Parte 2
Na última publicação, iniciamos a abordagem do controle de acesso no meio físico. Agora, daremos continuidade nesse assunto e finalizaremos passando por alguns tópicos que são importantes, quando falamos de Acesso Físico.
Vamos começar analisando e entendendo a evolução desses controles ao longo do tempo, sendo alguns mecanismos antigos, que ainda são de uso comum nos dias atuais:
Fechaduras e Cofres:
São utilizados desde a antiguidade, possuem função de impedir o acesso não autorizado, além de possuírem estruturas mecânicas de acesso, também contam com tecnologias digitais que permitem, no caso de fechaduras eletrônicas, por exemplo, possuírem monitoração de quem as utilizou e em qual horário.
Tecnologias de Autenticação:
Descreve os mecanismos físicos utilizados para autenticação, códigos de barras, cartões com tarja magnética, cartões inteligentes (smartcards), Identificação por radiofrequência (RFIDs) e biometria.
Ataques diretos contra computadores:
Tratam-se de meios de evitar diretamente danos aos equipamentos, tais como: prevenção a danos elétricos, alteração de temperatura e acidentes ocasionais ou propositais, e também o uso de espionagem, por meios físicos como interceptação de transmissão de dados (interceptação de cabos de transmissão) ou interceptação de dados que trafegam via radiofrequência, que podem ser evitadas com o uso de criptografia.
Detecção de intrusão física:
Pode ser evitada com o uso da monitoração por vídeo, comumente utilizada pelas empresas com circuitos avançados de câmeras e sensores.
Aspectos gerais da segurança física:
Assim como temos a identidade presente tanto no mundo digital, quanto no mundo físico, as informações também não estão em sua totalidade digitalizadas! Então, precisamos também pensar em uma abordagem de segurança e proteção de informações que ainda estão presentes no papel. Ou seja, precisamos garantir também a proteção de documentos físicos.
De acordo com Beal (2008), os procedimentos devem seguir o ciclo da informação, de cópia, armazenamento, transmissão e descarte. Algumas organizações têm como meio de armazenar os documentos/informações as seguintes mídias eletrônicas: CDs, DVDs, fitas magnéticas, discos removíveis, pen drives. No entanto, da mesma forma que documentos em papel, esses dispositivos também precisam de proteção adequada, seguindo o seu ciclo de vida. Todavia, uma medida importante nesse caso é a criação de backups de segurança.
E entrando no aspecto dos dispositivos, também devemos levar em consideração a proteção de equipamentos, que inclusive possui tópico específico na norma ISO 27002:2013, cujo objetivo é resguardar a integridade das informações armazenadas nesses equipamentos por meio de medidas que minimizem/eliminem os danos por roubo, furto ou destruição das informações.
A norma orienta que o local de armazenamento dos equipamentos deve ser protegido tanto de ocorrências ambientais como, também, de danos causados por falhas comportamentais. De acordo com Beal (2008, p. 86) a política de segurança da informação da empresa deve prever “orientações como: não comer, beber ou fumar próximo dos equipamentos e sistemas de monitoramento e controle de temperatura e umidade etc.”. Tenho certeza que você já deve ter entrado em alguma sala que tinha na porta uma restrição de entrar comendo e/ ou bebendo, principalmente em bibliotecas, salas de informática etc. Uma das formas de orientar os usuários quanto aos cuidados em manusear ativos físicos de informação é a chamada “política de mesa e tela limpa”, que possui um item específico na norma ISO 27002:2013, a qual determina que todos os tipos de documentos (papéis ou mídias digitais) e equipamentos (computadores, copiadoras, impressoras) sejam armazenados em locais seguros, evitando-se o acesso não autorizado. Trata-se de uma cultura de segurança a ser construída e exercitada dia a dia na empresa!
Considerações finais:
Ao longos dessas duas partes, conseguimos entender o quão importante é para uma organização garantir não somente a segurança digital de suas informações mas também pela ótica do ambiente físico. Com isso, entendemos o grau de complexidade ao realizarmos a abordagem IAM, abordando tanto o aspecto lógico quanto o físico, com isso, garantindo a proteção das informações e controle de identidade e acessos adequados, em conformidade com as principais normas e regulamentos.
Referências:
ABNT- Associação Brasileira de Normas Técnicas. ISO 27002:2013
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
Galvão, M.C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.
Goodrich, M.T.; Tamassia, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013.