Como implementar a proteção física de equipamentos de acordo com a ISO 27001 A.11.2 – Parte 2

Como mencionei em meu artigo anterior Como implementar a proteção física de equipamentos de acordo com a ISO 27001 A.11.2 – Parte 1, ter boas soluções de software para proteger a segurança da informação não é o suficiente para proteger as informações da sua organização; devemos também definir controles de segurança física para proteger os equipamentos. No artigo previamente citado, discuti as medidas de segurança que você pode usar para indiretamente proteger os equipamentos (significando que as medidas indiretamente afetam os equipamentos) da sua organização (utilidades de apoio, segurança do cabeamento, etc.). Mas, com este artigo quero que você saiba as medidas que você pode usar para diretamente proteger os equipamentos (significando que as medidas diretamente afetam o equipamento, por exemplo: manutenção de equipamentos, reuso de equipamentos, etc.) da sua organização. Como na Parte 1 deste artigo, seguirei a estrutura do Anexo A da ISO 27001:2013 e sugestões de boas práticas da ISO 27002.

Instalação e proteção de equipamentos (controle A.11.2.1)

O equipamento deveria estar localizado em um local seguro onde condições são atendidas para operação apropriada (umidade, temperatura, etc.). Assim, é importante ter sensores de umidade e temperatura, e para controlar condições de forma a permitir que o equipamento opere apropriadamente. Ao se falar sobre condições de trabalho – lembre-se que o equipamento está preparado para trabalhar sob certas condições, e muitos computadores (especialmente servidores) são preparados para se desligar automaticamente no momento em que estas condições não são atendidas (por exemplo, altas temperaturas). Eles fazem isso principalmente para prevenir danos ao equipamento, o que consequentemente, implica na interrupção de seus negócios.

Aqui também é importante que o equipamento seja localizado em um local seguro para minimizar acesso desnecessário, e para isto, você pode usar diferentes áreas de trabalho, protegendo-as com controles de acesso físico. E, também é importante que as instalações de processamento de informação tratando dados sensíveis seja posicionada cuidadosamente.

Por outro lado, para manter um ambiente adequado, também tende a ser uma boa prática estabelecer uma norma que empregados não comam, fumem, ou bebam nas proximidades do equipamento.

Manutenção de equipamentos (controle A.11.2.4)

Este é outro ponto que organizações frequentemente negligenciam, que tem um potencial significante de melhoria. Uma vez que todo equipamento tem um ciclo de vida – você deve fazer verificações periódicas de sua situação, i.e., saúde geral. Neste caso, organizações tipicamente contratam um serviço de manutenção para o equipamento (especialmente para servidores e desktops), particularmente se a organização não possui seu próprio departamento de TI com conhecimento especializado (lembre-se: os datacenters de hoje podem ser muito complexos e caros. Você deveria permitir que apenas especialistas abrissem seus racks tratassem de assuntos de hardware.). Em qualquer caso, um plano claro para revisão deveria ser estabelecido (com respectivas responsabilidades) ao menos anualmente. A situação dos equipamentos da organização deveria ser verificada, gerando um relatório indicando o equipamento revisado e suas condições (e.g., operando apropriadamente, necessidades de HW (declarando quais) necessidades de manutenção/substituição, etc.).

Remoção de ativos (controle A.11.2.5)

O equipamento não deveria deixar as instalações da organização sem permissão (isto também é aplicável para informações e software). Embora isso possa parecer óbvio, frequentemente encontro, por exemplo, um empregado que leva um laptop corporativo para casa quando, na maioria dos casos, isso não foi formalmente aprovado. E, isto é fundamental: estabelecer controle do equipamento que deixa as instalações da organização pela definição de, por exemplo, qual é a razão, quem está encarregado do equipamento, quanto tempo ele estará fora, onde ele estará, etc. Não deveríamos esquecer que este é um equipamento da organização, e a organização tem o direito de saber os detalhes sobre o que ocorre fora de suas instalações.

Se a organização é muito pequena (menos de 10 empregados), e eles normalmente trabalho com os equipamentos for a do escritório, também é recomendado que o CEO escreva um memorando com regras claras para se levar equipamentos para fora do escritório.

Mais uma coisa: embora o nome deste controle implique em remoção de ativo, o próprio controle explica o que fazer, por exemplo, como se comportar ao levar ativos para fora das instalações. Com relação aos ativos, este artigo pode ajudar você a lidar como o registro de ativos: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001.

Segurança de equipamentos e ativos fora do site (controle A.11.2.6)

Quando equipamentos vão para fora das instalações, é importante não apenas estabelecer que seu conteúdo seja criptografado – os empregados que levam os equipamentos para for a das instalações devem também assegurar sua segurança física a todo momento, com atenção especial em locais públicos, e tomar cuidado para não deixar este se danificar. Estas mesmas medidas também deveriam se aplicar se o empregado trabalha a partir de casa.

Descarte e reuso seguro de equipamentos (controle A.11.2.7)

Como você sabe, todo equipamento tem um ciclo de vida, após o qual é necessário descarta-lo. Tome cuidado com este ponto: lembre-se que as informações de sua organização estão armazenadas em computadores/servidores, e elas podem permanecer lá mesmo que você acredite que as tenha removido. Assim, para evitar possível vazamento de informações em computadores que são reusados ou eliminados, você deveria descartar a informação de forma segura (através de software), ou destruir fisicamente o disco rígido que contém a informação. Se você quer adicionar uma camada adicional de segurança, você pode criptografar a informação antes de destruí-la – desta forma, no hipotético caso de que alguém consiga recuperar a informação através de algum mecanismo, ele teria então que descriptografa-la.

A propósito, este artigo pode ser interessante para você: Secure equipment and media disposal according to ISO 27001.

Equipamento sem supervisão (controle A.11.2.8)

Como você sabe, usuários devem ser treinados para proteger o equipamento que eles estão usando. Por exemplo, digamos que um empregado precisa ir ao banheiro, ou sair para falar ao telefone ou fumar. Acontece que, muitas vezes, eles deixam uma sessão aberta em seus sistemas; i.e., acesso ao computador não está bloqueado. Na vida real, muitas organizações controlam tais situações através de um servidor centralizado, forçando o sistema a desconectar o usuário automaticamente se ele não interagir com o sistema após um certo tempo. Mas, independentemente disso, também é recomendado aumentar a conscientização, dando informações sobre os riscos de um equipamento sem supervisão, que também criará uma cultura de segurança da informação.

Isto também é relacionado a Política de mesa limpa e tela limpa, então este artigo talvez seja interessante para você: Política de mesa limpa e tela limpa – O que a ISO 27001 requer?

A organização não trabalha apenas com hardware, software ou dados digitais – ela trabalha com pessoas.

Estas medidas que vimos neste artigo ajudam a proteger diretamente os equipamentos em sua organização, e neste caso é importante enfatizar que é crucial educar e aumentar a conscientização entre a equipe da organização. Uma solução de segurança em software (firewall, antivírus, etc.) não resolve todos os problemas; precisamos implementar controles de segurança adicionais que não estão relacionados a software – eles estão relacionados a conscientização de pessoas, que precisam aplicar controles de segurança adequados relacionados diretamente aos equipamentos que usam.

Se você gostaria de aprender mais sobre a ISO 27001 e sua implementação, tente este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Tag: #ISO 27001