança do fornecedor possam expor a empresa a possíveis reivindicações de terceiros (por exemplo, violações de informações pessoais podem resultar em reivindicações dos clientes da empresa), o contrato deve incluir uma cláusula sobre indenização que exija que o fornecedor isente a empresa de qualquer reivindicação, danos e despesas incorridos resultantes da violação da segurança do fornecedor. Ou seja, o fornecedor deve proteger a empresa de ações judiciais e outras reivindicações resultantes da falha do fornecedor em proteger seus sistemas adequadamente.

Limitação de responsabilidade. A maioria dos contratos tem alguma forma de ‘limitação de responsabilidade’ – uma cláusula criada para limitar o tipo e a extensão dos danos aos quais às partes contratantes podem estar sujeitas.Não é raro observar cláusulas que isentam o fornecedor de qualquer responsabilidade por todos os danos consequenciais (como lucros perdidos, prejuízos à reputação da empresa etc.) e que limitam todas as outras responsabilidades a uma fração dos valores pagos. É quase impossível eliminar esse tipo de cláusula da maior parte dos contratos, mas é possível requerer que o fornecedor exclua das limitações ou, pelo menos, aceite uma responsabilidade maior por danos decorrentes ou ocorridos após a violação de confidencialidade do fornecedor e concorde com sua obrigação de indenização por reivindicações geradas pelo próprio fornecedor devido a sua incapacidade de proteger adequadamente seus sistemas. Sem essas exclusões, as proteções contratuais descritas acima seriam basicamente ilusórias. Se o fornecedor não assumir realmente a responsabilidade pela violação de confidencialidade porque a ‘limitação de responsabilidade’ restringe os danos que o fornecedor deverá pagar a um valor irrisório, a cláusula de confidencialidade não terá qualquer significado.

Anexo de Requisitos de segurança de informações: a terceira ferramentaA ferramenta final para minimizar os riscos de segurança de informações do fornecedor consiste no uso de um anexo ou uma declaração de trabalho que defina especificamente os requisitos de segurança relevantes para uma transação específica.Por exemplo, o anexo de requisitos de segurança de informações pode proibir que o fornecedor transmita as informações da empresa por rede sem fio internas (como 802.11 a/b/g)ou transfira essas informações para mídias removíveis que poderiam ser facilmente perdidas. O anexo também pode conter requisitos específicos sobre o uso de criptografia e a retirada de serviço do hardware e da mídia de armazenamento em que as informações da empresa foram armazenadas, a fim de garantir que as informações sejam eliminadas apropriadamente do hardware e da mídia. Outras medidas de segurança física e lógica específicas devem ser identificadas como relevantes para a transação específica.

As empresas ficam sujeitas a riscos específicos quando confiam suas informações reservadas e confidenciais a seus fornecedores, parceiros de negócios e outros terceiros. Esses riscos podem ser minimizados com a utilização das ferramentas discutidas acima: a devida diligência apropriada e uniforme, o uso de proteções contratuais específicas relacionadas à segurança de informações e a possível utilização de adendos e outros anexos do contrato, detalhando os requisitos de segurança específicos que devem ser impostos ao fornecedor.

O fornecedor deve proteger a empresa de ações judiciais e outras reivindicações resultantes da falha do fornecedor em proteger seus sistemas adequadamente.

16

O termo BYOD compreende programas corporativos que autorizam os funcionários a utilizar seus próprios dispositivos pessoais (como smartphones, tablets, computadores, laptops, netbooks) para atividades pessoais e relacionadas ao trabalho. Também é permitido, de maneira geral, que o funcionário use seu dispositivo pessoal para se conectar à rede corporativa do empregador.

Existem inúmeras vantagens nos programas BYOD: potencial de redução no custo geral da empresa em manutenção de recursos de tecnologia da informação, melhor capacitação de funcionários móveis, suporte ao novo ambiente de trabalho 24x7 de muitas empresas e aumento no nível de colaboração e motivação dos funcionários. Um estudo recente da Unisys destaca alguns desses benefícios:• 71% dos respondentes acreditam que as iniciativas BYOD aumentarão a motivação.• 60% acreditam que a produtividade aumentará.• 44% achariam as ofertas de trabalho mais atraentes se a empresa desse suporte ao uso de

iPads.

O risco dos programas BYOD é inerente a sua natureza: a possibilidade de dados corporativos e pessoais serem armazenados/acessados no mesmo dispositivo, um dispositivo sobre o qual a empresa tem pouco ou nenhum controle. Esse risco é mostrado nos resultados de dois estudos recentes:• Estudo da Dell Kace: 87% das empresas não conseguem proteger efetivamente seus dados

corporativos e sua propriedade intelectual devido a funcionários que usam algum tipo de dispositivo pessoal no trabalho - incluindo laptops, smartphones e tablets.

• Estudo da eWeek: 62% dos administradores de TI acham que não têm ferramentas para gerenciar adequadamente dispositivos pessoais.

Com a abordagem das questões comuns da conformidade discutidas acima, é possível atenuar esse risco.

Principais riscos apresentados pelos programas BYODAo decidir implementar um programa BYOD, a empresa deve considerar os principais riscos a seguir e garantir que os benefícios para a organização em termos de economia de custo, motivação dos funcionários, etc. sejam maiores que esses riscos.

Mesclando dados corporativos e pessoais. Esta questão é claramente uma das mais importantes. No momento, há soluções, como o produto para dispositivos móveis da Kaspersky Lab, que ajudam a ‘conteinerizar’ dados pessoais e corporativos nos dispositivos BYOD. Porém, poucas delas diferenciam a imposição de políticas de segurança (ou seja, no caso de um dispositivo ser perdido ou roubado, uma limpeza/eliminação remota executada pela empresa apagaria não apenas todas as informações corporativo, mas também todas as informações pessoais). As empresas e seus funcionários devem considerar essas questões.

Programas BYOD (Traga seu próprio dispositivo)

7.071% dos respondentes acreditam que as iniciativas BYOD aumentarão a motivação.

17

Alguns exemplos retirados de situações reais do que pode dar errado:

• As fotos do casamento: em um dos casos, um funcionário achou que tinha perdido seu smartphone. A empresa executou a limpeza remota de todos os dados no telefone para garantir que informações sigilosas não fossem comprometidas. No final, o telefone não estava perdido, só tinha desaparecido. A esposa do funcionário moveu uma reclamação contra a empresa, alegando que eles tinham apagado a única cópia de suas melhores fotos de família. Deixando de lado o fato de que o funcionário e sua esposa deveriam ter feito backup dessas fotos importantes, a empresa ficou em uma posição difícil porque não tinha qualquer proteção contra uma reclamação da esposa por ter excluído as fotos. Veja a discussão a seguir sobre ‘amigos e familiares’.

• O próximo grande romance: em outra situação, um empregador permitiu que seus funcionários usassem seus próprios laptops. Enquanto o empregador instalava alguns novos softwares de segurança em cada um dos laptops, um determinado funcionário alegou que o empregador causou uma perda de dados que incluía a única cópia do romance no qual o funcionário trabalhava há muitos anos. O empregador não tinha em vigor uma política adequada que pudesse protegê-lo contra alegações dessa natureza por parte dos funcionários. A empresa acabou fazendo um acordo com o funcionário.

• Está na nuvem: os serviços de backup on-line estão se tornando corriqueiros. Muitos deles funcionam em conjunto e alguns estão incorporados diretamente nos sistemas operacionais dos smartphones. Em vários casos recentes, funcionários usaram esses serviços do tipo ‘Traga sua própria nuvem’ para fazer backup de seus dados pessoais ao mesmo tempo que também, inadvertidamente, incluíram dados sigilosos da empresa (ou seja, dados corporativos foram copiados para servidores de terceiros sobre os quais a empresa não tinha qualquer controle ou nem mesmo conhecimento, com a possibilidade desses terceiros usarem proteções de segurança abaixo do padrão).

Problemas de licenciamento de software. As empresas devem estar atentas para garantir que os softwares de terceiros usados por funcionários em seus dispositivos BYOD tenham as devidas licenças: um funcionário não pode licenciar uma versão ‘doméstica’ de um programa editor de textos e depois usar esse programa diariamente em seu laptop BYOD no trabalho para seu empregador. É quase certo que isso violaria o contrato de licença de terceiros do software. Em outro exemplo, o dispositivo BYOD pode usar uma conexão de VPN (rede virtual privada) para acessar determinados softwares de terceiros instalados nos sistemas do empregador (como um aplicativo de contabilidade, software de CRM, software para entrada de pedidos etc.). Os contratos de licença de terceiros relevantes devem ser analisados em todas as instâncias para garantir que o escopo da licença permitem esse acesso remoto.Em algumas situações, podem ser necessárias taxas de licença adicionais.

18

Descoberta/litígio. Ao considerar se deve participar do programa BYOD de seu empregador, além da vantagem de usar seu próprio dispositivo, o funcionário deve avaliar também do que precisará abrir mão. Mais especificamente, ele deve entender que, em caso de litígio, o empregador e, possivelmente, outras pessoas deverão inspecionar o dispositivo e examinar seu conteúdo. Essas informações podem incluir a análise de e-mails, fotos, dados de geolocalização etc. Além disso, o funcionário deve compreender que, em determinadas circunstâncias, o empregador pode ter bons motivos para limpar remotamente o conteúdo do dispositivo. A menos que o funcionário tenha feito backup do dispositivo, a limpeza pode resultar na perda completa dos dados pessoais do funcionário. Esses são fatores importantes que devem ser considerados com cuidado antes de aceitar participar de um programa BYOD.

Lesões por esforço repetitivo e outros distúrbios relacionados ao trabalho. Os chamados ‘Blackberry thumbs’ (polegares de Blackberry) e outras doenças que podem resultar do esforço repetitivo por uso de laptops, smartphones, tablets e outros dispositivos semelhantes devem ser considerados ao elaborar uma política de BYOD eficiente. Por exemplo, os participantes do programa devem ser incentivados a analisar as informações sobre ergonomia fornecidas com a maioria dos dispositivos, atestar que o empregador não é responsável por lesões decorrentes do uso desses dispositivos etc. A empresa também deve revisar as indenizações e outros seguros de seus funcionários para confirmar se a cobertura engloba esses tipos de lesões resultantes de dispositivos não fornecidos pela empresa.

Uso compartilhado de dispositivos como não funcionários: o problema dos amigos e familiares. Quase sempre, os funcionários permitem que seus amigos e familiares usem seus dispositivos BYOD. Esses ‘amigos’ possivelmente terão acesso a toda e qualquer informação relacionada aos negócios armazenada no dispositivo. É impossível evitar isso. E, pior ainda, esse risco não pode ser reduzido imediatamente com a tecnologia atual.

O problema é que a empresa não tem qualquer acordo de não divulgação ou outras obrigações de confidencialidade com esses terceiros, e o terceiro também não assinou a política da empresa referente ao uso do dispositivo BYOD. Isso significa que a empresa não tem qualquer proteção contratual com o terceiro.

Se, por exemplo, o terceiro enviar e receber e-mails pessoais usando o dispositivo e, posteriormente, em caso de litígio, o aparelho precisar ser analisado pela empresa. A empresa poderá estar violando os direitos de privacidade do terceiro ao examinar, mesmo que acidentalmente, seus e-mails. De forma semelhante, se a empresa tiver um bom motivo para limpar o dispositivo remotamente, o funcionário poderá não ter uma alegação contra a empresa, pois assinou uma política reconhecendo essa possibilidade. Porém, seus amigos e familiares não assinaram essa política. Nesse caso, se a limpeza destruir informações valiosas dessaterceira pessoa, ela poderia, teoricamente, fazer uma reivindicação por perdas contra a empresa.

Descarte do dispositivo pelo funcionário. Devem haver em vigor procedimentos para garantir que o empregador possa confirmar a remoção de todos os dados corporativos sigilosos do dispositivo antes de seu descarte. As empresas sabem que os funcionários estão sempre pesquisando seu próximo smartphone, tablet ou laptop, e que o dispositivo existente pode ser trocado, vendido no eBay ou de alguma outra forma descartado sem avisar o empregador. A análise do dispositivo pode ser especialmente difícil quando a relação de trabalho terminou mal. O funcionário pode se recusar a apresentar o dispositivo para análise. Nesses casos, o empregador pode não ter outra alternativa além de executar a limpeza remota do dispositivo.

Além da vantagem de usar seu próprio dispositivo, o funcionário deve avaliar também do que precisará abrir mão.

19

Principais elementos da estratégia BYODPara tratar das três questões comuns da conformidade discutidas acima (CIA, bom senso/adequabilidade e dimensionamento), um programa BYOD eficiente deve ter três componentes: política, treinamento e tecnologia/imposição.

Política. O documento direcionador de qualquer programa BYOD deve ser uma política clara e compreensível.A política detalha os direitos e as obrigações do funcionário em relação ao programa, inclusive o adverte de que, ao participar do programa, ele abre mão de determinados direitos. Por exemplo, em caso de litígio, o conteúdo do dispositivo móvel, incluindo dados pessoais, poderá ser examinado como parte do processo de descoberta ou, se o dispositivo for perdido ou de alguma outra forma comprometido, os dados pessoais contidos nele poderão ser perdidos para sempre, caso seja executado o apagamento/limpeza do dispositivo para proteger informações corporativas.

A maioria das empresas distribui a política e exige a assinatura dos funcionários para que eles possam participar do programa. A política deve deixar claro que a participação no programa poderá ser revogada pela empresa a qualquer momento. Por exemplo, a empresa pode decidir interromper o programa ou determinar que o uso que um determinado funcionário faz do dispositivo representa um risco de segurança grande demais. Nessas situações, a empresa deve ter o direito irrestrito de suspender o programa ou a participação de um funcionário específico no programa.

Muitas organizações enviam notas de acompanhamento periódicas destacando pontos específicos da política. Por exemplo, um empregador pode enviar uma nota que descreve os riscos ou as proibições específicas referentes ao backup de dados corporativos em contas de backup online do funcionário (como DropBox, iCloud etc.).

Treinamento. O treinamento de funcionários é outro componente crítico de um programa de BYOD eficiente. Em geral, não é suficiente simplesmente fornecer aos funcionários uma política que eles podem ou não ler. Em vez disso, é preferível realizar uma ou mais sessões de treinamento para os funcionários especificamente para informá-los sobre seus direitos e suas obrigações decorrentes da participação no programa. Dependendo do nível de sigilo das informações às quais o funcionário pode ter acesso, esse treinamento pode ser repetido periodicamente.

Tecnologia/imposição. O componente final é o uso da tecnologia de outros meios para impor a política. Isso pode ser tão simples como exigir que os funcionários usem apenas dispositivos BYOD com capacidade de imposição remota de políticas de segurança (por exemplo, senhas obrigatórias, tempo limite, limpeza remota etc.). Outras tecnologias mais avançadas também estão sendo disponibilizadas, inclusive a capacidade inerente de separar dados pessoais e corporativos.

Como mostrado na discussão sobre as três linhas de conformidade comuns, o investimento que uma empresa deve fazer para resolver esses componentes depende do tipo de informações que serão colocadas em risco pelo programa BYOD.

20

Enquanto o número e a complexidade das leis e regulamentações de privacidade e segurança de informações aumenta cada vez mais, as empresas devem avaliar determinadas questões comuns que as permeiam. Neste whitepaper, são apresentadas três das questões mais comuns e importantes. Ao compreender que a lei atual não exige perfeição, mas apenas o devido cuidado, bom senso e medidas de dimensionamento que reflitam o nível de sigilo dos dados colocados em risco, as empresas podem avançar muito para alcançar a conformidade.

Conforme mostrado na discussão sobre a segurança de informações em relações com fornecedores e o desenvolvimento de um programa BYOD eficiente, as empresas podem ver como essas questões comuns se aplicam a situações reais. O uso inteligente do treinamento, de políticas e da tecnologia pode reduzir muito o risco de conformidade geral.

Conclusão

8.0

Sobre o autorMichael R. Overly é sócio do Information Technology and Outsourcing Group no escritório de Los Angeles da Foley & Lardner LLP. O Sr. Overly escreve e dá palestras frequentes sobre a negociação e elaboração de transações de tecnologia e as questões legais da tecnologia no local de trabalho, em e-mails e evidências eletrônicas. Ele escreveu inúmeros artigos e livros sobre esses assuntos e frequentemente faz comentários para a imprensa nacional (por exemplo, no The New York Times, Chicago Tribune, Los Angeles Times, Wall Street Journal, ABCNEWS.com, CNN e MSNBC). Além disso, realiza cursos de treinamento nos Estados Unidos, Noruega, Japão e Malásia.O Sr. Overly já foi testemunha no Congresso dos EUA em relação a problemas online. Entre outras, ele é autor das publicações A Guide to IT Contracting: Checklists, Tools and Techniques (CRC Press, 2012), e-policy: How to Develop Computer, E-mail, and Internet Guidelines to Protect Your Company and Its Assets (AMACOM, 1998), Overly on Electronic Evidence (West Publishing, 2002), The Open Source Handbook (Pike & Fischer, 2003), Document Retention in The Electronic Workplace (Pike & Fischer, 2001) e Licensing Line-by-Line (Aspatore Press, 2004).

Isenção de responsabilidade: as leis mudam frequente e rapidamente. Elas também estão sujeitas a interpretações diferentes. O leitor deve analisar o estado atual da legislação com um advogado qualificado e outros profissionais antes de apoiar-se nela. Nem o autor, nem o editor oferecem qualquer garantia sobre os resultados da utilização a que este whitepaper se destina. Este whitepaper é fornecido com o entendimento de que o autor e o editor não estão envolvidos no fornecimento de serviços jurídicos ou profissionais para o leitor.

21

A Kaspersky oferece uma abrangente plataforma de segurança para ajudar a proteger sua empresa — não importa se você deseja gerenciar, proteger e controlar todos os seus endpoints (físicos, móveis e virtuais), proteger seus servidores e gateways, ou gerenciar remotamente todo seu ambiente de segurança.

O Kaspersky Endpoint Security for Business apresenta uma ampla lista de tecnologias, do antimalware, controles de endpoints, criptografia, gerenciamento de dispositivos móveis (MDM), até gerenciamento de sistemas, incluindo gerenciamento de correções e inventários de licenças. E, conforme um número cada vez maior de empresas se dá conta dos benefícios da adoção de iniciativas BYOD (Traga seu próprio dispositivo), que permitem aos funcionários usar seus dispositivos móveis pessoais para atividades comerciais, você pode capacitar o BYOD por meio da segurança móvel e do MDM.

Os produtos da Kaspersky Lab são desenvolvidos de forma que o administrador possa ver e gerenciar todo o cenário da segurança em uma ‘exibição única’. Todos esses recursos funcionam de maneira totalmente integrada, com o suporte da Kaspersky Security Network baseada em nuvem, para oferecer a proteção superior de que as empresas precisam para combater ameaças virtuais cada vez mais sofisticadas e diversificadas.

Desenvolvido por nós do início ao fim, o Kaspersky torna fácil para os administradores de TI verem, controlarem e protegerem seu universo. Os módulos, as ferramentas e o console de administração de segurança da Kaspersky são desenvolvidos internamente. O resultado é estabilidade, políticas integradas, relatórios úteis e ferramentas intuitivas.

O Kaspersky Endpoint Security for Business é a única plataforma de segurança integrada verdadeira do setor.

Kaspersky Endpoint Security for Business

Sobre a KasperskyA Kaspersky Lab é o maior fornecedor privado de soluções de proteção de endpoints do mundo. A empresa está classificada entre os quatro principais fornecedores de soluções de segurança para usuários de endpoints do mundo. Durante todos os seus 15 anos de história, a Kaspersky Lab continua sendo inovadora em segurança de TI e fornece soluções de segurança digital eficientes para consumidores, pequenas e médias empresas e grandes corporações. Atualmente, a empresa opera em quase 200 países e territórios ao redor do globo, fornecendo proteção para mais de 300 milhões de usuários em todo o mundo.

Saiba mais em http://brazil.kaspersky.com/produtos-para-empresas