Muitas organiza\u00e7\u00f5es hoje t\u00eam controles para se proteger de softwares maliciosos (v\u00edrus, trojans, etc.), para prevenir empregados de acessar site maliciosos (filtragem de endere\u00e7os atrav\u00e9s de servidores proxy), ou para criptografar informa\u00e7\u00e3o quando ela \u00e9 enviada\/recebida atrav\u00e9s de e-mail. Contudo, frequentemente encontro organiza\u00e7\u00f5es que negligenciam a prote\u00e7\u00e3o f\u00edsica dos equipamentos, talvez porque muitas organiza\u00e7\u00f5es pensam que assuntos de seguran\u00e7a s\u00e3o tratados se elas compram um bom antiv\u00edrus, proxy, ou qualquer outra boa solu\u00e7\u00e3o de software.<\/p>\n
Com rela\u00e7\u00e3o \u00e0 prote\u00e7\u00e3o f\u00edsica<\/a>\u00a0de equipamentos, gosto de diferenciar entre dois tipos de medidas: aquelas que diretamente afetam o equipamento (por exemplo: manuten\u00e7\u00e3o de equipamento, reuso de equipamento, etc.), e aquelas que indiretamente afetam o equipamento (tais como utilidades de apoio, seguran\u00e7a de cabeamento, etc.).<\/p>\n A prop\u00f3sito, este artigo sobre seguran\u00e7a f\u00edsica pode ser interessante para voc\u00ea: Seguran\u00e7a F\u00edsica na ISO 27001: Como proteger as \u00e1reas seguras<\/a>.<\/p>\n Neste artigo darei a voc\u00ea algumas sugest\u00f5es e melhores pr\u00e1ticas em medidas que indiretamente afetam o equipamento, que ajudar\u00e3o sua organiza\u00e7\u00e3o a ser mais segura atrav\u00e9s da prote\u00e7\u00e3o da seguran\u00e7a das informa\u00e7\u00f5es da sua organiza\u00e7\u00e3o. Para estas dicas, seguirei a subse\u00e7\u00e3o A.11.2 do Anexo A<\/a>\u00a0da ISO 27001:2013<\/a>, que foca na seguran\u00e7a f\u00edsica do equipamento.<\/p>\n Parece \u00f3bvio que os equipamentos devem estar conectados a uma tomada de energia, e em muitos casos h\u00e1 uma UPS e\/ou um gerador que pode prover energia se o fornecedor principal de energia falhar. Mas, frequentemente encontro organiza\u00e7\u00f5es que nunca testaram sua fonte alternativa de energia, ou n\u00e3o sabem a capacidade, i.e., o tempo que o neg\u00f3cio pode funcionar com a fonte alternativa de energia. Assim, n\u00e3o \u00e9 importante apenas estabelecer uma alternativa, mas tamb\u00e9m \u00e9 importante definir um plano de manuten\u00e7\u00e3o e definir as tarefas que ser\u00e3o realizadas. E, \u00e9 altamente recomendado que voc\u00ea gere um relat\u00f3rio com resultados (conclus\u00f5es, falhas, dura\u00e7\u00e3o dos testes, etc.).<\/p>\n Tamb\u00e9m tenho encontrado organiza\u00e7\u00f5es que trabalham em instala\u00e7\u00f5es compartilhadas, e elas t\u00eam um gerador que \u00e9 gerenciado por um terceiro. Bem, n\u00e3o deveria ser um problema \u2013 voc\u00ea pode requisitar de seu provedor de servi\u00e7o um plano de manuten\u00e7\u00e3o e testes (e minha recomenda\u00e7\u00e3o \u00e9 que isto deveria ser definido em um acordo).<\/p>\n Neste caso, tamb\u00e9m parece \u00f3bvio que as tecnologias de hoje n\u00e3o s\u00e3o poss\u00edveis sem cabos (cabos de rede, cabos de energia, cabos para telefones, etc.), e \u00e9 muito comum que ningu\u00e9m se importe em ordenar o cabeamento de uma forma estruturada. Mas, para evitar enganos (algu\u00e9m pode desconectar um cabo por engano, ou mesmo parti-lo):<\/p>\n Neste caso, tamb\u00e9m encontrei organiza\u00e7\u00f5es que tem um rack robusto e impressionante protegido com um cadeado, mas com a chave deixada na fechadura; por favor, n\u00e3o fa\u00e7a isso! Isto n\u00e3o \u00e9 melhor do que n\u00e3o ter nenhum rack.<\/p>\n Geralmente, os usu\u00e1rios de hoje est\u00e3o cientes e sabem que eles n\u00e3o deveriam escrever suas senhas em uma nota adesiva e coloc\u00e1-la na tela de seus computadores, ou em suas mesas. Contudo, este assunto n\u00e3o deveria ser negligenciado, nem voc\u00ea deveria pensar que os usu\u00e1rios est\u00e3o cientes das pr\u00e1ticas de mesa limpa\/tela limpa<\/a>. Assim, voc\u00ea deve definir pol\u00edticas que lembrem os usu\u00e1rios de que eles n\u00e3o deveriam deixar qualquer informa\u00e7\u00e3o sens\u00edvel em suas \u00e1reas de trabalho (senhas, usu\u00e1rios, configura\u00e7\u00f5es, dados de clientes, fornecedores, etc.).<\/p>\n Este artigo explicar\u00e1 os detalhes: Pol\u00edtica de mesa limpa e tela limpa \u2013 O que a ISO 27001 requer?<\/a><\/p>\n Tenho certeza de que voc\u00ea sabe que software n\u00e3o \u00e9 uma solu\u00e7\u00e3o para tudo relacionado a seguran\u00e7a da informa\u00e7\u00e3o de seu neg\u00f3cio, porque hackers podem atacar seu equipamento de muitas diferentes formas. O ponto \u00e9 que existem muitas amea\u00e7as relacionadas a seguran\u00e7a f\u00edsica, e porque os atacantes sabem que equipamentos s\u00e3o o ponto fraco em muitas organiza\u00e7\u00f5es. Assim, aprenda com este artigo, e aplique medidas espec\u00edficas para os seus equipamentos se voc\u00ea n\u00e3o quer ser uma destas organiza\u00e7\u00f5es.<\/p>\n Lembre que este artigo \u00e9 apenas a primeira parte de uma s\u00e9rie de duas relacionada a prote\u00e7\u00e3o de equipamento. Se voc\u00ea quer saber mais sobre isto, recomendo que voc\u00ea leia a parte 2, que voc\u00ea pode encontrar aqui:\u00a0Como implementar a prote\u00e7\u00e3o f\u00edsica de equipamentos de acordo com a ISO 27001 A.11.2 \u2013 Parte 2<\/a>.<\/p>\n Caso voc\u00ea queira aprender mais sobre a ISO 27001 e requisitos para seguran\u00e7a f\u00edsica, use nosso \u00a0<\/em>ISO 27001 Online Courses<\/a> gratuitamente.<\/em><\/p>\nUtilidades de apoio (controle A.11.2.2)<\/strong><\/h2>\n
Seguran\u00e7a do cabeamento (controle A.11.2.3)<\/strong><\/h2>\n
\n
Pol\u00edtica de mesa limpa e tela limpa (controle A.11.2.9)<\/strong><\/h2>\n
Software n\u00e3o \u00e9 solu\u00e7\u00e3o para tudo<\/strong><\/h2>\n