{"id":9052,"date":"2016-04-29T10:19:00","date_gmt":"2016-04-29T10:19:00","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9052"},"modified":"2022-12-29T09:07:22","modified_gmt":"2022-12-29T09:07:22","slug":"como-implementar-a-protecao-fisica-de-equipamentos-de-acordo-com-a-iso-27001-a-11-2-parte-2","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/04\/29\/como-implementar-a-protecao-fisica-de-equipamentos-de-acordo-com-a-iso-27001-a-11-2-parte-2\/","title":{"rendered":"Como implementar a prote\u00e7\u00e3o f\u00edsica de equipamentos de acordo com a ISO 27001 A.11.2 \u2013 Parte 2"},"content":{"rendered":"

Como mencionei em meu artigo anterior Como implementar a prote\u00e7\u00e3o f\u00edsica de equipamentos de acordo com a ISO 27001 A.11.2 \u2013 Parte 1<\/a>, ter boas solu\u00e7\u00f5es de software para proteger a seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 o suficiente para proteger as informa\u00e7\u00f5es da sua organiza\u00e7\u00e3o; devemos tamb\u00e9m definir controles de seguran\u00e7a f\u00edsica para proteger os equipamentos. No artigo previamente citado, discuti as medidas de seguran\u00e7a que voc\u00ea pode usar para indiretamente proteger os equipamentos (significando que as medidas indiretamente afetam os equipamentos) da sua organiza\u00e7\u00e3o (utilidades de apoio, seguran\u00e7a do cabeamento, etc.). Mas, com este artigo quero que voc\u00ea saiba as medidas que voc\u00ea pode usar para diretamente proteger os equipamentos (significando que as medidas diretamente afetam o equipamento, por exemplo: manuten\u00e7\u00e3o de equipamentos, reuso de equipamentos, etc.) da sua organiza\u00e7\u00e3o. Como na Parte 1 deste artigo, seguirei a estrutura do Anexo A da ISO 27001:2013 e sugest\u00f5es de boas pr\u00e1ticas da ISO 27002.<\/p>\n

Instala\u00e7\u00e3o e prote\u00e7\u00e3o de equipamentos (controle A.11.2.1)<\/strong><\/h2>\n

O equipamento deveria estar localizado em um local seguro onde condi\u00e7\u00f5es s\u00e3o atendidas para opera\u00e7\u00e3o apropriada (umidade, temperatura, etc.). Assim, \u00e9 importante ter sensores de umidade e temperatura, e para controlar condi\u00e7\u00f5es de forma a permitir que o equipamento opere apropriadamente. Ao se falar sobre condi\u00e7\u00f5es de trabalho \u2013 lembre-se que o equipamento est\u00e1 preparado para trabalhar sob certas condi\u00e7\u00f5es, e muitos computadores (especialmente servidores) s\u00e3o preparados para se desligar automaticamente no momento em que estas condi\u00e7\u00f5es n\u00e3o s\u00e3o atendidas (por exemplo, altas temperaturas). Eles fazem isso principalmente para prevenir danos ao equipamento, o que consequentemente, implica na interrup\u00e7\u00e3o de seus neg\u00f3cios.<\/p>\n

Aqui tamb\u00e9m \u00e9 importante que o equipamento seja localizado em um local seguro para minimizar acesso<\/a> desnecess\u00e1rio, e para isto, voc\u00ea pode usar diferentes \u00e1reas de trabalho, protegendo-as com controles de acesso f\u00edsico. E, tamb\u00e9m \u00e9 importante que as instala\u00e7\u00f5es de processamento de informa\u00e7\u00e3o tratando dados sens\u00edveis seja posicionada cuidadosamente.<\/p>\n

Por outro lado, para manter um ambiente adequado, tamb\u00e9m tende a ser uma boa pr\u00e1tica estabelecer uma norma que empregados n\u00e3o comam, fumem, ou bebam nas proximidades do equipamento.<\/p>\n

Manuten\u00e7\u00e3o de equipamentos (controle A.11.2.4)<\/strong><\/h2>\n

Este \u00e9 outro ponto que organiza\u00e7\u00f5es frequentemente negligenciam, que tem um potencial significante de melhoria. Uma vez que todo equipamento tem um ciclo de vida \u2013 voc\u00ea deve fazer verifica\u00e7\u00f5es peri\u00f3dicas de sua situa\u00e7\u00e3o, i.e., sa\u00fade geral. Neste caso, organiza\u00e7\u00f5es tipicamente contratam um servi\u00e7o de manuten\u00e7\u00e3o para o equipamento (especialmente para servidores e desktops), particularmente se a organiza\u00e7\u00e3o n\u00e3o possui seu pr\u00f3prio departamento de TI com conhecimento especializado (lembre-se: os datacenters de hoje podem ser muito complexos e caros. Voc\u00ea deveria permitir que apenas especialistas abrissem seus racks tratassem de assuntos de hardware.). Em qualquer caso, um plano claro para revis\u00e3o deveria ser estabelecido (com respectivas responsabilidades) ao menos anualmente. A situa\u00e7\u00e3o dos equipamentos da organiza\u00e7\u00e3o deveria ser verificada, gerando um relat\u00f3rio indicando o equipamento revisado e suas condi\u00e7\u00f5es (e.g., operando apropriadamente, necessidades de HW (declarando quais) necessidades de manuten\u00e7\u00e3o\/substitui\u00e7\u00e3o, etc.).<\/p>\n

Remo\u00e7\u00e3o de ativos (controle A.11.2.5)<\/strong><\/h2>\n

O equipamento n\u00e3o deveria deixar as instala\u00e7\u00f5es da organiza\u00e7\u00e3o sem permiss\u00e3o (isto tamb\u00e9m \u00e9 aplic\u00e1vel para informa\u00e7\u00f5es e software). Embora isso possa parecer \u00f3bvio, frequentemente encontro, por exemplo, um empregado que leva um laptop corporativo para casa quando, na maioria dos casos, isso n\u00e3o foi formalmente aprovado. E, isto \u00e9 fundamental: estabelecer controle do equipamento que deixa as instala\u00e7\u00f5es da organiza\u00e7\u00e3o pela defini\u00e7\u00e3o de, por exemplo, qual \u00e9 a raz\u00e3o, quem est\u00e1 encarregado do equipamento, quanto tempo ele estar\u00e1 fora, onde ele estar\u00e1, etc. N\u00e3o dever\u00edamos esquecer que este \u00e9 um equipamento da organiza\u00e7\u00e3o, e a organiza\u00e7\u00e3o tem o direito de saber os detalhes sobre o que ocorre fora de suas instala\u00e7\u00f5es.<\/p>\n

Se a organiza\u00e7\u00e3o \u00e9 muito pequena (menos de 10 empregados), e eles normalmente trabalho com os equipamentos for a do escrit\u00f3rio, tamb\u00e9m \u00e9 recomendado que o CEO escreva um memorando com regras claras para se levar equipamentos para fora do escrit\u00f3rio.<\/p>\n

Mais uma coisa: embora o nome deste controle implique em remo\u00e7\u00e3o de ativo, o pr\u00f3prio controle explica o que fazer, por exemplo, como se comportar ao levar ativos para fora das instala\u00e7\u00f5es. Com rela\u00e7\u00e3o aos ativos, este artigo pode ajudar voc\u00ea a lidar como o registro de ativos:\u00a0Como lidar com o registro de ativos (invent\u00e1rio de ativos) de acordo com a ISO 27001<\/a>.<\/p>\n

Seguran\u00e7a de equipamentos e ativos fora do site (controle A.11.2.6)<\/strong><\/h2>\n

Quando equipamentos v\u00e3o para fora das instala\u00e7\u00f5es, \u00e9 importante n\u00e3o apenas estabelecer que seu conte\u00fado seja criptografado<\/a>\u00a0\u2013 os empregados que levam os equipamentos para for a das instala\u00e7\u00f5es devem tamb\u00e9m assegurar sua seguran\u00e7a f\u00edsica a todo momento, com aten\u00e7\u00e3o especial em locais p\u00fablicos, e tomar cuidado para n\u00e3o deixar este se danificar. Estas mesmas medidas tamb\u00e9m deveriam se aplicar se o empregado trabalha a partir de casa.<\/p>\n

Descarte e reuso seguro de equipamentos (controle A.11.2.7)<\/strong><\/h2>\n

Como voc\u00ea sabe, todo equipamento tem um ciclo de vida, ap\u00f3s o qual \u00e9 necess\u00e1rio descarta-lo. Tome cuidado com este ponto: lembre-se que as informa\u00e7\u00f5es de sua organiza\u00e7\u00e3o est\u00e3o armazenadas em computadores\/servidores, e elas podem permanecer l\u00e1 mesmo que voc\u00ea acredite que as tenha removido. Assim, para evitar poss\u00edvel vazamento de informa\u00e7\u00f5es em computadores que s\u00e3o reusados ou eliminados, voc\u00ea deveria descartar a informa\u00e7\u00e3o de forma segura (atrav\u00e9s de software), ou destruir fisicamente o disco r\u00edgido que cont\u00e9m a informa\u00e7\u00e3o. Se voc\u00ea quer adicionar uma camada adicional de seguran\u00e7a, voc\u00ea pode criptografar a informa\u00e7\u00e3o antes de destru\u00ed-la<\/a>\u00a0\u2013 desta forma, no hipot\u00e9tico caso de que algu\u00e9m consiga recuperar a informa\u00e7\u00e3o atrav\u00e9s de algum mecanismo, ele teria ent\u00e3o que descriptografa-la.<\/p>\n

A prop\u00f3sito, este artigo pode ser interessante para voc\u00ea: Secure equipment and media disposal according to ISO 27001<\/a>.<\/p>\n

Equipamento sem supervis\u00e3o (controle A.11.2.8)<\/strong><\/h2>\n

Como voc\u00ea sabe, usu\u00e1rios devem ser treinados para proteger o equipamento que eles est\u00e3o usando. Por exemplo, digamos que um empregado precisa ir ao banheiro, ou sair para falar ao telefone ou fumar. Acontece que, muitas vezes, eles deixam uma sess\u00e3o aberta em seus sistemas; i.e., acesso ao computador n\u00e3o est\u00e1 bloqueado. Na vida real, muitas organiza\u00e7\u00f5es controlam tais situa\u00e7\u00f5es atrav\u00e9s de um servidor centralizado, for\u00e7ando o sistema a desconectar o usu\u00e1rio automaticamente se ele n\u00e3o interagir com o sistema ap\u00f3s um certo tempo. Mas, independentemente disso, tamb\u00e9m \u00e9 recomendado aumentar a conscientiza\u00e7\u00e3o, dando informa\u00e7\u00f5es sobre os riscos de um equipamento sem supervis\u00e3o, que tamb\u00e9m criar\u00e1 uma cultura de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n

Isto tamb\u00e9m \u00e9 relacionado a Pol\u00edtica de mesa limpa e tela limpa<\/a>, ent\u00e3o este artigo talvez seja interessante para voc\u00ea: Pol\u00edtica de mesa limpa e tela limpa \u2013 O que a ISO 27001 requer?<\/a><\/p>\n

A organiza\u00e7\u00e3o n\u00e3o trabalha apenas com hardware, software ou dados digitais \u2013 ela trabalha com pessoas.<\/strong><\/h2>\n

Estas medidas que vimos neste artigo ajudam a proteger diretamente os equipamentos em sua organiza\u00e7\u00e3o, e neste caso \u00e9 importante enfatizar que \u00e9 crucial educar e aumentar a conscientiza\u00e7\u00e3o entre a equipe da organiza\u00e7\u00e3o. Uma solu\u00e7\u00e3o de seguran\u00e7a em software (firewall, antiv\u00edrus, etc.) n\u00e3o resolve todos os problemas; precisamos implementar controles de seguran\u00e7a adicionais que n\u00e3o est\u00e3o relacionados a software \u2013 eles est\u00e3o relacionados a conscientiza\u00e7\u00e3o de pessoas, que precisam aplicar controles de seguran\u00e7a adequados relacionados diretamente aos equipamentos que usam.<\/p>\n

Se voc\u00ea gostaria de aprender mais sobre a ISO 27001 e sua implementa\u00e7\u00e3o, tente este<\/em> ISO 27001 Lead Implementer Online Course<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Como mencionei em meu artigo anterior Como implementar a prote\u00e7\u00e3o f\u00edsica de equipamentos de acordo com a ISO 27001 A.11.2 \u2013 Parte 1, ter boas solu\u00e7\u00f5es de software para proteger a seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 o suficiente para proteger as informa\u00e7\u00f5es da sua organiza\u00e7\u00e3o; devemos tamb\u00e9m definir controles de seguran\u00e7a f\u00edsica para proteger os …<\/p>\n","protected":false},"author":35,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9052","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9052"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9052\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}