Como proteger contra ameaças externas e do meio ambiente de acordo com o controle A.11.1.4 da ISO 27001

A segurança física tem um papel crítico na proteção da informação, porque mesmo os controles técnicos e administrativos mais bem projetados, implementados e mantidos, sejam eles relacionados a TI ou outra área, são de pouca ajuda se um evento afeta fisicamente o ambiente ou os ativos onde estes controles operam.

Por exemplo, aquele procedimento e software de última geração para a criação de cópias de segurança é de pouca ajuda se alguém, ou alguma coisa, danifica a mídia ou hardware onde a operação é realizada, ou se você não pode chegar até o local onde a mídia se encontra para recuperá-la.

E, para tornar a coisas um pouco mais complicadas, existem eventos físicos com probabilidade mínima de ocorrerem, mas que podem causar muito dano, e aqueles sobre os quais você tem pouca ou nenhuma influência. Como lidar com estas situações?

Felizmente, a ISO 27001 oferece um conjunto de recomendações sobre o que você deveria considerar para tornar sua segurança física mais confiável. Neste artigo focarei no controle A.11.1.4 – Proteção contra ameaças externas e do meio ambiente.

Cenário de ameaças e soluções gerais

Por ameaças externas e do meio ambiente, o controle A.11.1.4 da ISO 27001 se refere a eventos causados pela natureza (ex.: incêndio, inundação, terremoto, raio, clima extremo, animais, etc.) e ações feitas pelo homem, sejam elas intencionais ou acidentais, realizadas por pessoas que não estão sob responsabilidade, influência ou controle da organização (ex.: vandalismo, protestos civis, colisões, etc.). Para mais exemplos de ameaças, veja este Catálogo de ameaças & vulnerabilidades.

Estas características fazem a identificação de ameaças um pouco mais complexa, porque elas dependem principalmente de informação que está fora da organização (ex.: histórico da localidade, demografia, população, aspectos culturais, estatísticas criminais, etc.). Para ajudar a coletar esta informação, uma organização pode usar a ISO 31000 (Gestão de riscos – Princípios e diretrizes), cláusula 5.3.2, e a ISO 27005 (Tecnologia da Informação — Técnicas de segurança — Gestão de riscos de segurança da informação), Anexo C, como guias para determinar assuntos externos relevantes para o seu Sistema de Gestão de segurança da Informação (SGSI).

Contudo, independentemente da especificidade de assuntos externos, existem algumas boas práticas que podem ser geralmente observadas: sites podem ser fortalecidos contra acidentes e desastres ambientais, e obstáculos podem ser colocados para desencorajar ou atrasar agentes em potencial. Veremos algumas destas práticas nas próximas seções.

Fortalecimento de construções

Assim como em hardware e software, medidas podem ser incorporadas em construções para reduzir a probabilidade de comprometimento das mesmas, tais como:

Localização: Ao ter conhecimento da história prévia de um local, uma organização pode evitar aquelas sujeitas a eventos naturais como terremotos, inundações e furações, ou atividades com o ações criminosas e vandalismo. Caso ela não tenha outras opções, ao menos ela pode preparar o site/instalação para lidar com estes tipos de situação (ex.: fundações reforçadas e seleção de um site alternativo).

Paredes: Paredes reforçadas e tratamento para protegê-las contra agentes como fogo, água e produtos químicos pode ajudar a minimizar ou atrasar os efeitos destes agentes sobre os ativos de uma organização.

Entradas: Janelas e portas representam um dilema, uma vez que elas deveriam considerar reforço contra acesso não autorizado assim como facilitar a saída de pessoas em caso de emergência. Para outros pontos de entrada não tão óbvios (ex.: pontos de ventilação e de passagem de cabos), eles deveriam considerar medidas para prevenir que tanto pessoas como animais possam se esgueirar para dentro do site ou ganhar acesso ao cabeamento ou tubulações.

Serviços externos: Nenhuma organização é totalmente autônoma, e isto significa que elas dependem de alguns serviços externos como energia, comunicações, transporte público e, em caso de acidentes e desastres, serviços de emergência. Uma organização deveria considerar suas necessidades para locais acessíveis por múltiplas rotas e provedores.

Prevenção de Crime Através de Projeto Ambiental

Prevenção de Crime Através de Projeto Ambiental (Crime Prevention Through Environmental Design – CPTED) é um método usado no planejamento de segurança com foco na forma, disposição e modo como um prédio é usado como forma de aumentar a segurança, e como as normas ISO, pode ser usado em virtualmente qualquer tipo de prédio ou cenário, novo ou existente. E embora seus princípios possam varia de local a local, existem três aspectos comuns que você sempre encontrará:

Vigilância natural: Ver e ser visto é um fator chave para mitigação de ameaças, e obstruções no terreno podem gerar pontos de vulnerabilidade. Ao pensar nos arredores do site, tente assegurar que há uma visão clara das pessoas, para tornar atividades ameaçadoras mais fáceis de detectar. Cercas sólidas baixas, folhagem de árvores mantidas alta e pontos de observação são bons exemplos.

Controle de acesso natural: Use o terreno natural para direcionar o fluxo do tráfego. Entradas ladeadas por Colinas baixas oferecem mais proteção do que aquelas ladeadas por terreno plano. Uma única entrada é melhor do que múltiplas. Linhas coloridas sinalizando rotas são outras alternativas para fazer com que os usuários naturalmente encontrem seu caminho para dentro e para for a e aumentar as oportunidades para se detectar e desencorajar comportamento suspeito.

Reforço territorial: E embora espaços possam ser acolhedores, eles deveriam ser bem definidos e possuir limites claros. Desta forma você pode mudar a forma como as pessoas usam as áreas, através de regras inconscientes que ajudam a prevenir ou detectar comportamento não desejado. Mudanças sutis no layout e sinalização são bons exemplos de reforço territorial.

Outros elementos que podem ser considerados como CPTED são aquietadores de tráfego, zonas de transição, manutenção e iluminação.

Não espere que eventos nunca aconteçam. Torne-os irrelevantes

Incidentes são sempre uma questão de quando, não se. Pelas tendências de negócio atuais, controles técnicos e administrativos podem chamar mais a atenção de profissionais de segurança, mas eles nunca podem esquecer que estes controles em última instância se apoiam em ativos físicos que devem ser protegidos da mesma forma, e em muitos casos com níveis superiores de confiabilidade.

Para saber mais sobre recomendações de segurança física e como estas se encaixam dentro da ISO 27001, tente nosso  ISO 27001:2013 Foundations Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001