Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

BYOD: Por onde começar?

 Definir a estratégia é o primeiro passo. mas também é preciso planejar bem o processo de implantação. Veja como.
Cezar Taurion *
A consumerização de TI é uma realidade e com este fenômeno surge o movimento chamado de BYOD - “Bring Your Own Device”. Isto significa que os funcionários estão usando tablets e smartphones no seu dia a dia e querem trazê-los para seus ambientes de trabalho.

O BYOD libera os funcionários para usar os dispositivos que mais os agradam para a realização das suas tarefas profissionais. Como os consumidores finais estão hoje à frente da vanguarda tecnológica, as empresas perceberam que é muito mais vantajoso abraçar essa ideia do que proibir. Afinal, elas não podem fechar os olhos para esta tendência que, segundo analistas de mercado, é impossível de bloquear.

Como reagir diante deste novo cenário? O setor de TI não é mais dono do ambiente tecnológico dos usuários. O tradicional paradigma da homologação e definição por TI do que pode ou não entrar na empresa já não vale mais. Como fazer frente a este tsunami?

Ultimamente, painéis têm debatido intensamente este tema. Resumi aqui alguns pontos debatidos nestas ocasiões e nas conversas de corredor, que sempre acontecem nestes eventos. Creio que será interessante compartilhar estas informações.

Fica claro para todos que a definição da estratégia é o primeiro passo. O fato de cada vez mais os usuários comprarem seus smartphones não significa que a empresa deva ficar parada, esperando que eles os tragam e conectem à rede corporativa. Na prática, podemos pensar em dois extremos. Em um, tudo é proibido, e nenhum smartphone entra na empresa. Impossivel de controlar. No outro extremo, tudo é liberado. Os riscos são imensos. O que a empresa precisa é definir em que ponto entre os extremos quer chegar, e por onde deve começar. A área de TI deve liderar o processo, mas envolvendo outros setores como gestão de riscos, RH e jurídico, uma vez que aspectos legais e trabalhistas serão envolvidos.

Política de uso

Para definir a estratégia e a política de uso, valide se existem restrições legais e implicações nos aspectos relacionados à remuneração dos funcionários, e obtenha aval da auditoria e da área de gestão de riscos. Uma empresa global tem que entender que uma politica única nem sempre poderá ser aplicada, uma vez que as legislações e as culturas são diferentes entre os países que atua. Também deve ser definido quem vai arcar com os custos das ligações e se a alternativa BYOD será obrigatória. Quanto a pagar as ligações, muitas empresas reembolsam os funcionários que usam o seu próprio dispositivo nas atividades profissionais, pagando os custos das chamadas móveis e do acesso a dados. Outras cobrem metade das despesas, mediante apresentação de relatório dos gastos.

E o que fazer no caso dos funcionários que não queiram entrar no programa? Para estes a empresa vai adquirir smartphones? E, se sim, esta aquisição poderá vista como beneficio diferenciado aos que compraram por conta própria. Um problema à vista?

A questão da propriedade é outro quesito a ser analisado. Podemos pensar em três diferentes abordagens. A primeira é estabelecer que se os recursos corporativos forem acessados por um dispositivo pessoal, a empresa tem o direito de controlar e bloquear o aparelho. Para colocar em prática essa política, é necessário criar normas por escrito e responsabilidades para ambas as partes. O funcionário tem que assinar o documento.

No segundo modelo, a empresa compra o dispositivo e permite seu uso para fins particulares, além, obviamente, das atividades profissionais. Os funcionários que não gostam da experiência obtida em tais aparelhos ficam livres para usar outro equipamento pessoal, entretanto, sem acesso corporativo. Muito comum hoje entre usuários BlackBerry, que também utilizam um iPhone ou Android.

O terceiro modelo é a transferência legal do dispositivo para o funcionário, que pode ser, em alguns casos, permanente. Mas há também a situação em que a organização compra o aparelho por um valor simbólico e dá ao profissional o direito de usá-lo para fins pessoais, comprometendo-se a vendê-lo de volta pelo mesmo preço quando o empregado deixar a empresa.

Também é importante analisar se o atual portfólio de aplicações será impactado pelos novos dispositivos que entram na empresa. Por exemplo, durante anos a empresa pode ter ajustado seus aplicativos a interfacearem com os BlackBerry, mas eles podem não estar preparados para iPhones e Androids. Quais serão o tempo e o custo desta adaptação?

Um ponto importante: educar os funcionários quanto a politica, restrições e riscos envolvidos. Também deve-se definir claramente os objetivos do programa e justificar seu business case. Quais beneficios serão obtidos? Serão intangíveis, como melhoria da imagem? Ou poderão ser mensurados, como aumento da produtividade?

Outro aspecto da estratégia é definir a amplitude do programa BYOD (todos os funcionários ou apenas uma parcela especifica), identificando quem será o seu patrocinador. A estratégia também deve definir os procedimentos do que será feito quando o funcionário deixar a empresa e quais suas responsabilidades quanto ao uso indevido dos aplicativos instalados no seu smartphone.

E quem vai pagar a conta da implementação da política de BYOD? Por exemplo, não comprar mais smartphones reduz as despesas para a empresa. Mas, por outro lado, ampliar a rede, para suportar maior tráfego de dados, e o help desk, para atender a novas demandas, aumentará os custos. Apesar de reduzir o CAPEX, as companhias estão aumentando o OPEX com dispositivos móveis, que são os custos com manutenção. Os gastos com help desk tendem a aumentar. Eles precisam oferecer suporte para diferentes sistemas operacionais. Também é necessário avaliar o custo de aquisição de novas tecnologias para gerenciar os dispositivos móveis. É essencial balancear bem os prós e contras para que o business case faça sentido.

Planejamento da implantação

A próxima etapa será agrupar os funcionários pelas suas demandas de uso para estes dispositivos. As atividades profissionais em uma empresa são bem diversas e, consequentemente, as suas demandas de uso tendem a ser bem diferentes. Uma boa ferramenta auxiliar é construir uma matriz de funções efetuadas versus demandas de aplicações e usos. Por exemplo, um sistema de CRM deverá ser acessado pelo pessoal de vendas, mas não pela equipe de engenharia. Analise também os riscos de segurança para cada tipo de acesso e identifique o gap tecnológico para cobrir estes buracos de segurança.

A terceira etapa é planejar o processo de implementação. Isto significa adquirir e colocar em operação as tecnologias necessárias, como ferramentas de gestão de dispositivos, eventual aumento na capacidade da rede e expansão do help desk. O help desk é um ponto importante. Embora de maneira geral os smartphones sejam suportados individualmente pelos próprios fabricantes (uma empresa como a Apple, por exemplo, não oferece suporte corporativo), o help desk deve suprir os funcionários em dúvidas técnicas quanto ao uso dos aparelhos e, principalmente, quanto à instalação e operação dos aplicativos instalados na loja interna da empresa. A loja de aplicativos é outra questão desafiadora. Se o ambiente tende a ser heterogêneo, provavelmente haverá uma loja para cada tipo de sistema operacional do smartphone, uma vez que eles são diferentes entre si. Isto leva a uma definição estratégica se os aplicativos corporativos serão baseados em tecnologias nativas ou em HTML5. Usando-se tecnologias nativas, cada aplicativo deverá ter uma versão (e não esqueça , gerenciada e atualizada) para cada sistema operacional, seja iOS, Android ou Windows.

Finalmente, comece a colocar em prática o projeto BYOD. Isto envolve um planejamento detalhado das etapas a serem cumpridas: o processo de educação, a criação e formalização da politica de uso, o treinamento e operação das novas atividades dos funcionarios do help desk, e a aquisição e instalação das tecnologias necessárias à gestão dos processos. Teste tudo em um projeto piloto, de prova de conceito, em um ambiente controlado e, posteriormente, ajuste e refine os procedimentos. Após isso, comece a disseminar o BYOD pela empresa. É a etapa do rollout.

E é sempre bom monitorar constantemente o processo, pois novas tecnologias surgem constantemente e, com eles, novos hábitos de uso começam a ser adquiridos. Lembre-se que estamos falando de tecnologias como smartphones e tablets, que são muito recentes. O iPhone surgiu em 2007 e o iPad em 2009. Não existem livros de referência de melhores práticas consagradas. Temos que criar estes livros. Mas este é um bom desafio.

(*) Cezar Taurion é diretor de novas tecnologias aplicadas da IBM Brasil e editor do primeiro blog da América Latina do Portal de Tecnologia IBM DeveloperWorks

Fonte: CIO