O que é trazer seu próprio dispositivo (BYOD)?

O BYOD surgiu com a estreia dos smartphones iOS e Android no final dos anos 2000, à medida que mais trabalhadores preferiam esses dispositivos em vez de telefones celulares padrão oferecidos pela empresa. A ascensão de acordos de trabalho remoto e híbrido, juntamente com a crescente integração de redes corporativas com fornecedores e prestadores de serviços, acelerou a necessidade de políticas de BYOD se estenderem para além dos smartphones.

Mais recentemente, a pandemia da COVID-19, juntamente com a escassez de chips e interrupções na cadeia de suprimentos, forçaram muitas organizações a adotar políticas de BYOD. Essa abordagem permitiu que os novos contratados continuassem trabalhando enquanto aguardavam por um dispositivo oferecido pela empresa.

Normalmente criada pelo diretor executivo de TI (CIO) e outros tomadores de decisão de TI de alto nível, a política de BYOD define os termos sob os quais os dispositivos de propriedade dos funcionários podem ser usados no trabalho. Também estabelece as políticas de segurança que os usuários finais devem observar ao usá-las.

Embora as especificidades de uma política de BYOD variem de acordo com os objetivos da estratégia de BYOD de uma organização, a maioria das políticas de dispositivos define alguma variação destes elementos:

Uso aceitável: as políticas de BYOD normalmente descrevem como e quando os funcionários podem usar dispositivos pessoais para tarefas relacionadas ao trabalho. Por exemplo, as diretrizes de uso aceitável podem incluir informações sobre como conectar com segurança aos recursos corporativos por meio de uma rede privada virtual (VPN) e uma lista de aplicativos aprovados relacionados ao trabalho.

As políticas de uso aceitável geralmente especificam como os dados confidenciais da empresa devem ser tratados, armazenados e transmitidos por meio de dispositivos de propriedade dos funcionários. Quando aplicável, as políticas de BYOD também podem incluir políticas de segurança e retenção de dados em conformidade com regulamentações como a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA), a Lei Sarbanes-Oxleye o Regulamento Geral de Proteção de Dados (GDPR).

Dispositivos permitidos: uma política de BYOD pode descrever os tipos de dispositivos pessoais que os funcionários podem usar para fins de trabalho e as especificações relevantes do dispositivo, como a versão mínima do sistema operacional.

Medidas de segurança: as políticas de BYOD normalmente definem padrões de segurança para os dispositivos dos funcionários. Essas medidas podem incluir requisitos mínimos de senha e políticas de autenticação de dois fatores, protocolos para backup de informações confidenciais e procedimentos a serem seguidos em caso de perda ou roubo de um dispositivo. As medidas de segurança também podem especificar o software de segurança que os funcionários devem instalar em seus dispositivos, como ferramentas de gerenciamento de dispositivos móveis (MDM) ou gerenciamento de aplicações móveis (MAM). Essas soluções de segurança de BYOD são discutidas em mais detalhes posteriormente.

Privacidade e permissões: as políticas de BYOD normalmente descrevem as etapas que o departamento de TI seguirá para respeitar a privacidade dos funcionários em seus dispositivos, incluindo como a organização manterá a separação entre os dados pessoais dos funcionários e os dados corporativos. A política também pode detalhar as permissões específicas que o departamento de TI precisa no dispositivo do funcionário, incluindo determinados softwares que ele pode precisar instalar e aplicativos que ele pode precisar controlar.

Reembolso: se a empresa reembolsar os funcionários pelo uso de seus dispositivos pessoais (como oferecer um adicional para compras de dispositivos ou subsidiar planos de dados móveis ou de internet), uma política de BYOD descreve como o reembolso é tratado. Especifica também os valores que os funcionários podem receber.

Suporte de TI: a política de BYOD pode especificar até que ponto o departamento de TI de uma empresa estará (ou não) disponível para ajudar os funcionários a solucionar problemas de dispositivos pessoais quebrados ou funcionando incorretamente.

Desligamento: finalmente, as políticas de BYOD normalmente descrevem as etapas a serem seguidas se um funcionário deixar a empresa ou cancelar o registro de seu dispositivo no programa de BYOD. Esses procedimentos de saída geralmente incluem planos para remover dados corporativos confidenciais do dispositivo, revogar o acesso do dispositivo aos recursos da rede e desativar a conta do usuário ou do dispositivo.

Os programas de BYOD levantam questões de segurança de dispositivos que os departamentos de TI não costumam encontrar (ou encontram em menor grau) com dispositivos preparados pela empresa. Vulnerabilidades de hardware ou sistema nos dispositivos dos funcionários podem expandir a superfície de ataque da empresa, oferecendo aos hackers novas formas de violar a rede da empresa e acessar dados confidenciais. Os funcionários podem adotar comportamentos de navegação, e-mail ou mensagens mais arriscados em dispositivos pessoais do que ousariam usar um dispositivo oferecido pela empresa. O malware que infecta o computador de um funcionário por causa do uso pessoal pode ser facilmente espalhado para a rede corporativa.

Com dispositivos preparados pela empresa, a TI pode evitar esses e outros problemas semelhantes monitorando e gerenciando diretamente as configurações, configurações, software de aplicações e permissões do dispositivo. Mas é improvável que as equipes de segurança de TI tenham o mesmo controle sobre os dispositivos pessoais dos funcionários, e os funcionários provavelmente se irritariam com esse nível de controle. Com o tempo, as empresas recorreram a várias outras tecnologias para mitigar os riscos de segurança do BYOD.

As áreas de trabalho virtuais, também conhecidas como infraestrutura de área de trabalho virtual (VDI) ou área de trabalho como serviço (DaaS), são instâncias de computação de área de trabalho totalmente provisionadas que são executadas em máquinas virtuais hospedadas em servidores remotos. Os funcionários acessam esses desktops e, essencialmente, os executam remotamente a partir de seus dispositivos pessoais, geralmente por meio de uma conexão criptografada ou VPN.

Com um desktop virtual, tudo acontece do outro lado da conexão (não é instalada nenhuma aplicação no dispositivo pessoal e nenhum dado da empresa é processado ou armazenado no dispositivo pessoal), o que elimina efetivamente a maioria das preocupações de segurança relacionadas a dispositivos pessoais. Mas os desktops virtuais podem ser caros de implementar e gerenciar, porque dependem da conexão com a internet, não há como os funcionários trabalharem offline.

O software como serviço (SaaS) baseado na nuvem pode oferecer um benefício de segurança semelhante com menos despesas de gerenciamento, mas também um pouco menos controle sobre o comportamento do usuário final.

Antes do BYOD, as organizações gerenciavam dispositivos móveis emitidos pela empresa usando software de gerenciamento de dispositivos móveis (MDM). As ferramentas de MDM oferecem aos administradores controle total sobre os dispositivos: eles podem aplicar políticas de logon e criptografia de dados, instalar aplicativos corporativos, enviar atualizações de aplicativos, rastrear a localização do dispositivo e bloquear ou apagar um dispositivo em caso de perda, roubo ou outro tipo de comprometimento.

O MDM era uma solução aceitável de gerenciamento móvel até que os funcionários começaram a usar seus próprios smartphones no trabalho e rapidamente se irritaram ao concederem às equipes de TI esse nível de controle sobre seus dispositivos pessoais, aplicativos e dados. Desde então, novas soluções de gerenciamento de dispositivos surgiram à medida que os usuários de dispositivos pessoais e os estilos de trabalho dos funcionários mudaram:

Gerenciamento de aplicações móveis (MAM): em vez de controlar o próprio dispositivo, o MAM concentra-se no gerenciamento de aplicativos, concedendo aos administradores de TI o controle somente sobre aplicativos e dados corporativos. A MAM geralmente consegue isso por meio da conteinerização, a criação de enclaves seguros para dados e aplicações de negócios em dispositivos pessoais. A conteinerização oferece à TI o controle total sobre aplicações, dados e funcionalidade do dispositivo dentro do contêiner, mas não pode tocar nem mesmo ver os dados pessoais do funcionário ou a atividade do dispositivo além do contêiner.

Gerenciamento de mobilidade empresarial (EMM): à medida que a participação do BYOD cresceu e se estendeu dos smartphones para os tablets (e além do Blackberry OS e do Apple iOS para o Android), o MAM lutou para acompanhar todos os novos dispositivos de propriedade dos funcionários que estavam sendo introduzidos nas redes corporativas. As ferramentas de gerenciamento de mobilidade empresarial (EMM) logo surgiram para resolver esse problema. As ferramentas EMM combinam a funcionalidade de MDM, MAM e gerenciamento de acesso e identidade (IAM), proporcionando aos departamentos de TI uma visão de plataforma única e painel único de todos os dispositivos móveis pessoais e de propriedade da empresa em toda a rede.

Unified endpoint management (UEM): a única desvantagem do EMM era que não conseguia gerenciar computadores Microsoft Windows, Apple MacOS e Google Chromebook, o que é um problema, pois o BYOD precisava se expandir para incluir funcionários e terceiros trabalhando remotamente usando seus próprios PCs. As plataformas de UEM surgiram para eliminar essa lacuna, reunindo gerenciamento de dispositivos móveis, notebooks e desktops em uma única plataforma. Com o UEM, os departamentos de TI podem gerenciar ferramentas, políticas e fluxos de trabalho de segurança de TI para todos os tipos de dispositivos, executando qualquer sistema operacional, independentemente de onde estejam se conectando.

Os benefícios do BYOD mais citados para a organização são:

• Economia de custos e redução da carga administrativa de TI: o empregador não é mais responsável pela compra e provisionamento de dispositivos para todos os funcionários. Para empresas que conseguem implementar e gerenciar com êxito o BYOD para a maioria ou todos os funcionários, essas economias podem ser consideráveis.
  
  
• Integração mais rápida de novas contratações: os funcionários não precisam mais esperar por um dispositivo oferecido pela empresa para começar a trabalhar em tarefas relacionadas ao trabalho. Isso foi especialmente relevante durante a recente escassez de chips e outras interrupções na cadeia de suprimentos, o que pode impedir que uma empresa forneça computadores aos funcionários a tempo de começarem a trabalhar.
  
  
• Maior satisfação e produtividade dos funcionários: alguns funcionários preferem trabalhar com seus próprios dispositivos, que consideram mais familiares ou capazes do que equipamentos preparados pela empresa.

Esses e outros benefícios do BYOD podem ser compensados por desafios e compensações para funcionários e empregadores:

• Preocupações com a privacidade dos funcionários: os funcionários podem se preocupar com a visibilidade de seus dados e suas atividades pessoais. Podem também ficar desconfortáveis ao instalar software exigido por TI em seus dispositivos pessoais.
  
  
• Grupos de candidatos limitados, preocupações com a inclusão: se o BYOD for obrigatório, as pessoas que não podem pagar ou que não possuem dispositivos pessoais adequados podem ser eliminadas da consideração. Algumas pessoas também podem preferir não trabalhar para uma organização que exige que elas utilizem seu computador pessoal, independentemente de o empregador reembolsá-las ou não.
  
  
• Riscos de segurança remanescentes: mesmo com as soluções de gerenciamento de dispositivos e segurança BYOD implementadas, os funcionários nem sempre aderem às melhores práticas de cibersegurança, como boa higiene de senha e segurança de dispositivos físicos em seus dispositivos pessoais, abrindo a porta para hackers, malware e violações de dados.
  
  
• Problemas de conformidade regulatória: os empregadores dos setores de saúde, finanças, governo e outros setores altamente regulamentados podem não conseguir implementar o BYOD para alguns ou quaisquer funcionários devido a regulamentações rigorosas e penalidades dispendiosas em torno do tratamento de informações confidenciais.