Suas informa\u00e7\u00f5es e ativos de TI n\u00e3o est\u00e3o localizados no meio do nada. Eles precisam de um teto, paredes, portas e condi\u00e7\u00f5es adequadas de opera\u00e7\u00e3o. Assim como seres humanos. Software tem back doors (nem sempre para serem exploradas para atos maldosos) assim como qualquer pr\u00e9dio tem. Muitas funcionalidades de seguran\u00e7a da TI s\u00e3o constru\u00eddas sobre princ\u00edpios e solu\u00e7\u00f5es de seguran\u00e7a f\u00edsica “antiquados”. Assim como na TI, sem controles de seguran\u00e7a f\u00edsica apropriados, nossos ativos de informa\u00e7\u00e3o est\u00e3o em risco.<\/p>\n
\u00c1reas seguras s\u00e3o sites onde voc\u00ea lida com informa\u00e7\u00f5es sens\u00edveis ou abriga equipamentos de TI e pessoal valiosos para atingir os objetivos do neg\u00f3cio. No contexto da seguran\u00e7a f\u00edsica, o termo \u201csite\u201d significa pr\u00e9dios, salas ou escrit\u00f3rios que hospedam todos os servi\u00e7os e facilidades (eletricidade, aquecimento, ar condicionado).<\/p>\n
O papel prim\u00e1rio da seguran\u00e7a f\u00edsica \u00e9 proteger seus ativos de informa\u00e7\u00e3o – tanto materiais quanto os menos tang\u00edveis – de amea\u00e7as f\u00edsicas: acesso n\u00e3o autorizado, indisponibilidades e danos causados por a\u00e7\u00f5es humanas, bem como por eventos ambientais e externos.<\/p>\n
Os ativos materiais s\u00e3o, obviamente, hardware e m\u00eddias de informa\u00e7\u00e3o. Ativos de informa\u00e7\u00e3o menos tang\u00edveis s\u00e3o palavras faladas e dados exibidos (em telas e posters).<\/p>\n
Sites, pr\u00e9dios, \u00e1reas p\u00fablicas, \u00e1reas de trabalho e \u00e1reas seguras n\u00e3o est\u00e3o no meio do nada ou em algum lugar no ar. Eles est\u00e3o localizados em locais adequados para pessoas. Tr\u00eas elementos s\u00e3o levados em conta no seu contexto f\u00edsico para se decidir a prote\u00e7\u00e3o apropriada:<\/p>\n
Per\u00edmetro & bordas.<\/strong> N\u00f3s temos at\u00e9 quatro linhas de defesa para levar em conta:<\/p>\n Port\u00f5es.<\/strong> H\u00e1 obviamente a necessidade de se entrar e sair do ambiente f\u00edsico. As portas e janelas s\u00e3o a primeira coisa que vem \u00e0 mente, mas muitas pessoas se esquecem de dutos de passagem de cabos, entradas e sa\u00eddas de ar, etc.<\/p>\n N\u00e3o se esque\u00e7a das vias que v\u00e3o e vem dos port\u00f5es: vias de acesso e de sa\u00edda, tanto normais quanto as de \u201cemerg\u00eancia\u201d \u2013 requeridas pelas regulamenta\u00e7\u00f5es de seguran\u00e7a.<\/p>\n Arredores.<\/strong> Este item trata de corredores, passagens, estradas, espa\u00e7os verdes ou \u00e1reas de estacionamento que ficam em torno do per\u00edmetro.<\/p>\n O ambiente f\u00edsico, e especialmente as \u00e1reas seguras, deveriam atender expectativas de seguran\u00e7a. Isto acontece ao se prover o n\u00edvel adequado de for\u00e7a conforme definido pelas atividades de gest\u00e3o de riscos para cada um de seus elementos. Veja tamb\u00e9m este artigo: Avalia\u00e7\u00e3o de riscos da ISO 27001: Como combinar ativos, amea\u00e7as e vulnerabilidades<\/a>.<\/p>\n O primeiro requisite \u00e9 \u00f3bvio: a for\u00e7a do per\u00edmetro deveria ser adaptada ao seu conte\u00fado.<\/p>\n Segundo: todas as seis faces (4 paredes + piso e teto) dos tr\u00eas \u00faltimos per\u00edmetros (andar, sala, arm\u00e1rio) deveria ter a mesma for\u00e7a. \u00c9 de pouca serventia ter paredes fortes se voc\u00ea pode entrar na sala atrav\u00e9s de um teto ou piso falso.<\/p>\n \u201cNaturalmente\u201d (como sempre tem sido historicamente o caso), o ativo mais sens\u00edvel deveria ser colocado dentro do per\u00edmetro mais forte (\u201c\u00e1rea segura\u201d), o qual \u00e9 protegido por outro e assim por diante (a \u201ct\u00e9cnica da cebola\u201d).<\/p>\n O conceito de \u201czonas\u201d descreve a diferentes categorias de \u201csalas\u201d dependendo do que elas cont\u00eam e como elas est\u00e3o localizadas umas em rela\u00e7\u00e3o as outras.<\/p>\n Quando se trata de trabalhar em uma \u00e1rea segura, talvez seja requerido que voc\u00ea controle:<\/p>\n O controle A11.5 tamb\u00e9m restringe o uso destas \u00e1reas seguras. Elas deveriam ser devotadas apenas para lidar com informa\u00e7\u00f5es sens\u00edveis e para hospedar TI valiosa e facilidades. Elas n\u00e3o deveriam server como locais de armazenamento para papel, equipamento ou outros dispositivos de manuten\u00e7\u00e3o. Sua localiza\u00e7\u00e3o tamb\u00e9m n\u00e3o deveria ser indicada para estranhos.<\/p>\n Para algumas partes de suas instala\u00e7\u00f5es n\u00e3o deveria nem ser autorizado se tirar fotos.<\/p>\n Quando se trata de \u00e1reas de entrega ou de carga, voc\u00ea tem que se assegurar de que estas n\u00e3o deem aceso direto a \u00e1reas seguras.<\/p>\n As portas e janelas deveriam ter a mesma for\u00e7a do per\u00edmetro: uma parede forte e uma porta ou janela fracas (ou o contr\u00e1rio, como j\u00e1 se deve ter visto) faz pouco sentido.<\/p>\n Os port\u00f5es deveriam permitir um n\u00edvel adequado de controle de acesso de quem quer entrar (ou sair). Novamente, os direitos e regras s\u00e3o harmonizadas com a for\u00e7a das paredes (e o valor do que est\u00e1 dentro). Por exemplo, voc\u00ea poderia usar uma regra como esta: Para \u00e1reas seguras, uma c\u00e2mara (porta dupla de seguran\u00e7a) poderia ser necess\u00e1ria para assegurar a entrada de apenas uma pessoa autorizada por vez (e prevenir o carona).<\/em><\/p>\n Todos os port\u00f5es deveriam prover a prote\u00e7\u00e3o necess\u00e1ria: se voc\u00ea precise deixar o ar (ou cabos) entrarem e sa\u00edrem, a abertura n\u00e3o deveria ser grande o suficiente para permitir que qualquer animal (pequeno ou n\u00e3o) entre, com rela\u00e7\u00e3o ao dano que ele pode causar.<\/p>\n A presen\u00e7a de uma recep\u00e7\u00e3o por onde todos os visitantes deveriam passar primeiro \u00e9 uma possibilidade. As pessoas da organiza\u00e7\u00e3o questionando pessoas desconhecidas ou guardas de seguran\u00e7a patrulhando tamb\u00e9m \u00e9 uma solu\u00e7\u00e3o.<\/p>\n Se voc\u00ea protege adequadamente os port\u00f5es \u201cnormais\u201d, seria tamb\u00e9m aconselh\u00e1vel projetar, instalar e proteger port\u00f5es de \u201cemerg\u00eancia\u201d (tanto para sa\u00edda, obviamente, quanto para entrada \u2013 quando o port\u00e3o normal est\u00e1 bloqueado, para proteger a disponibilidade\/ acessibilidade do que est\u00e1 dentro).<\/p>\n Todos os espa\u00e7os ao redor do(s) per\u00edmetro(s) poderiam ser monitorados (de acordo com o valor ou sensibilidade do que est\u00e1 dentro) para prevenir, deter e detector quaisquer tentativas de se entrar (ou sair) atrav\u00e9s de port\u00f5es alternativos e especialmente constru\u00eddos. O monitoramento dos arredores geralmente \u00e9 realizado por c\u00e2meras ou patrulhas.<\/p>\n Assegurar seu ambiente f\u00edsico, e especialmente suas \u00e1reas seguras, segue a mesma abordagem que voc\u00ea utiliza para suas informa\u00e7\u00f5es digitais: definir o contexto, avaliar os riscos e implementar os controles de seguran\u00e7a mais apropriados: quanto maior o valor e o risco, mais alto o seu n\u00edvel de prote\u00e7\u00e3o. As atividades necess\u00e1rias para o controle de acesso e monitoramento seguem as mesmas regras aplicadas a informa\u00e7\u00e3o digital.<\/p>\n Mas, ao se falar de seguran\u00e7a f\u00edsica, isto n\u00e3o \u00e9 suficiente: voc\u00ea tamb\u00e9m precise proteger os equipamentos e lidar com amea\u00e7as do ambiente \u2013 mas isto \u00e9 um t\u00f3pico para outro artigo.<\/p>\n\n
Medidas de seguran\u00e7a<\/h2>\n
Per\u00edmetro & borda<\/em><\/h3>\n
\n
Port\u00f5es …<\/em><\/h3>\n
Arredores<\/em><\/h3>\n
N\u00e3o subestime a seguran\u00e7a f\u00edsica<\/h2>\n