Voltar ao início

O Acesso além do mundo digital

Laura – @ManadeInfoSec

Parte 1

Vimos anteriormente sobre alguns tópicos abordados em IAM e exploramos a definição de PAM.

Mas, até aqui, estávamos falando sobre controle de acesso no meio digital. Porém, é errado pensarmos que somente o CONTROLE DE ACESSO LÓGICO é o suficiente para garantir a segurança das informações.

Que as informações estão cada vez mais digitalizada, já sabemos, e a cada ano, surgem novas soluções e ferramentas para nos apoiar no processo de Gestão de Identidades e Acessos.

Mas e quando essas identidades deixam de ser digitais?

Atualmente vivemos em um mundo cada vez mais digital, em que a informação é sinônimo de acesso à tecnologia, isto é, acessada através de dispositivos eletrônicos. No entanto, o meio a qual lidamos com as informações é formado por pessoas, equipamentos, prédios, etc., ou seja, é um mundo físico.

(2013, p. 71) Goodrich e Tamassia afirmam que:

[…] a informação digital deve residir fisicamente em algum lugar, como em estado de elétrons, meio magnético ou dispositivos óticos, e acessar essa informação requer o uso de uma interface entre os mundos físico e digital. Portanto, a proteção de informação digital deve incluir métodos para proteger fisicamente essa interface.

Desenho de um escudo com fechadura protegendo algumas instalações prediais.

A proteção do ambiente físico exige medidas que estejam de acordo com os princípios de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade, e devem estar presentes nas políticas de segurança da empresa.

Para a correta proteção do ambiente físico das informações, Goodrich e Tamassia (2013, p. 71) sugerem a observação dos seguintes aspectos:

  • Proteção de localização: A proteção dos locais físicos onde estão instalados os equipamentos que armazenam as informações. Ex: uso de portas com trancas
  • Detecção de intrusão física: A detecção de acesso não autorizado aos locais físicos onde estão os equipamentos que armazenam as informações. Ex: leitor biométrico de acesso, uso de trancas com senhas.
  • Ataques ao hardware: Formas de ataque físico que possam danificar os equipamentos que armazenam as informações. Ex: computadores, discos rígidos, placas de rede e memória.
  • Intromissão: Ataques que monitoram sinais de comunicação. Ex: luz, som e rádio.
  • Ataques físicos a interfaces: Ataques que comprometem os equipamentos físicos por meio de uma brecha nos equipamentos. Ex: acesso ao disco sem senhas de acesso, portas usb desprotegidas.

Reflita: Uma das formas de proteger a nossa casa da entrada de pessoas não autorizadas, é a utilização de chaves e cadeados. Dessa mesma forma, os dados da empresa armazenados em equipamentos (servidores), devem ser colocados em salas protegidas em que somente pessoas autorizadas poderão ter acesso a ela.

teclado de um notebook com a tecla "Physical Security"

Um dos conceitos utilizados em segurança de ambientes físicos é a definição do perímetro de segurança ou, segurança perimetral, o qual trata da construção de barreiras (físicas e digitais) que delimitam os ativos que precisam ser protegidos. Podemos citar como exemplo as catracas de acesso para ambientes físicos, e as senhas para ambientes virtuais.

Galvão, (2015, p. 40)

“O objetivo da segurança perimetral é a proteção contra ameaças externas”

dessa forma, quanto maior for a segurança perimetral, mais difícil será transpor essas barreiras.

O contexto de segurança física, de acordo com a norma ISO 27002 (item 11.1.3, v2015), prevê que prédios, salas, escritórios e data centers, sejam protegidos contra ameaças por causas naturais (inundações, incêndios), incidentes causados por pessoas (manifestações, ataques) e ACESSOS NÃO AUTORIZADOS. Dessa maneira, Goodrich e Tamassia (2013, p. 72), destacam que garantir a segurança física é tão importante quanto assegurar a segurança da informação digital. Afinal, se a integridade física das pessoas envolvidas for violada, a proteção das informações pode ficar vulnerável.

Essa primeira parte tem como objetivo a introdução dos aspectos de Segurança Física, bem como o Controle de Acesso no mundo real, feito de concreto.

Continuaremos com a segunda parte e finalização na próxima publicação. Continue me acompanhando no instagram @manadeinfosec e fique por dentro de novos conteúdos.

Referências:

ABNT- Associação Brasileira de Normas Técnicas. ISO 27002:2013

BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.

Galvão, M.C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.

Goodrich, M.T.; Tamassia, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013.