A seguran\u00e7a f\u00edsica tem um papel cr\u00edtico na prote\u00e7\u00e3o da informa\u00e7\u00e3o, porque mesmo os controles t\u00e9cnicos e administrativos mais bem projetados, implementados e mantidos, sejam eles relacionados a TI ou outra \u00e1rea, s\u00e3o de pouca ajuda se um evento afeta fisicamente o ambiente ou os ativos onde estes controles operam.<\/p>\n
Por exemplo, aquele procedimento e software de \u00faltima gera\u00e7\u00e3o para a cria\u00e7\u00e3o de c\u00f3pias de seguran\u00e7a \u00e9 de pouca ajuda se algu\u00e9m, ou alguma coisa, danifica a m\u00eddia ou hardware onde a opera\u00e7\u00e3o \u00e9 realizada, ou se voc\u00ea n\u00e3o pode chegar at\u00e9 o local onde a m\u00eddia se encontra para recuper\u00e1-la.<\/p>\n
E, para tornar a coisas um pouco mais complicadas, existem eventos f\u00edsicos com probabilidade m\u00ednima de ocorrerem, mas que podem causar muito dano, e aqueles sobre os quais voc\u00ea tem pouca ou nenhuma influ\u00eancia. Como lidar com estas situa\u00e7\u00f5es?<\/p>\n
Felizmente, a ISO 27001<\/a>\u00a0oferece um conjunto de recomenda\u00e7\u00f5es sobre o que voc\u00ea deveria considerar para tornar sua seguran\u00e7a f\u00edsica mais confi\u00e1vel. Neste artigo focarei no controle A.11.1.4 \u2013 Prote\u00e7\u00e3o contra amea\u00e7as externas e do meio ambiente.<\/p>\n Por amea\u00e7as externas e do meio ambiente, o controle A.11.1.4<\/a>\u00a0da ISO 27001\u00a0se refere a eventos causados pela natureza (ex.: inc\u00eandio, inunda\u00e7\u00e3o, terremoto, raio, clima extremo, animais, etc.) e a\u00e7\u00f5es feitas pelo homem, sejam elas intencionais ou acidentais, realizadas por pessoas que n\u00e3o est\u00e3o sob responsabilidade, influ\u00eancia ou controle da organiza\u00e7\u00e3o (ex.: vandalismo, protestos civis, colis\u00f5es, etc.). Para mais exemplos de amea\u00e7as, veja este Cat\u00e1logo de amea\u00e7as & vulnerabilidades<\/a>.<\/p>\n Estas caracter\u00edsticas fazem a identifica\u00e7\u00e3o de amea\u00e7as<\/a>\u00a0um pouco mais complexa, porque elas dependem principalmente de informa\u00e7\u00e3o que est\u00e1 fora da organiza\u00e7\u00e3o (ex.: hist\u00f3rico da localidade, demografia, popula\u00e7\u00e3o, aspectos culturais, estat\u00edsticas criminais, etc.). Para ajudar a coletar esta informa\u00e7\u00e3o, uma organiza\u00e7\u00e3o pode usar a ISO 31000 (Gest\u00e3o de riscos \u2013 Princ\u00edpios e diretrizes), cl\u00e1usula 5.3.2, e a ISO 27005 (Tecnologia da Informa\u00e7\u00e3o \u2014 T\u00e9cnicas de seguran\u00e7a \u2014 Gest\u00e3o de riscos de seguran\u00e7a da informa\u00e7\u00e3o), Anexo C, como guias para determinar assuntos externos relevantes para o seu Sistema de Gest\u00e3o de seguran\u00e7a da Informa\u00e7\u00e3o (SGSI).<\/p>\n Contudo, independentemente da especificidade de assuntos externos, existem algumas boas pr\u00e1ticas que podem ser geralmente observadas: sites podem ser fortalecidos contra acidentes e desastres ambientais, e obst\u00e1culos podem ser colocados para desencorajar ou atrasar agentes em potencial. Veremos algumas destas pr\u00e1ticas nas pr\u00f3ximas se\u00e7\u00f5es.<\/p>\n Assim como em hardware e software, medidas podem ser incorporadas em constru\u00e7\u00f5es para reduzir a probabilidade de comprometimento das mesmas, tais como:<\/p>\n Localiza\u00e7\u00e3o:<\/strong> Ao ter conhecimento da hist\u00f3ria pr\u00e9via de um local, uma organiza\u00e7\u00e3o pode evitar aquelas sujeitas a eventos naturais como terremotos, inunda\u00e7\u00f5es e fura\u00e7\u00f5es, ou atividades com o a\u00e7\u00f5es criminosas e vandalismo. Caso ela n\u00e3o tenha outras op\u00e7\u00f5es, ao menos ela pode preparar o site\/instala\u00e7\u00e3o para lidar com estes tipos de situa\u00e7\u00e3o (ex.: funda\u00e7\u00f5es refor\u00e7adas e sele\u00e7\u00e3o de um site alternativo).<\/p>\n Paredes:<\/strong> Paredes refor\u00e7adas e tratamento para proteg\u00ea-las contra agentes como fogo, \u00e1gua e produtos qu\u00edmicos pode ajudar a minimizar ou atrasar os efeitos destes agentes sobre os ativos de uma organiza\u00e7\u00e3o.<\/p>\n Entradas:<\/strong> Janelas e portas representam um dilema, uma vez que elas deveriam considerar refor\u00e7o contra acesso n\u00e3o autorizado assim como facilitar a sa\u00edda de pessoas em caso de emerg\u00eancia. Para outros pontos de entrada n\u00e3o t\u00e3o \u00f3bvios (ex.: pontos de ventila\u00e7\u00e3o e de passagem de cabos), eles deveriam considerar medidas para prevenir que tanto pessoas como animais possam se esgueirar para dentro do site ou ganhar acesso ao cabeamento ou tubula\u00e7\u00f5es.<\/p>\n Servi\u00e7os externos:<\/strong> Nenhuma organiza\u00e7\u00e3o \u00e9 totalmente aut\u00f4noma, e isto significa que elas dependem de alguns servi\u00e7os externos<\/a>\u00a0como energia, comunica\u00e7\u00f5es, transporte p\u00fablico e, em caso de acidentes e desastres, servi\u00e7os de emerg\u00eancia. Uma organiza\u00e7\u00e3o deveria considerar suas necessidades para locais acess\u00edveis por m\u00faltiplas rotas e provedores.<\/p>\n Preven\u00e7\u00e3o de Crime Atrav\u00e9s de Projeto Ambiental (Crime Prevention Through Environmental Design \u2013 CPTED) \u00e9 um m\u00e9todo usado no planejamento de seguran\u00e7a com foco na forma, disposi\u00e7\u00e3o e modo como um pr\u00e9dio \u00e9 usado como forma de aumentar a seguran\u00e7a, e como as normas ISO, pode ser usado em virtualmente qualquer tipo de pr\u00e9dio ou cen\u00e1rio, novo ou existente. E embora seus princ\u00edpios possam varia de local a local, existem tr\u00eas aspectos comuns que voc\u00ea sempre encontrar\u00e1:<\/p>\n Vigil\u00e2ncia natural:<\/strong> Ver e ser visto \u00e9 um fator chave para mitiga\u00e7\u00e3o de amea\u00e7as, e obstru\u00e7\u00f5es no terreno podem gerar pontos de vulnerabilidade. Ao pensar nos arredores do site, tente assegurar que h\u00e1 uma vis\u00e3o clara das pessoas, para tornar atividades amea\u00e7adoras mais f\u00e1ceis de detectar. Cercas s\u00f3lidas baixas, folhagem de \u00e1rvores mantidas alta e pontos de observa\u00e7\u00e3o s\u00e3o bons exemplos.<\/p>\n Controle de acesso natural:<\/strong> Use o terreno natural para direcionar o fluxo do tr\u00e1fego. Entradas ladeadas por Colinas baixas oferecem mais prote\u00e7\u00e3o do que aquelas ladeadas por terreno plano. Uma \u00fanica entrada \u00e9 melhor do que m\u00faltiplas. Linhas coloridas sinalizando rotas s\u00e3o outras alternativas para fazer com que os usu\u00e1rios naturalmente encontrem seu caminho para dentro e para for a e aumentar as oportunidades para se detectar e desencorajar comportamento suspeito.<\/p>\n Refor\u00e7o territorial:<\/strong> E embora espa\u00e7os possam ser acolhedores, eles deveriam ser bem definidos e possuir limites claros. Desta forma voc\u00ea pode mudar a forma como as pessoas usam as \u00e1reas, atrav\u00e9s de regras inconscientes que ajudam a prevenir ou detectar comportamento n\u00e3o desejado. Mudan\u00e7as sutis no layout e sinaliza\u00e7\u00e3o s\u00e3o bons exemplos de refor\u00e7o territorial.<\/p>\n Outros elementos que podem ser considerados como CPTED s\u00e3o aquietadores de tr\u00e1fego, zonas de transi\u00e7\u00e3o, manuten\u00e7\u00e3o e ilumina\u00e7\u00e3o.<\/p>\n Incidentes<\/a>\u00a0s\u00e3o sempre uma quest\u00e3o de quando, n\u00e3o se. Pelas tend\u00eancias de neg\u00f3cio atuais, controles t\u00e9cnicos e administrativos podem chamar mais a aten\u00e7\u00e3o de profissionais de seguran\u00e7a, mas eles nunca podem esquecer que estes controles em \u00faltima inst\u00e2ncia se apoiam em ativos f\u00edsicos que devem ser protegidos da mesma forma, e em muitos casos com n\u00edveis superiores de confiabilidade.<\/p>\n Para saber mais sobre recomenda\u00e7\u00f5es de seguran\u00e7a f\u00edsica e como estas se encaixam dentro da ISO 27001, tente nosso \u00a0<\/em>ISO 27001:2013 Foundations Course<\/a>.<\/p>\nCen\u00e1rio de amea\u00e7as e solu\u00e7\u00f5es gerais<\/h2>\n
Fortalecimento de constru\u00e7\u00f5es<\/h2>\n
Preven\u00e7\u00e3o de Crime Atrav\u00e9s de Projeto Ambiental<\/h2>\n
N\u00e3o espere que eventos nunca aconte\u00e7am. Torne-os irrelevantes<\/h2>\n