Wipe remoto, bloqueio e atualizações automáticas: por que o PPSI 2.0 torna essas funções obrigatórias

Quando um smartphone corporativo é perdido ou roubado, o gestor de TI tem uma janela pequena para agir. Se o dispositivo não estiver preparado para wipe remoto, todos os dados institucionais nele armazenados permanecem expostos até que a bateria acabe — ou até que alguém com intenções ruins encontre uma forma de acessá-los.

O CIS Controls v8.1 — base técnica do PPSI 2.0 — trata isso como um controle formal, não como uma recomendação. A medida 4.11 exige que os dispositivos portáteis de propriedade do órgão estejam preparados para limpeza remota, e que ela seja executada nos casos previstos pela política institucional: perda, roubo ou desligamento do servidor.

Neste artigo, destrinchamos as três funções de segurança mais críticas para frotas de móveis corporativos segundo o PPSI 2.0 e o CIS Controls: wipe remoto, bloqueio automático por falhas de autenticação e atualizações automatizadas de SO.

Wipe remoto — Medida 4.11 (GI2)

A medida 4.11 do CIS Controls é direta: assegurar que os dispositivos portáteis de usuário final de propriedade da organização estejam preparados para limpeza remota e executá-la conforme previsto na política de gestão de ativos, incluindo casos como dispositivos perdidos ou roubados, ou quando um servidor não trabalha mais na organização.

Na prática, wipe remoto significa que o gestor de TI consegue apagar todos os dados corporativos de um dispositivo — ou o dispositivo inteiro, em caso de COBO — a partir do console de gestão, sem acesso físico ao aparelho e sem depender de qualquer ação do usuário.

Tipo de wipe	O que apaga
Wipe completo (factory reset)	Todos os dados e configurações — o dispositivo volta ao estado de fábrica
Wipe do Work Profile	Apenas os dados e apps do perfil corporativo — dados pessoais intactos
Wipe seletivo de apps	Apps e dados específicos, sem resetar o dispositivo

O que o PPSI 2.0 exige além do wipe: A medida 4.11 não é apenas sobre ter a função de wipe disponível — é sobre ter um processo documentado que define QUANDO o wipe será executado, QUEM tem autoridade para executá-lo e COMO o servidor afetado será notificado. Processo sem documentação não passa por auditoria.

Bloqueio automático por falhas de autenticação — Medida 4.10 (GI2)

A medida 4.10 exige que dispositivos portáteis de usuário final apliquem bloqueio automático após um número definido de tentativas de autenticação com falha — com base no limite estabelecido pela organização.

Isso protege contra ataques de força bruta: alguém que encontra o dispositivo e tenta adivinhar o PIN ou senha não consegue fazer tentativas ilimitadas. Após o limite definido, o dispositivo bloqueia — ou, em políticas mais rigorosas, executa wipe automático.

• O limite de tentativas recomendado varia de 5 a 10 — o órgão define conforme a política de segurança;
• A política pode ser configurada de forma diferente para dispositivos BYOD e COBO;
• Com MDM, essa configuração é aplicada remotamente em toda a frota — sem depender de que cada servidor configure manualmente no próprio dispositivo;

Atualizações automatizadas de SO e apps — Medidas 7.3 e 7.4 (GI1)

Essas são medidas GI1 — o nível mais básico e obrigatório do CIS Controls. Significa que qualquer órgão público, independente de maturidade ou recursos, precisa implementar atualizações automatizadas de sistema operacional (7.3) e de aplicações (7.4), mensalmente ou em intervalos menores.

O problema em frotas de móveis é que usuários postergam atualizações. Um aviso de ‘atualização disponível’ fica ignorado por semanas — às vezes meses. Nesse período, o dispositivo opera com vulnerabilidades conhecidas que já tem exploits públicos.

FOTA — Firmware Over The Air

Para dispositivos Android corporativos, a solução técnica é o FOTA (Firmware Over The Air): a capacidade de forçar atualizações de SO e firmware remotamente, sem intervenção do usuário. Com uma plataforma UEM, o gestor de TI define:

• Janela de atualização: horário em que as atualizações são aplicadas — fora do horário de uso para não interromper operações;
• Tipo de atualização: automática (aplica imediatamente), adiada (espera X dias) ou manual (usuário autoriza);
• Relatório de compliance: quais dispositivos estão com SO atualizado e quais estão fora do padrão definido;

Por que dispositivos desatualizados são risco auditável? No PPSI 2.0, a gestão de vulnerabilidades (Controle 7) exige evidência de que atualizações foram aplicadas. Um relatório mostrando 40% da frota com SO desatualizado não é apenas um problema de segurança — é evidência de descumprimento de medida GI1 em uma auditoria.

Como implementar as três funcoes em conjunto

Função	Medida CIS
Wipe remoto	4.11
Bloqueio por falhas de auth	4.10
Atualização automática SO	7.3
Atualização automática apps	7.4

O que o órgão precisa documentar para auditoria

• Política formal de gestão de dispositivos que inclua os critérios para execução de wipe;
• Log de wipes executados: data, dispositivo, motivo e responsável;
• Relatório de dispositivos fora da política de atualização;
• Configuração de limite de tentativas de autenticação: valor definido e data de aplicação;
• Histórico de atualizações aplicadas por dispositivo e por versão de SO;

Conclusão

Wipe remoto, bloqueio por falhas de autenticação e atualizações automatizadas não são funcionalidades extras de uma plataforma MDM — são medidas exigidas pelo CIS Controls v8.1 e pelo PPSI 2.0, com nível de implementação definido (GI1 e GI2) e necessidade de evidência auditável.

O órgão que não consegue executar wipe remoto em menos de dez minutos, que não tem limite de tentativas de autenticação configurado e que não força atualizações de SO já tem pelo menos três medidas do CIS Controls em aberto — e isso é verificável em uma auditoria.

As três funções, um único painel: A plataforma Urmobo oferece wipe remoto (total ou do Work Profile), política de bloqueio por falhas de autenticação configurável e FOTA para atualizações automáticas de SO Android — tudo gerenciado centralmente e com logs auditáveis para o PPSI 2.0. Fale com a Urmobo e entenda como acelerar a conformidade do seu órgão.

FAQ

O que é wipe remoto e por que o PPSI 2.0 exige?

Wipe remoto é a remoção de dados corporativos de um dispositivo a partir do console de gestão, sem acesso físico ao aparelho. O CIS Controls (medida 4.11, GI2) exige que todos os dispositivos portáteis do órgão estejam preparados para wipe nos casos de perda, roubo ou desligamento do servidor.

Qual é a diferença entre wipe completo e wipe do Work Profile?

O wipe completo apaga todos os dados do dispositivo e restaura as configurações de fábrica — indicado para dispositivos exclusivamente corporativos (COBO). O wipe do Work Profile apaga apenas o perfil corporativo, preservando os dados pessoais — indicado para BYOD e COPE.

Quantas tentativas de autenticação são permitidas antes do bloqueio?

O CIS Controls não define um número fixo — a organização define o limite conforme a política de segurança. O mais comum é entre 5 e 10 tentativas antes do bloqueio automático do dispositivo.

O que é FOTA?

FOTA (Firmware Over The Air) é a capacidade de atualizar o sistema operacional e firmware de dispositivos Android remotamente, sem intervenção do usuário. É a forma de implementar a medida 7.3 do CIS Controls em frotas corporativas.

Por que atualizações automáticas são GI1?

GI1 são as medidas essenciais que qualquer organização, independente de maturidade, precisa implementar. Atualizações automáticas de SO (7.3) e apps (7.4) são GI1 porque vulnerabilidades conhecidas — com exploits públicos — são o vetor de ataque mais básico e prevenível. Não atualizar é um risco inaceitável.

Fonte de referência: Guia do Framework PPSI 2.0, Controles 4 e 7. Secretaria de Governo Digital.