COMPUTERWORLD Setembro 2013
Mobilidade Empresarial
“É preciso atrair os utilizadores, mantendo o nível de risco confortável” Desenvolver uma política de BYOD fácil de entender e aplicar é um dos factores mais importantes para um processo de adesão bem sucedido, considera Francesc Muñoz Molina, CIO da sociedade de advocacia Cuatrecasas, Gonçalves Pereira. Pág. 10
Barreiras já foram contornadas.............................................................................................................................................2 Seis lições do mundo real......................................................................................................................................................6 Gestão unificada e visibilidade para reduzir riscos ..............................................................................................................11 Setembro 2013 - COMPUTERWORLD
Mobilidade Empresarial Comunicações Unificadas Barreiras já foram contornadas 2|
As estratégias de mobilidade nas empresas tendem a suportar cada vez mais a vontade dos colaboradores usarem as ferramentas que querem. Não vale a pena resistir, mas é necessário tentar beneficiar com esta vaga. É tempo de encarar os factos: a grande barreira contra a possibilidade de os funcionários usarem smartphones pessoais no trabalho já foi violada. Apesar de tudo o que se possa acreditar sobre a necessidade de controlar o acesso e o equipamento empregue, isso já não significa forçar os funcionários a usarem apenas um dispositivo corporativo normalizado e pré-definido. Com efeito, algumas organizações estão até a subsidiar planos de assinaturas de comunicações dos funcionários como uma maneira fácil de evitar as dores de cabeça associadas à aquisição e gestão de equipamentos de trabalho. Assim, a questão já não passa por equacionar a adopção de políticas de Bring Your Own Device (BYOD) na estratégia de mobilidade e de cloud computing da empresa. Passa por perceber como fazê-lo. Numa perspectiva de BYOD – numa tradução literal, “traga o seu próprio dispositivo”
Dados de tendências Û O grupo de trabalhadores da infor-
mação, disponíveis em qualquer altura e desde qualquer local, cresceu de 23% em 2011 para 29% no ano seguinte, segundo o estudo "2013 Mobile Workforce Adoption Trends", realizado pela Forrester a partir de dados recolhidos em 17 países. A consultora classifica esse tipo de colaboradores como aqueles que usam três ou mais dispositivos, trabalham desde múltiplos sítios, e utilizam muitas aplicações móveis (apps). COMPUTERWORLD - Setembro 2013
– as empresas aceitam que os trabalhadores usem os seus equipamentos pessoais, móveis ou não, para desenvolverem a actividade laboral. Podem condicionar a utilização a uma série de regras e, segundo uma abordagem mais pura e extrema, até promovem a adopção daqueles dispositivos – segundo vários modelos possíveis. Na continuidade das tendências dos anos 80 (e mesmo anteriores), nas décadas seguintes houve nas empresas um esvaziamento dos quadros de gestão média, a introdução do trabalho em tempo parcial e de pessoal contratado. Houve também a substituição de algumas funções de rotina por robôs, por software e por trabalhadores em offshore. Isso levou muitas organizações a ficarem com menos trabalhadores do conhecimento retidos nos seus quadros, por serem recursos capazes de pensar por si mesmos, assim como usar a sua intuição e aptidões pessoais no mercado laboral. O resultado foi uma força de trabalho de nómadas que se juntam, caso seja necessário, usando uma vasta gama de recursos a partir de uma variedade de localizações. Inevitavelmente, esse nomadismo acentua a importância das ferramentas usadas por esses funcionários para fazer o trabalho pelo qual são valorizados. Como as forças e qualidades individuais de cada pessoa variam, também mudam as ferramentas que preferem e exigem usar. E este não é um fenómeno exclusivo dos trabalhadores do conhecimento. Propriedade complica A questão da propriedade sobre o dispositivo pode ser complicada. Algumas organizações – especialmente aquelas do sector público,
como na saúde ou da defesa – são geralmente colocadas perante uma nova questão jurídica: quem precisa mesmo de possuir o dispositivo? Não há uma resposta clara para essa pergunta, por enquanto. O aspecto é saber quando é que a propriedade é necessária para ganhar controlo sobre a gestão do mesmo. Para as organizações mais conservadoras, elas precisam de ter a propriedade legal do dispositivo. À escala mundial, tem havido três abordagens diferentes para lidar com a questão da propriedade, por ordem de popularidade: – a gestão partilhada: as políticas de contrato e emprego da organização resumemse a declarar ao funcionário: "se aceder a recursos de negócio com um dispositivo pessoal, dá-nos o direito de gerir, bloquear e até mesmo eliminar esse dispositivo, mesmo se você acabar por perder dados e aplicações pessoais em resultado dessas operações".
Mobilidade Empresarial Isso muitas vezes é codificado num acordo por escrito onde são vertidas as expectativas de ambas as partes sobre a gestão do dispositivo; – propriedade e aprovisionamento corporativo: a organização compra e possui o dispositivo, mesmo permitindo a utilização pessoal não laboral. Os funcionários que não gostam do serviço nesses dispositivos são livres de usar também um dispositivo pessoal, mas sem acesso aos sistemas da empresa; – transferência legal: a organização compra o dispositivo ao utilizador. Em alguns casos, a propriedade do dispositivo é permanente. É uma maneira infalível para dissuadir os trabalhadores de participarem num projecto de BYOD. Noutros casos, a organização compra o dispositivo por um valor simbólico e dá ao utilizador o direito de também o usar para fins pessoais. Este compromete-se depois a vendê-lo de volta pelo mesmo preço quando deixa a organização – é um modelo melhor aceite pelos utilizadores. Uma questão de dinheiro Subsidiar o uso dos próprios dispositivos móveis pessoais dos funcionários parece ser
- 37% dos trabalhadores da informação questionados pela Forrester trabalham desde múltiplos sítios; - 84% usa muitas aplicações móveis; - 53% utiliza múltiplos dispositivos.
uma óptima maneira de conter os custos de comunicações da rede móvel. Afinal, o reembolso de uma taxa fixa relativa à utilização dos telefones pelos trabalhadores poderá limitar os custos mensais por utilizador e reduzir a probabilidade de dispositivos celulares inactivos passarem despercebidos a quem gere o equipamento da organização. Além disso, é possível dessa forma eliminar a necessidade de esgrimir argumentos com as operadoras sobre facturações. Ou de contratar um serviço de gestão de despesa com telecomunicações para garantir rigor nas contas. (Para se ter uma noção da gravidade deste aspecto, as empresas saem a poupar dinheiro mesmo depois de pagar os tais serviços de gestão). Contudo, quando o smartphone ou plano de serviço de dados para tablet é subsidiado, sendo os dispositivos propriedade do funcionário, provavelmente não se poupa dinheiro, diz Michael Voellinger, vice-presidente executivo da Telwares, uma consultora para serviços de telecomunicações. Alguns clientes desta empresa economizaram dinheiro desta forma, mas outros acabaram por gastar mais. Mas porque é que um plano com limites de pagamento por utilizador não é mais barato do que um plano para toda a empresa? Devido a muitas questões, associadas ao modelo dos dispositivos pagos pelo empregador surgirem também nas situações dos equipamentos pagos pelo funcionário. Para algumas empresas, os custos não serão o factor decisivo: o espectro de uma auditoria rigorosa ou a necessidade de conformidade podem exigir a separação ou uso de euipamentos distintos (pessoal e para trabalho).
|3
Embora Voellinger aconselhe as empresas a disponibilizarem e gerirem os dispositivos dos funcionários, reconhece que alguns clientes acabam por ter de incluir e considerar dispositivos pessoais nas suas políticas e sistemas. Ted Schadler, analista da Forrester, recomenda que se dividam os profissionais da informação em vários grupos, com base num potencial como a sua preparação para a mobilidade que poderá beneficiar a empresa. "Não se tratam todos da mesma maneira", reforça. Por exemplo, pode-se segmentar a equipa da seguinte forma: – aqueles que usam dados mais sensíveis da empresa merecem dispositivos pagos e geridos pela empresa; – quem trabalha extensivamente longe da sua secretária pode receber subsídios para grande parte ou a totalidade das contas do dispositivo pessoal; – aqueles que trabalham longe do seu local de trabalho devem, ocasionalmente, receber um subsídio parcial para o uso do dispositivo pessoal; – os colaboradores que raramente estão em trabalho longe do seu espaço não devem receber qualquer subsídio, e pode-se mesmo considerar o bloqueio de acesso desses dispositivos aos sistemas da empresa. Ao considerarem-se os custos, não se pode esquecer de que há mais elementos além dos planos de serviço e os custos do dispositivo. A complexidade de suportar vários tipos de dispositivos – uma mistura de BlackBerry, Android, iPhone e iPad – adiciona um custo também. O preço desse suporte suplementar pode neutralizar quaisquer poupanças nas tarifas dos serviços móveis. É por isso que o "segredo" para a gestão de dispositivos é "tratar os empregados como adultos e usar o modelo de 'confiar e verificar' para o controlo da política" , diz Schadler. "O problema deve ser tratado Setembro 2013 - COMPUTERWORLD
4|
Mobilidade Empresarial
como uma questão de gestão de risco do negócio". Mais e mais empresas estão a fazer essa mudança, diz este analista da Forrester, e não apenas para os dispositivos móveis, mas também para os PCs. No entanto, para os dispositivos móveis, a dupla função dos mesmos remete para diferenças substanciais, dado que a maioria dos dispositivos de mobilidade não oferecem uma segurança e recursos de gestão com o mesmo nível dos PCs. Aumento de custos não é significativo A Aberdeen Research chegou a outras conclusões. Constatou que os custos de suporte crescem apenas 1,3 % nas empresas mais evoluídas e apenas 7% nas restantes, quando permitem a heterogeneidade de dispositivos. A razão é simples: quando os utilizadores escolhem os seus próprios dispositivos, tendem a seleccionar aqueles que conhecem e aprendem sobre os que escolhem, diz a consultora. Por outras palavras, não ficam dependentes do departamento de TI. Mesmo tendo de acrescentar pessoal ao departamento, os custos são baixos. Pode ser preciso reforçar a infra-estrutura de acesso sem fios conforme aumentam os dispositivos móveis, para suportar mais endereços IP e largura de banda, mas há soluções acessíveis para para isso, segundo o analista Andrew Borg, da Aberdeen Research. Quanto aos custos de telecomunicações, na visão desta consultora, isso não deve ser a principal preocupação do CIO: esses custos não devem ser de TI, mas sim do negócio e as unidades de negócio devem descobrir formas de os gerir. E, geralmente, os operadores acabam por cobrar menos a particulares, segundo a consultora, e as empresas acabam por poupar dinheiro. O CIO deve ver a tendência da consumerização do equipamento da empresa como um desenvolvimento positivo, que pode apoiar e COMPUTERWORLD - Setembro 2013
- 33% dos trabalhadores da informação pretendem ter um iPhone depois do dispositivo que usam agora; - 32% querem ter um tablet Windows; - 36% estão dispostos a contribuir com dinheiro para obterem o computador pretendido. aproveitar em benefício dos utilizadores, do departamento de TI e da organização como um todo. Para a maior parte das necessidades de segurança, as ferramentas de Mobile Device Managment (MDM) – gestão de dispositivos móveis – disponibilizam o que é necessário para lidar com os dispositivos iOS, graças às APIs para MDM nativas fornecidas pela Apple. Muitas vezes, existe um suporte semelhante para dispositivos Android, geralmente através da instalação de uma aplicação cliente. Se as necessidades de segurança são modestas - e no caso de se usar o Microsoft Exchange, o Exchange ActiveSync (EAS) ou um servidor de e-mail compatível -, a conformidade de segurança pode ser garantida directamente para dispositivos iOS e alguns dispositivos Android. Dizer não abre vulnerabilidades Ironicamente, a opção por proibir a tendência BYOD aumenta o risco de intrusão, perda de dados e falta de conformidade. Num estudo da Aberdeen Research, apenas 26% das empresas "retardatárias" face à tendência de BYOD gerem centralmente os seus dispositivos móveis, por via remota – embora esta seja uma capacidade básica da maior parte das plataformas de MDM. Em vez disso, não fazem nada ou colocam a equipa de suporte a geri-los individualmente. Em resultado disso, 67% dos "retardatários" não recuperam ou nem conseguem sequer neutralizar dispositivos perdidos ou roubados – uma perda cara dadas as necessida-
des de conformidade. Em comparação, isso acontece com 3,4% das empresas mais avançadas na adopção de BYOD – aquelas que, em média, gerem 88% dos dispositivos móveis dos trabalhadores – e com 4,9% das empresas "médias", as quais gerem 44% dos dispositivos móveis dos funcionários. No último ano, a segurança em mobilidade tornou-se uma questão mais simples de gerir. Quando não se permite o acesso aos sistemas da empresa em dispositivos móveis, os funcionários tendem a contornar de forma insegura essas limitações. Por exemplo, podem reencaminhar os emails dos sistemas protegidos para serviços em cloud pública. E, depois, acedem a eles com smartphones ou tablets, ambos invisíveis para a empresa e com maior risco de perda de dados. A Aberdeen considera haver neste aspecto uma forma de levar os empregados a aderirem à política de BYOD da organização, muitas vezes não utilizada: o acesso ao e-mail. Deve-se começar por garantir o acesso ao correio electrónico empresarial e dizer aos funcionários: “podem ter acesso, mas respeitando as políticas”. As pessoas com dispositivos não controlados desejam quase sempre aceder ao e-mail e aos calendários a partir deles. Assim, ao aderirem, precisam de passar pelo servidor de e-mail – o qual impõe políticas de acesso ou exige uma forma de cifra no dispositivo. Como a tecnologia é baseada em políticas, não é preciso conhecer especificamente os dispositivos do utilizador. O servidor valida a conformidade e age segundo a política estabelecida. É apenas necessário gerir as "gateways" de acesso, garante Andrew Borg. Para os dispositivos que exigem a instalação de aplicações específicas para alcançar a conformidade com a política, pode ser disponibilizada uma página na Intranet da empresa ligada a elas. Usando uma ferramenta de MDM é possível também resolver muitos problemas de conformidade.<
Mobilidade Empresarial
|5 PUB
A nuvem como AcelerAdor dA moBilidAde empreSAriAl David Mendes – Direção de Consultoria Empresarial, Portugal Telecom
Os telemóveis, smartphones e tablets tornaramse companheiros permanentes na vida das pessoas e a sua utilização alterou hábitos e comportamentos, quer na forma como acedemos à informação e serviços, quer na forma como nos relacionamos e trabalhamos. Passámos a planear e a gerir melhor as tarefas diárias, conjugando a vida pessoal e profissional. No meio empresarial, a adoção de aplicações móveis que facultam o acesso à informação e sistemas da organização, permite aumentar a produtividade das equipas, reduzir os tempos de resposta e decisão, ao mesmo tempo que contribui para a melhoria da qualidade de vida dos colaboradores. Atentas a esses benefícios, muitas organizações têm optado por promover a liberdade dos colaboradores na utilização dos seus próprios dispositivos móveis para acesso aos dados corporativos, ao email e aos seus sistemas, dentro ou fora do escritório. A adoção desta política, designada de BYOD (Bring Your Own Device), não é casual, assenta em requisitos de segurança no acesso aos dados e, ao mesmo tempo, promove a disponibilidade que os próprios colaboradores, clientes e fornecedores consideram necessárias para a evolução da atividade e da relação. Acesso a mais informação e aplicações de negócio, através da cloud Um dos principais motivos que leva as organizações a alojar os seus sistemas na cloud é a necessidade de facultar o acesso móvel aos sistemas de informação internos, através de aplicações cada vez mais evoluídas que garantam elevados níveis de segurança. A evolução dos equipamentos móveis e as redes de nova geração 4G, fibra e Wi-Fi, que permitem ampla cobertura, rapidez e qualidade dos serviços, quando integrados com a cloud, possibilitam às organizações desenvolver novas estratégias de negócio e de relacionamento com base na mobilidade.
Gestão centralizada e flexível dos recursos de mobilidade As plataformas cloud para aplicações móveis alteram a forma como se faz a gestão do ciclo de vida das aplicações móveis corporativas, passando a gestão, distribuição e atualização dos recursos de mobilidade - equipamentos, sistemas operativos, aplicações e acessos - a ser efetuada de forma centralizada, resultando em maior eficiência, agilidade e segurança. Adicionalmente, a organização passa sempre a dispor dos recursos de que necessita para poder evoluir, seja a nível de capacidade de arquivo de informação, de processamento aplicacional ou de quantidade de acessos. Esta flexibilidade de gestão permite o pagamento em função dos recursos que são efetivamente utilizados: “payper-device” / “pay-per-use”, o que conduz a um melhor planeamento e controlo de custos. Aplicações mais rápidas, sofisticadas e acessíveis em qualquer terminal Com a passagem dos dados aplicacionais e parte do seu processamento para a cloud, é libertado espaço no equipamento móvel, sendo possível disponibilizar nos terminais um maior número de serviços e de aplicações, com funcionalidades mais sofisticadas, mais leves, rápidas e seguras que podem ser executadas em qualquer equipamento, independentemente do sistema operativo utilizado Elevada segurança no acesso às aplicações e à informação corporativa A segurança da informação e dos acessos é também garantida pela plataforma cloud, de acordo com o perfil de cada utilizador, que pode ser ativado ou desativado de forma imediata.
O facto da informação não residir no equipamento móvel, mas na cloud, assim como a existência de diversos níveis de controlo no acesso à informação e a possibilidade de encriptar a informação entre a cloud e o equipamento móvel, minimizam os riscos de acesso indevido à informação corporativa. Porquê a PT? A PT ajuda as organizações a desenvolverem a sua estratégia de mobilidade de forma totalmente flexível, adequando os recursos aplicacionais às necessidades diferenciadas de cada organização. Para isso, disponibiliza aplicações móveis corporativas, soluções de gestão de mobilidade empresarial e serviços de gestão TI, plataformas de data center e capacidade de banda larga com suporte na maior rede de fibra de nova geração, com total cobertura nacional. Os serviços de cloud computing da PT, suportados na maior rede de data centers do país, potenciam redução de custos com as TI, aumento de produtividade e mobilidade, com elevados níveis de sustentabilidade. O novo data center PT na Covilhã, sendo um dos maiores a nível mundial, dota a PT de uma proposta de valor diferenciadora à escala internacional. Os serviços de gestão cloud da PT são reconhecidos com as certificações ISO 20000 e ISO 27001. A PT está a implementar, em conjunto com parceiros da União Europeia, o projeto pioneiro MOBIZZ (mobizz-project.eu), no âmbito do programa europeu para a competitividade e inovação. Este projeto irá criar uma plataforma europeia de aplicações empresariais para potenciar a oferta de novos serviços e aplicações móveis de negócio avançadas. Vá a smartcloud.pt
Setembro 2013 - COMPUTERWORLD
6|
Mobilidade Empresarial
Seis lições do mundo real o fenómeno BYod tornou-se um facto da empresa moderna. estima-se que mais de metade de todas as empresas no mundo procuram suportar uma política que permita aos funcionários trazerem os seus próprios dispositivos móveis para o local de trabalho. e a proporção de empresas com BYod só deverá crescer. isso não significa que dar suporte a uma política dessas seja fácil: se é suposto trazer benefícios reais tanto para a empresa como para os seus colaboradores, as organizações devem tomar medidas de segurança, salvaguardando a facilidade de utilização, a satisfação das necessidades do utilizador, de uma forma séria. Há seis lições a reter, de um conjunto de experiências recolhidas sobre iniciativas de mobilidade com cloud computing e políticas de BYod.
Lição 1 TORNE CONSISTENTE A RESPONSABILIDADE DA GESTÃO E DA SEGURANÇA Foi sempre claro que um aspecto importante das políticas de BYOD bem sucedidas envolve proteger os dispositivos existentes ou garantir que os novos dispositivos não se tornam num problema. De qualquer maneira, é escusado fazer um investimento maciço num aspecto, que não deverá ser um problema tão grande, ignorando outras falhas gritantes. Por exemplo, no caso de se cifrar a informação alojada em dispositivos móveis – porque se está preocupado com a perda de informação –, em primeiro lugar convém perceber o que os seus utilizadores estão a carregar para todo o lado nos portáteis. Os dados mais sensíveis não podem circular por aí sem serem cifrados. Se a implantação de processos de cifra em todos os dispositivos é demasiado onerosa, uma melhor abordagem será a implementação de políticas capazes de evitar a persistência desnecessária de dados nos dispositivos – desde que isso não crie mais problemas do que os que vai resolver. A SAP levou isso a sério, como parte do seu plano de BYOD, iniciado com a introdução do iPad. A empresa foi uma das primeiras organizações a adoptar o iPad como ferramenta de traCOMPUTERWORLD - Setembro 2013
balho. O plano da empresa era bastante radical: adoptar o dispositivo em primeiro lugar, e depois deixar a estratégia de implantação emergir. Esse processo de triagem pode exigir a substituição dos PC já existentes, o acesso a aplicações SAP ou a painéis das mesmas – ou mesmo a elaboração de casos de utilização ainda por descobrir. Hoje, mais de 12.500 iPads estão em utilização na SAP, com muitos funcionários a abandonarem os seus portáteis a favor do tablet da Apple. Outro componente importante da estratégia da SAP envolve não sobrecarregar os utilizadores de TI com desnecessárias questões de gestão de segurança. O departamento de TI não bloqueia o acesso dos utilizadores às operações mais vulga-
res e, contudo, convenientes – tais como a cópia e colagem de dados em documentos nos dispositivos –, como pode ser o caso noutros ambientes empresariais. A SAP percebeu que essas restrições só iriam tornar o trabalho mais difícil e conceder aos utilizadores um incentivo para contorná-las. Em vez
- Um quarto dos colaboradores da informação já utilizadores de tablets usa uma solução de partilha de ficheiros como o Box, Dropbox, Sugar Sync ou YouSendIt. - 70% dos funcionários usa o Dropbox para o trabalho e para ficheiros pessoais.
Mobilidade Empresarial disso, o fabricante assegura a segurança dos dados, mantendo o máximo possível de dados nos servidores: usa o iPad como portal simples ou como um “recipiente” para cifrar dados não persistentes. O trabalho envolvido na implantação deste esquema vale a pena não apenas para utilizadores do iPad, mas também para qualquer outro dispositivo, passível de ser adoptado mais tarde – reduzindo o peso de gestão e segurança para o presente, assim como para o futuro.
Lição 2 JUSTIFIQUE OS PROCESSOS DE SEGURANÇA FACE A RISCOS REAIS Conforme o conceito de BYOD evoluiu, tornou-se claro que os dados e o acesso são mais vulneráveis do que os dispositivos em si. Tendo isso em consideração, é importante ter a certeza sobre o que se está realmente a tentar proteger. Depois, é necessário elaborar processos de segurança em linha com esses objectivos, não apenas o que a tradição ou uma nova ocorrência da semana ditam. Sempre foi assim mas tornou-se ainda mais importante, conforme o tempo de vida dos dispositivos ficou mais curto e os novos dispositivos sucedem a antigos, de poucos em poucos anos. Isto não significa deixar de aproveitar as tecnologias de cifra em dispositivos móveis ou em sistemas de alojamento seguros, se forem considerados bem protegidos. Basta ter em mente que os dispositivos vão e vêm. Os dados e procedimentos ficam. Convém lembrar de que a forma de aceder e o lugar de onde se está a aceder, pelo menos, são tão importantes quanto a informação consultada. Na Intel, a filosofia de proteger dados em primeiro lugar, protegendo-os bem, sem rigidez e sem colocar os utilizadores num colete de forças, está solidamente implantada. Faz todo o sentido que uma das “madrinhas” da revolução da computação pessoal seja uma organização com BYOD. Desde o final de 2010, a Intel deixou os utilizadores trazerem para funções laborais os seus próprios dispositivos, excepto PCs e portáteis (estes modelos são fornecidos pela empresa). E voltou-
A Forrester salienta três aspectos sobre o panorama de fornecedores na mobilidade: - A Apple e o Android serão grandes fornecedores empresariais; - A Microsoft terá hipóteses com os tablets; - A força de trabalho do futuro será baseada em múltiplas plataformas tecnológicas. se para a protecção de dados em vez de restringir os utilizadores. A Intel optou por combinar um sistema convencional de MDM (gestão de dispositivos móveis) – como ferramentas de cifra e eliminação de conteúdos por via remota, entre outras –, com o conceito de "zonas de confiança” desenvolvido internamente. Este último permite imprimir moderação no acesso aos dados, dependendo da pessoa, o tipo de dados e também factores como o da geografia (por exemplo, o acesso a partir do estrangeiro é mais restrito, mesmo através de dispositivos aprovados). Cada utilizador recebe um grau de confiança normalizado, mais tarde incrementado ou reduzido, dependendo das circunstâncias. Afinal, se não se pode confiar no pessoal da empresa, em quem se poderá ter confiança? Os dispositivos pessoais sem autorização no quadro da política BYOD ainda podem aceder à Internet, mas não conseguem usar outros recursos corporativos. O CIO da empresa, Kim Stevenson, garante que a filosofia adoptada resulta em 150 milhões de dólares em incremento de produtividade em cada ano. Ou seja três dólares por cada uminvestido em BYOD , através da referida metodologia. O que é mais difícil de determinar em valor, e provavelmente é igualmente crítico, é o ambiente de trabalho receptivo criado pela implantação inteligente da política de BYOD. Stevenson é realista, e reconhece que mesmo assim deverão ocorrer alguns roubos de dados. Mas decidiu confiar no utilizador e trabalhar com áreas bem delineadas para garantir a segurança.
|7
Lição 3 UTILIZADORES E GESTORES SÃO OS VERDADEIROS RESPONSÁVEIS O departamento de TI tem de deixar de ser a primeira instância a que se recorre para ocorrências de segurança, de conformidade e governação. Por extensão, os utilizadores e não a equipa de TI, é que devem ser punidos por quebrar as regras. Além disso, esse grau de disciplina deve ser libertado e entregue pelos quadros de gestão. É melhor pensar o departamento de TI como a personificação do que a empresa está a fazer em todos os níveis. E não como se fosse um bando de pessoal contratado para fazer cumprir a lei. Será útil mencionar outra vez a SAP. O seu modelo de BYOD concentra-se na moderação da disponibilidade dos dados em vez de restringir o comportamento dos utilizadores. A empresa, no entanto, mantém um olhar atento sobre o comportamento dos utilizadores e age em conformidade. Confia que os funcionários, por exemplo, fazem um uso adequado dos seus iPads, e aqueles mais responsáveis são recompensados ao longo do tempo com acesso mais frequente a dados mais sensíveis. O génio desta abordagem: a empresa utiliza os seus próprios algoritmos de análise não invasiva para determinar quais são os utilizadores merecedores de maior confiança. O árbitro final sobre quem vai fazer o quê não é o departamento de TI, são as políticas mais abrangentes definidas pela administração da SAP. A cultura laboral de uma empresa deve também usar a forma como a responsabilidade é moldada. Um negócio onde o trabalho não é realizado a uma mesa, por exemplo, poderá ter uma atitude mais despreocupada. Veja-se o caso dos funcionários da Sunbelt Rentals, que despendem muito do seu tempo na estrada. Recentemente a organização substituiu volumosos ficheiros em papel por iPhones e iPads, tanto fornecidos pela organização, como adquiridos pessoalmente pelos funcionários. Pode parecer uma grande ruptura de convenções em política corporativa, mas o director de arquitectura da empresa, Dean Moore, também permitiu aos funcionários instalarem Setembro 2013 - COMPUTERWORLD
8|
Mobilidade Empresarial
jogos, filmes e vídeos nos dispositivos. Na sua visão, isso criou uma maior afinidade do empregado para com os dispositivos: usam-no mais, respondem mais rapidamente aos e-mails e estão menos propensos a perdê-los. (A Sunbelt ressalva que os dispositivos estão protegidos por um código PIN). Além disso, quando Moore proporciona um iPad ao utilizador, não significa dar-lhe licença para não trabalhar: um colaborador com tendência para não ser produtivo vai encontrar sempre uma maneira de se manter assim. Tarek ElHadidi, CIO da fabricante de semicondutores Freescale, implantou o seu próprio programa de BYOD em 2010 e tem a mesma opinião. O departamento de TI não deve ser a "polícia da utilização do tempo da empresa”. "A forma como os utilizadores trabalham com os seus dispositivos deve ser da sua responsabilidade e dos seus gestores. A política de BYOD funciona melhor quando ao comportamento dos utilizadores se mantém ou acaba, de acordo com o mérito do mesmo", diz. Dessa forma, o CIO pode concentrar-se na implantação das aplicações, em vez de focar-se nas políticas. Tal como Francis Thomine, CIO da Groupama, comentou num Barómetro de CIO em 2012: "o departamento de TI é um prestador de serviços no interior de um prestador de serviços. Isso não é o único modelo a seguir, mas é um ponto de referência útil para se ter em mente”.
Lição 4 DAR OS PRIMEIROS PASSOS NA ADOPÇÃO SEMPRE QUE SE PUDER Os gestores devem olhar para os dispositivos trazidos pelos utilizadores de outras empresas para usarem naquelas organizações e tentar perceber se os equipamentos têm lugar na sua organização. Muitos produtos pensados para uso pessoal têm agora tecnologias úteis para as empresas (por exemplo, os serviços de armazenamento online). Poderão exigir apenas mais algumas cautelas e atenção para serem incorporadas nos esquemas de gestão empresarial existente. Quando os gestores estão atentos ao mundo de TI mais amplo COMPUTERWORLD - Setembro 2013
No panorama das aplicações usadas: - Os portais da Internet estão ausentes; - As ferramentas de sincronização de ficheiros ultrapassam todas as outras, nos tablets; - Entre os colaboradores em mobilidade, o portefólio de aplicações usadas é enorme e muito diverso; - As aplicações de redes sociais são mais comuns entre utilizadores de tablets; - Os colaboradores em mobilidade (na América do Norte) têm maior tendência para usar aplicações de CRM, RH e ERP. mas também ao mundo mais restrito dos funcionários das empresas -, as suas organizações acabam por preparar-se para um dos desafios da adopção de políticas de BYOD. A IBM tem sido uma empresa historicamente bem preparada para a mobilidade, com os empregados a usufruírem de BlackBerrys fornecidos pela empresa. Ao longo dos últimos anos, porém, a IBM foi “inundada” com iPhones e outros dispositivos de outros fabricantes. Em vez de deixar os utilizadores descobrirem as suas próprias formas de suporte não instituídas para os equipamentos, a CIO da IBM, Jeanette Horan, decidiu estabelecer um programa de BYOD adequado. No âmbito do mesmo, os utilizadores podem comprar o seu próprio dispositivo e planos de acesso a dados, mas recebem directrizes de segurança e suporte por parte da IBM. A empresa também fornece aplicações através da sua própria loja, a qual disponibiliza tanto aplicações de outros fornecedores, como aquelas desenvolvidas pela IBM.
Lição 5 OUVIR OS COLABORADORES E FORMÁ-LOS DEPOIS As organizações não podem pensar em implantar uma política de BYOD baseada em processos de governação impostos desde o topo da hierarquia, nos quais um gestor escolhe os dispositivos e todos os outros colaboradores seguem a orienta-
ção corajosamente. Esse gestor deverá antes identificar primeiro quais as ferramentas a serem usadas pelos funcionários. Só porque um gestor acha que todos os empregados querem dispositivos da Apple, muitos podem não querer. Muita gente prefere um smartphone Android ou mesmo um portátil “Wintel” mais convencional. Incentivar a liberdade de escolha é um dos principais benefícios das políticas de BYOD. Mas também é preciso explicar aos utilizadores quais são os limites impostos aos seus comportamentos ou acessos devido às suas escolhas técnicas específicas. A maior parte das empresas perfiladas neste artigo fornecem algum tipo de formação aos seus utilizadores sobre a política de BYOD. A Intel exige que os novos contratados tenham quatro aulas obrigatórias de sensibilização e façam um curso anual de reciclagem. E quem usar dados confidenciais da empresa deve frequentar cursos adicionais. Até agora, 19 mil dos 100 mil funcionários da Intel participaram no programa BYOD, oriundos de todas as áreas da empresa – não são apenas os engenheiros. A CIO da Ricoh Americas, Tracey Rothenberger, seguiu o lema de "deixar os utilizadores liderar " de
Mobilidade Empresarial - 61% dos utilizadores de smartphones querem apenas um desses dispositivos para o trabalho e para uso pessoal. - 39% prefere ter dois, para separar essas funções. Quando a IBM, por exemplo, notou que muitos utilizadores estavam a aceder a serviços de partilha de ficheiros como o Box, a empresa criou a sua própria versão do serviço. Em vez do Facebook, a “Big Blue” criou as "Blue Pages”, uma rede social interna concebida para funcionar como um directório da empresa. Na mesma linha, a Freescale criou a FreeShare, uma rede social interna desenhada segundo as necessidades da empresa, com o Microsoft SharePoint. Um ano depois, os funcionários já tinham criado mais de 150 comunidades dentro dela.
Lição 6 outra forma, depois de concluir que os avanços nos dispositivos móveis (formatos, iterações e tecnologias) estavam a suplantar os esforços internos de actualização tecnológica. Ao ouvir os seus utilizadores e ver o que estavam a fazer, a CIO conseguiu criar uma política capaz de abranger e suportar qualquer número de alterações nos dispositivos. Os utilizadores escolhem os dispositivos e a Ricoh começa a estipular as políticas da empresa para a utilização do dispositivo escolhido. Por exemplo, após a saída da empresa, um funcionário deve trazer o dispositivo para eliminar conteúdos; as passwords devem ter determinada dimensão, e assim por diante. As empresas também podem aprender a partir da análise dos tipos de aplicações usadas pelos seus empregados em regime de BYOD.
COMPUTERWORLD
OLHAR PARA OUTROS MODELOS Conforme as políticas de BYOD se tornam mais incorporadas nas organizações, os casos de sucesso acumulam-se. Ainda mais encorajador é outro facto: podem encontrar-se exemplos de BYOD em todas as disciplinas: no sector público, na educação, em indústrias altamente reguladas e até em startups de tecnologia de ponta. Todos esses exemplos positivos oferecem uma vasta base sobre a qual outras empresas podem desenvolver estratégias, sejam organizações já implantadas ou recém-criadas. Em 2010, a Universidade de Long Island fez uma aposta lançando a concretização de um plano de BYOD como forma de cortar custos. A escola gastou 2,5 milhões de dólares para comprar cinco mil iPads para funcionários e alunos, apostando nas promessas de eficiência da utilização dos iPads a
|9
longo prazo (com uma mínima supervisão de TI e forte familiaridade com o equipamento), face aos custos de gerir a compra do equipamento no curto prazo. Para manter uma implantação eficiente, a universidade configurou um sistema de reservas online para obter os dispositivos. Esta medida colocou, por sua vez, determinados requisitos aos estudantes. Forçar os alunos a resolver qualquer questão administrativa ou pagamento pendente, antes de obterem os seus dispositivos, foi um grande benefício para a eficiência administrativa da organização. Desde o início do programa, já começaram a ser usados mais de 16 mil iPads no campus da universidade. (Os estudantes utilizadores dos iPads pagam uma taxa de 100 dólares anuais para ajudar a cobrir os custos). Outro esquema de BYOD merecedor de atenção está a ser usado pelo exército dos EUA, o qual tem estado a avaliar a possibilidade de usar tecnologias de dispositivos pessoais no campo de batalha, há algum tempo. O primeiro passo foi determinar se deveria usar smartphones pessoais, alguns dos quais já foram testados em vários ambientes e equipados com as aplicações adaptadas pelo exército. Este também planeia construir a sua própria rede de acesso sem fios para campos de batalha, com estações-base portáteis, capazes de disponibilizar uma cobertura com um raio de 35 quilómetros. Mais de 1200 dispositivos, com sistemas operativos diversos, estão a ser avaliados. A ideia não é determinar que dispositivo usar mas testar uma matriz neutra face aos dispositivos. A abordagem tem menos a ver com BYOD, mas a metodologia usada para analisar os dispositivos interessa à prospecção a fazer para um arsenal de BYOD.<
www.computerworld.com.pt
AV. DA REPÚBLICA, N.º 6, 7º ESQ. 1050-191 LISBOA DIRECTOR EDITORIAL: PEDRO FONSECA pfonseca@computerworld.com.pt EDITOR: JOÃO PAULO NÓBREGA jnobrega@computerworld.com.pt DIRECTOR COMERCIAL E DE PUBLICIDADE: PAULO FERNANDES pfernandes@computerworld.com.pt TELEF. / FAX +351 213 303 791 - TODOS OS DIREITOS SÃO RESERVADOS.
A IDG (International Data Group) é o líder mundial em media, estudos de mercado e eventos na área das tecnologias de informação (TI). Fundada em 1964, a IDG possui mais de 12.000 funcionários em todo o mundo. As marcas IDG – Computerworld, CIO, CFO World, CSO, ChannelWorld, InfoWorld, Macworld, PC World e TechWorld – atingem uma audiência de 270 milhões de consumidores de tecnologia em mais de 90 países, os quais representam 95% dos gastos mundiais em TI. A rede global de media da IDG inclui mais de 460 websites e 200 publicações impressas, nos segmentos das tecnologias de negócio, de consumo, entretenimento digital e videojogos. Anualmente, a IDG produz mais de 700 eventos e conferências sobre as mais diversas áreas tecnológicas. Pode encontrar mais informações do grupo IDG em www.idg.com
Setembro 2013 - COMPUTERWORLD
10 |
Mobilidade Empresarial
“É preciso atrair os utilizadores, mantendo o nível de risco confortável” Desenvolver uma política de BYOD fácil de entender e aplicar é um dos factores mais importantes para um processo de adesão bem sucedido, considera Francesc Muñoz Molina, CIO da sociedade de advocacia Cuatrecasas, Gonçalves Pereira.
A par da inevitável segurança, a comunicação tem sido um dos principais aspectos na implantação de uma política de BYOD, na estratégia de mobilidade da sociedade de advocacia Cuatrecasas, Gonçalves Pereira. A opinião é do CIO da organização, Francesc Muñoz Molina, para quem a simplicidade do código de adesão às regras de BYOD da sociedade é particularmente importante. Em 2008, a Cuatrecasas começou a desenvolver aplicações para tornar acessíveis em mobilidade serviços como a gestão de tempo, o relatório de despesas, o directório corporativo e a gestão documental. Quando os colaboradores começaram a trazer dispositivos estranhos aos sistemas de informação da organização, esta teve de reagir. Tratava-se, numa fase inicial, de suportar iPad pessoais, além de smartphones Blackberry. Actualmente, com uma solução da Airwatch, a sociedade conta também com alguns smartphones Android específicos. Ao todo, são 1500 dispositivos para gerir. Computerworld – Quais foram os problemas que a organização enfrentou com a crescente utilização de dispositivos móveis não Blackberry, no acesso aos sistemas de informação? Francesc Muñoz Molina – Os principais problemas que enfrentámos estavam relacionados com a segurança e a gestão dos dispositivos. Precisávamos mesmo de poder geri-los.
Û
Francesc Muñoz Molina
uma nova plataforma de tecnologia ou uma mudança no processo? FMM – Bem, a adopção de políticas de BYOD não constitui uma mudança muito grande. Os utilizadores ficam contentes ao poderem trazer os dispositivos que gostam para usar no trabalho, e assim estão dispostos a aceitar algumas regras sobre isso. E para a equipa de TI, a tecnologia envolvida não é difícil de gerir. Envolve mais entender como ser suficientemente flexível, usando o processo existente, mas colocando em prática também novos processos para gerir correctamente a política de BYOD.
CW – Quais são os principais riscos que a empresa assume? FMM – Não têm a ver com o dispositivo em si, mas com a informação que podem alojar. Por esta razão, temos de ser capazes de configurar políticas, gerir eliminação de dados, etc.
CW – Houve problemas de integração ou de outra espécie? FMM – Tivemos alguns problemas de integração com uma plataforma de Mobile Device Management (MDM). Houve problemas graves e “dolorosos“ para usar alguns certificados digitais, etc. Depois testámos a AirWatch e, finalmente, percebemos como pode ser mais fácil usá-la.
CW – O que é mais importante: a adopção de
CW – Quais são as recomendações que pode
COMPUTERWORLD - Setembro 2013
fazer sobre a implantação bem sucedida de uma política de BYOD? FMM – Para nós, o mais importante tem sido o processo de comunicação e, especialmente, o desenvolvimento de um código de adesão fácil de entender e aplicar. Se concebermos uma política extremamente difícil, não se consegue obter a adesão dos utilizadores. É preciso atraí-los, mas mantendo uma nível de risco confortável. A segurança é obrigatória e importante mas não pode ser a desculpa para se deixar de evoluir e fazer coisas novas. CW – Se houver o perigo iminente de fuga ou perda de informações, quais são os recursos/funcionalidades implantados para evitar essa situação? FMM – As fugas de informação mais relevantes são geridas a partir de outros sistemas internos mas também se aplicam a dispositivos móveis. Além disso também aplicamos processos internos para gerir este tipo de potenciais situações e sermos capazes de eliminar completamente o conteúdo dos dispositivos, remotamente. CW – Porque não adoptaram uma solução baseada em Android? FMM – Não o fizemos no início, porque a nossa abordagem inicial foi a de suportar tablets e a quota do iOS no “mercado interno" era de 99%. Para a empresa, a segurança da informação é um tema fundamental e o nível que podíamos alcançar com o Android não era suficientemente satisfatório. Depois de abordarmos também os smartphones já incluímos alguns dispositivos Android seleccionados, mas com uma camada de segurança maior. CW – Que formação deram aos utilizadores? FMM – Esse é um aspecto muito importante: não foi preciso. Os utilizadores já estavam preparados para a utilização do dispositivo. Só têm de seguir alguns cliques, a fim de avançar para o processo de adesão à política, aceitar o código de adesão e ficarem logo conectados. Podem depois descarregar as aplicações de negócios que desenvolvemos (gestão documental, CRM, directório, etc.) e é tudo.<
Mobilidade Empresarial
| 11
Gestão unificada e visibilidade para reduzir riscos A adopção de uma estratégia de mobilidade com BYOD é facilitada, segundo a Cisco e a Enterasys, com iniciativas para obter maior visibilidade sobre a rede, gerir os equipamentos de forma unificada e capacidade de reacção a ameaças.
São as principais tendências para lidar com os desafios das estratégias de mobilidade das empresas, segundo responsáveis da Cisco e da Enterasys em Portugal: ganhar visibilidade sobre os dispositivos, implantar uma gestão unificada sobre os equipamentos e garantir capacidade de reacção a ameaças. Para Gonçalo Tavares, da Enterasys, a solução a implantar deve proporcionar “total visibilidade” – saber o tipo de dispositivo, sistema operativo, local, período temporal, nome de utilizador, "hostname" ou autorização concedida – e “controlo imediato” sobre os acessos dos dispositivos a ligarem-se na infra-estrutura empresarial. O responsável propõe também a utilização de uma solução de Mobile Device Management (MDM) de gestão de dispositivos e aplicações instaladas, entre outras. Mas tem de haver “troca de informação entre ambas as soluções (através da integração das duas soluções via APIs)", diz. Talvez mais abrangente, a abordagem da Cisco baseia-se também na integração da informação. Segundo Rui Brás Fernandes, executivo deste fabricante, envolve “as soluções de colaboração, segurança e virtualização do espaço de trabalho” e o fabricante denomina-a como “O novo ambiente de trabalho”. Na opinião do responsável, há também a considerar a capacidade de expansão da rede, sobretudo quanto à parte de acesso sem fios, que é, "em 99% dos casos de BYOD, o meio de acesso usado”. “Torna-se
urgente e fundamental repensar toda a infra-estrutura por forma a conseguir dar um bom SLA aos utilizadores de BYOD”, reforça Rui Fernandes. Para suportar a afirmação, o responsável cita dados de um estudo recente da Cisco e da operadora britânica BT segundo o qual o crescimento exponencial do uso de dispositivos inteligentes tem aumentado a procura de banda larga para 84% das empresas. Perto de 56% dos responsáveis de TI consultados identificam um rendimento menor em algumas aplicações, diz o mesmo trabalho, e este aspecto acaba por minar as promessas de aumento de produtividade das estratégia de BYOD e cloud computing, considera aquele responsável. Outros factores de eficiência Mas há outros factores de eficiência para a estratégia. “Ao permitir que os dispositivos pessoais dos seus colaboradores (e mesmo convidados) possam aceder a recursos de TI através da sua infra-estrutura de rede corporativa, tem de se ter completa noção dos riscos que tal permissão acarreta, pelo facto de esses dispositivos não serem geridos (nomeadamente em termos de segurança) pela
organização”, alerta Gonçalo Tavares, da Enterasys. A facilidade de utilização, a gestão centralizada e unificada para toda a infra-estrutura de rede, “desde o centro de dados” até ao extremo da rede, são factores de eficiência da solução a implantar. Além disso, lembra Rui Fernandes, da Cisco, uma estratégia de BYOD deve ser vista e pensada numa perspectiva de negócio. “Por isso mesmo, deve ser um projecto transversal aos vários departamentos” das organizações. Na visão da Cisco, para as organizações desenvolverem políticas de BYOD eficientes, esse processo tem de ser “planeado para todos os grupos e departamentos de uma empresa, mas com uma implementação faseada”. A prioridadede é para os utilizadores e aplicações que estão melhor preparadas, considera o responsável. O objectivo, de acordo com Rui Fernandes, é procurar que a estratégia seja “rapidamente percebida e assimilada” pela organização. Para ambos os responsáveis, o maior desafio está relacionado com a segurança. O responsável da Cisco diz mesmo que os dispositivos não corporativos conectados à rede são responsáveis por mais de 40% da fuga de dados das empresas. “Com a massificação dos dispositivos BYOD, o controlo sobre os mesmos é bastante inferior quando comparado com dispositivos geridos pela empresa. Não existe portanto noção das vulnerabilidades e falhas de segurança que esse tipo de dispositivos possa trazer”, explica Gonçalo Tavares.< Setembro 2013 - COMPUTERWORLD