Parte 2

Na última publicação, iniciamos a abordagem do controle de acesso no meio físico. Agora, daremos continuidade nesse assunto e finalizaremos passando por alguns tópicos que são importantes, quando falamos de Acesso Físico.

Vamos começar analisando e entendendo a evolução desses controles ao longo do tempo, sendo alguns mecanismos antigos, que ainda são de uso comum nos dias atuais:

Fechaduras e Cofres:

São utilizados desde a antiguidade, possuem função de impedir o acesso não  autorizado, além de possuírem estruturas mecânicas de acesso, também  contam com tecnologias digitais que permitem, no caso de fechaduras  eletrônicas, por exemplo, possuírem monitoração de quem as utilizou e em  qual horário.

Tecnologias de Autenticação:

Descreve os mecanismos físicos utilizados para autenticação, códigos de  barras, cartões com tarja magnética, cartões inteligentes (smartcards), Identificação por radiofrequência (RFIDs) e biometria. 

Ataques diretos contra computadores:

Tratam-se de meios de evitar diretamente danos aos equipamentos,  tais como: prevenção a danos elétricos, alteração de temperatura e acidentes  ocasionais ou propositais, e também o uso de espionagem, por meios físicos  como interceptação de transmissão de dados (interceptação de cabos de  transmissão) ou interceptação de dados que trafegam via radiofrequência,  que podem ser evitadas com o uso de criptografia. 

Detecção de intrusão física:

Pode ser evitada com o uso da monitoração por vídeo, comumente utilizada  pelas empresas com circuitos avançados de câmeras e sensores.

Aspectos gerais da segurança física:

Assim como temos a identidade presente tanto no mundo digital, quanto no mundo físico, as informações também não estão em sua totalidade digitalizadas! Então, precisamos também pensar em uma abordagem de segurança e proteção de informações que ainda estão presentes no papel. Ou seja, precisamos garantir também a proteção de documentos físicos.

De acordo com  Beal (2008), os procedimentos devem seguir o ciclo da informação, de cópia, armazenamento, transmissão e descarte. Algumas organizações têm como meio de armazenar os documentos/informações  as seguintes mídias eletrônicas: CDs, DVDs, fitas magnéticas, discos removíveis,  pen drives. No entanto, da mesma forma que documentos em papel, esses  dispositivos também precisam de proteção adequada, seguindo o seu ciclo de vida.  Todavia, uma medida importante nesse caso é a criação de backups de segurança.

E entrando no aspecto dos dispositivos, também devemos levar em consideração a proteção de equipamentos, que inclusive possui tópico específico na norma ISO  27002:2013, cujo objetivo é resguardar a integridade das informações  armazenadas nesses equipamentos por meio de medidas que minimizem/eliminem  os danos por roubo, furto ou destruição das informações. 

A norma orienta que o local de armazenamento dos equipamentos deve ser  protegido tanto de ocorrências ambientais como, também, de danos causados por  falhas comportamentais. De acordo com Beal (2008, p. 86) a política de segurança  da informação da empresa deve prever “orientações como: não comer, beber  ou fumar próximo dos equipamentos e sistemas de monitoramento e controle  de temperatura e umidade etc.”. Tenho certeza que você já deve ter entrado em  alguma sala que tinha na porta uma restrição de entrar comendo e/ ou bebendo,  principalmente em bibliotecas, salas de informática etc.  Uma das formas de orientar os usuários quanto aos cuidados em manusear ativos  físicos de informação é a chamada “política de mesa e tela limpa”, que possui um item específico na norma ISO 27002:2013, a qual determina  que todos os tipos de documentos (papéis ou mídias digitais) e equipamentos  (computadores, copiadoras, impressoras) sejam armazenados em locais seguros,  evitando-se o acesso não autorizado. Trata-se de uma cultura de segurança a ser  construída e exercitada dia a dia na empresa!

Considerações finais:

Ao longos dessas duas partes, conseguimos entender o quão importante é para uma organização garantir não somente a segurança digital de suas informações mas também pela ótica do ambiente físico. Com isso, entendemos o grau de complexidade ao realizarmos a abordagem IAM, abordando tanto o aspecto lógico quanto o físico, com isso, garantindo a proteção das informações e controle de identidade e acessos adequados, em conformidade com as principais normas e regulamentos.

Referências:

ABNT- Associação Brasileira de Normas Técnicas. ISO 27002:2013

BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.

Galvão, M.C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.

Goodrich, M.T.; Tamassia, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013.