Antonio Jose Segovia Muitas organizações hoje têm controles para se proteger de softwares maliciosos (vírus, trojans, etc.), para prevenir empregados de acessar site maliciosos (filtragem de endereços através de servidores proxy), ou para criptografar informação quando ela é enviada/recebida através de e-mail. Contudo, frequentemente encontro organizações que negligenciam a proteção física dos equipamentos, talvez porque muitas organizações pensam que assuntos de segurança são tratados se elas compram um bom antivírus, proxy, ou qualquer outra boa solução de software.
Com relação à proteção física de equipamentos, gosto de diferenciar entre dois tipos de medidas: aquelas que diretamente afetam o equipamento (por exemplo: manutenção de equipamento, reuso de equipamento, etc.), e aquelas que indiretamente afetam o equipamento (tais como utilidades de apoio, segurança de cabeamento, etc.).
A propósito, este artigo sobre segurança física pode ser interessante para você: Segurança Física na ISO 27001: Como proteger as áreas seguras.
Neste artigo darei a você algumas sugestões e melhores práticas em medidas que indiretamente afetam o equipamento, que ajudarão sua organização a ser mais segura através da proteção da segurança das informações da sua organização. Para estas dicas, seguirei a subseção A.11.2 do Anexo A da ISO 27001:2013, que foca na segurança física do equipamento.
Utilidades de apoio (controle A.11.2.2)
Parece óbvio que os equipamentos devem estar conectados a uma tomada de energia, e em muitos casos há uma UPS e/ou um gerador que pode prover energia se o fornecedor principal de energia falhar. Mas, frequentemente encontro organizações que nunca testaram sua fonte alternativa de energia, ou não sabem a capacidade, i.e., o tempo que o negócio pode funcionar com a fonte alternativa de energia. Assim, não é importante apenas estabelecer uma alternativa, mas também é importante definir um plano de manutenção e definir as tarefas que serão realizadas. E, é altamente recomendado que você gere um relatório com resultados (conclusões, falhas, duração dos testes, etc.).
Também tenho encontrado organizações que trabalham em instalações compartilhadas, e elas têm um gerador que é gerenciado por um terceiro. Bem, não deveria ser um problema – você pode requisitar de seu provedor de serviço um plano de manutenção e testes (e minha recomendação é que isto deveria ser definido em um acordo).
Segurança do cabeamento (controle A.11.2.3)
Neste caso, também parece óbvio que as tecnologias de hoje não são possíveis sem cabos (cabos de rede, cabos de energia, cabos para telefones, etc.), e é muito comum que ninguém se importe em ordenar o cabeamento de uma forma estruturada. Mas, para evitar enganos (alguém pode desconectar um cabo por engano, ou mesmo parti-lo):
- O cabeamento não deve estar solto ou sem identificação
- Ele deve ser recolhido e passado através de vias preparadas para colocar os cabos (pela parede, ao longo dos racks de servidores, etc.)
- Gabinetes de racks, painéis elétricos, ou qualquer outro material para proteger e canalizar cabos deveria ser usados, e eles deveriam ser trancados
Neste caso, também encontrei organizações que tem um rack robusto e impressionante protegido com um cadeado, mas com a chave deixada na fechadura; por favor, não faça isso! Isto não é melhor do que não ter nenhum rack.
Política de mesa limpa e tela limpa (controle A.11.2.9)
Geralmente, os usuários de hoje estão cientes e sabem que eles não deveriam escrever suas senhas em uma nota adesiva e colocá-la na tela de seus computadores, ou em suas mesas. Contudo, este assunto não deveria ser negligenciado, nem você deveria pensar que os usuários estão cientes das práticas de mesa limpa/tela limpa. Assim, você deve definir políticas que lembrem os usuários de que eles não deveriam deixar qualquer informação sensível em suas áreas de trabalho (senhas, usuários, configurações, dados de clientes, fornecedores, etc.).
Este artigo explicará os detalhes: Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
Software não é solução para tudo
Tenho certeza de que você sabe que software não é uma solução para tudo relacionado a segurança da informação de seu negócio, porque hackers podem atacar seu equipamento de muitas diferentes formas. O ponto é que existem muitas ameaças relacionadas a segurança física, e porque os atacantes sabem que equipamentos são o ponto fraco em muitas organizações. Assim, aprenda com este artigo, e aplique medidas específicas para os seus equipamentos se você não quer ser uma destas organizações.
Lembre que este artigo é apenas a primeira parte de uma série de duas relacionada a proteção de equipamento. Se você quer saber mais sobre isto, recomendo que você leia a parte 2, que você pode encontrar aqui: Como implementar a proteção física de equipamentos de acordo com a ISO 27001 A.11.2 – Parte 2.
Caso você queira aprender mais sobre a ISO 27001 e requisitos para segurança física, use nosso ISO 27001 Online Courses gratuitamente.
Nós agradecemos a Rhand Leal pela tradução para o português.
