De que se trata o artigo:

Este artigo discorre sobre a segurança física dos ativos. Para isso, tem seu foco direcionado para a explicação da seção 9 da norma ISO 27002. Esta norma tem como objetivo auxiliar a implantação, a manutenção e a melhoria contínua dos controles de segurança da informação, padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão. A Norma ISO 27002 possui 133 controles, divididos em 11 seções, que abrangem a segurança da informação em todos os seus aspectos, tratando de ferramentas, processos e pessoas.


Para que serve:

No dia a dia das empresas, ainda há muito que se fazer quando o assunto é segurança física dos ativos. Principalmente no âmbito das pequenas e médias empresas, que ainda possuem grandes dificuldades em adotar requisitos básicos de segurança, sobretudo na infraestrutura que suporta o negócio da empresa.

Em que situação o tema útil:

Contribuir para a proteção dos ativos que representam valor para a organização, incluindo equipamentos e recursos humanos.

Nunca se falou tanto em Segurança da Informação como no último ano. Foram diversos eventos, artigos, reportagens, palestras e lançamentos de novos produtos e serviços ao longo de 2010 que contribuíram para o fortalecimento deste setor. Porém, no dia a dia das empresas ainda há muito que se fazer, principalmente no âmbito das pequenas e médias empresas (PMEs), que ainda possuem grandes dificuldades em adotar requisitos básicos de segurança, sobretudo na infraestrutura que suporta o negócio da empresa.

Enxergar o departamento de TI como uma área que suporta toda a operação relacionada ao negócio da empresa ainda é algo raro no meio empresarial das PMEs. Se mal há investimentos em equipamentos e sistemas básicos para o funcionamento da rede, é de se esperar que não haja qualquer melhoria em questões de segurança. Parte da causa deste problema, em muitos casos, é do próprio gestor do departamento de TI, que por ter uma formação puramente técnica, acaba tendo dificuldades em apresentar argumentos na hora de buscar investimentos para sua área.

Em outros casos, os argumentos são mesmo difíceis de mensurar, principalmente investimentos em segurança que muitas vezes só têm um retorno palpável para o empresário quando ele percebe que a ocorrência de uma falha não paralisou suas atividades. Outros tipos de investimento só serão notados ao longo do tempo por não se tratar de um produto físico, mas de uma mudança cultural, que envolve treinamento e conscientização de toda a equipe.

Mas no que se diz respeito à segurança da infraestrutura, há diversos investimentos que podemos dizer que são um pouco mais “fáceis” de justificar, desde que os argumentos mostrem um ganho ao negócio. É o que chamamos de Entrega de Valor ao Cliente.

Quando falamos de segurança de uma infraestrutura de rede, pensamos em datacenters robustos, verdadeiras salas-cofre, rede elétrica estabilizada com potentes no-breaks e geradores de grande porte, além de robôs automatizados de backup. Mas se avaliarmos de forma mais detalhada, veremos que há outras inúmeras ações a serem estudadas para garantir um nível adequado de segurança da infraestrutura de rede. Todas estas ações estão organizadas na Norma ABNT NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão de Segurança da Informação.

Esta norma tem como objetivo auxiliar a implantação, a manutenção e a melhoria contínua dos controles de segurança da informação, padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão. A Norma ISO 27002 possui 133 controles, divididos em 11 seções, que abrangem a segurança da informação em todos os seus aspectos, tratando de ferramentas, processos e pessoas.

Além da proteção física dos ativos, a norma apresenta uma série de recomendações que visam proteger a informação em três fundamentais aspectos:

Confidencialidade: este aspecto da informação visa garantir que somente as pessoas previamente autorizadas tenham acesso à informação. Neste caso, por exemplo, utilizamos sistemas com contas de acesso exclusivas, senhas individuais e softwares de criptografia para proteger o acesso e a comunicação dos dados;

Integridade: garantir que a informação permaneça autentica e que se for alterada seja somente por pessoas autorizadas. A integridade é importante principalmente para garantir a autenticidade de informações disponibilizadas publicamente. Este tipo de informação deve ser preservado para que ninguém altere seu conteúdo ou seu autor;

Disponibilidade: garantir que a informação esteja disponível sempre que for necessário para as pessoas autorizadas. Para atingir este objetivo é que utilizamos sistemas de backup, links redundantes, servidores de contingência, por exemplo.

Não necessariamente uma informação deve possuir estes três aspectos para garantir sua proteção. De acordo com a classificação da informação é que o proprietário poderá definir o nível adequado de segurança.

Para garantir estes três fundamentais aspectos da segurança da informação, a Norma ISO 27002 abrange em suas 11 seções uma série de ações, que envolvem soluções tecnológicas, documentação de processos e conscientização de pessoas.

A seguir, temos um resumo da Norma (itens numerados a partir de 5):

5. Política da Segurança da Informação: prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes;

6. Organizando a Segurança da Informação: estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação na organização;

7. Gestão de Ativos: alcançar e manter a proteção adequada dos ativos da organização;

8. Segurança em Recursos Humanos: assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto, roubo, fraude ou mal uso de recursos;

9. Segurança Física e do Ambiente: prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;

10. Gestão das Operações e Comunicações: garantir a operação segura e correta dos recursos de processamento da informação;

11. Controle de Acesso: controlar o acesso à informação com base nos requisitos de negócio e segurança da informação;

12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: garantir que a segurança seja parte integrante de sistemas da informação;

13. Gestão de Incidentes de Segurança da Informação: assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação em tempo hábil;

14. Gestão da Continuidade do Negócio: não permitir a interrupção das atividades dos negócios e proteger os processos críticos contra efeito de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil;

15. Conformidade: adequar os requisitos de segurança para não permitir a violação de regulamentações ou leis estabelecidas, além de obrigações contratuais.

Entre estas 11 seções da Norma, temos uma que trata exclusivamente de segurança física para proteção da informação, que é justamente o tema central de nosso artigo. Esta seção possui 13 itens de controle para serem aplicados de acordo com a necessidade de cada organização. Elas estão distribuídas da seguinte forma:

9 Segurança física e do ambiente

9.1 Áreas seguras

9.1.1 Perímetro de segurança física.

9.1.2 Controles de entrada física.

9.1.3 Segurança em escritórios salas e instalações.

9.1.4 Proteção contra ameaças externas e do meio ambiente.

9.1.5 O trabalho em áreas seguras.

9.1.6 Acesso do público, áreas de entrega e de carregamento.

9.2 Segurança de equipamentos

9.2.1 Instalação e proteção do equipamento.

9.2.2 Utilidades.

9.2.3 Segurança do cabeamento.

9.2.4 Manutenção dos equipamentos.

9.2.5 Segurança de equipamentos fora das dependências da organização.

9.2.6 Reutilização e alienação segura de equipamentos.

9.2.7 Remoção de propriedade.

Com base nestes controles, vamos apresentar algumas sugestões de como sua organização pode elevar o nível de segurança. A implementação dos controles da seção 9 Segurança física e do ambiente traz mais do que uma proteção para a informação. Estes controles contribuem para a proteção dos ativos que representam valor para a organização, incluindo equipamentos e recursos humanos. Com essa visão já começamos a mudar o ponto de vista, antes voltado apenas para o departamento de TI, mas agora abrindo o horizonte para mostrar os benefícios a toda organização, incluindo o bem estar das pessoas.

Áreas seguras

Em todas as organizações existem áreas em que é permitida a circulação livre de pessoas e materiais. Por outro lado, há também áreas restritas, onde a circulação de pessoas e materiais deve ser controlada para preservar algo de valor para a organização ou para garantir a segurança das pessoas.

Para implementar uma ou mais áreas seguras na organização, é necessário antes identificar quais ativos deseja-se proteger e por quais razões. Isso é importante para garantir a proteção adequada ao valor do ativo. Não faz sentido construir um muro alto de concreto com cerca elétrica para proteger um barraco simples de madeira. Como também não adianta nada comprar um palácio decorado com ouro e não querer protegê-lo com muros para não ofuscar sua beleza.

Com estas informações bem definidas, podemos começar a adotar os controles necessários discutidos na sequência.

Perímetro de segurança física

O perímetro de segurança física é um delimitador, uma barreira que tem como objetivo controlar, restringir ou mesmo impedir o acesso a determinado local ou determinado objeto. Em uma organização, encontramos (ou deveríamos encontrar) uma combinação de barreiras para limitar o acesso a determinados pontos. As barreiras podem ser físicas ou combinadas com recursos lógicos. Exemplos de barreiras puramente físicas: portarias, recepções, cercas, muros, catracas comuns. No caso de barreiras com recursos lógicos empregados, temos como exemplos portas ou catracas com fechaduras eletrônicas abertas por crachás, senhas ou leitor biométrico, muito usado atualmente. Alarmes e Circuitos Internos de TV (CFTV) também são considerados barreiras que auxiliam na proteção do ambiente.

Estes recursos em sua maioria já são utilizados nas organizações, mas muitas vezes falta uma administração correta. Inúmeras vezes consegui entrar sem a devida identificação em empresas que possuíam portarias e recepções bem equipadas, mas com pessoas mal treinadas. Bastava um pouco de conversa e o meu acesso era liberado. Em outros locais, bastava entrar com o carro e dar um “tchauzinho” de longe, pois a cancela ficava sempre aberta para a entrada de veículos.

Já presenciei alguns casos em que toda a estrutura de CFTV estava lá, funcionando, gravando cada movimento, mas quando foi solicitada a exibição de uma determinada cena, o arquivo já havia sido sobregravado em um curto espaço de tempo. Adiantou investir e não gerenciar? Por isso verifique a necessidade de sua organização, aplique os perímetros e gerencie.

Controles de entrada física

Além dos perímetros para criar barreiras que dificultem o acesso à organização e que protejam os ativos em geral, incluindo as pessoas, é necessário um cuidado maior com os locais identificados como áreas seguras. Nestes locais o acesso só pode ser realizado por meio de credenciais que possam validar a presença da pessoa no ambiente, como o uso de crachás magnéticos, cartões eletrônicos ou senhas para fechaduras de portas e catracas eletrônicas. Atualmente vem se destacando neste setor o uso de biometria.

Além destes recursos tecnológicos, a adoção de procedimentos por parte de todos os funcionários da organização é fundamental. Todos devem estar cientes de suas responsabilidades, como manter sempre visível sua identificação e exigir de seus visitantes o mesmo, sejam eles clientes ou fornecedores. Todos os visitantes devem ser identificados em uma recepção, onde seus dados serão registrados e armazenados para eventuais consultas. Os visitantes devem ser supervisionados ou acompanhados por alguém responsável na organização.

Segurança em escritórios, salas e instalações

Com a descentralização das informações, que antes ficavam nos mainframes dos antigos CPDs e hoje se encontram fragmentadas em toda a rede, ficou difícil estabelecer limites físicos para proteger os ativos, especialmente nos dias atuais, onde a mobilidade virou requisito obrigatório em qualquer tipo de negócio. Portanto, este tipo de controle só tem validade quando combinado com outros controles que previnem o acesso da informação fora das áreas seguras.

De qualquer forma, ainda há diversos ambientes de trabalho com equipamentos fixos (desktops, impressoras, copiadoras, faxes, fitas DAT, pen drives) e onde a informação a ser protegida não está apenas no formato digital, mas em formato impresso também. Pensando nisso, a organização deve proteger o acesso a estes ambientes para evitar furto, roubo de ativos ou acesso a informações importantes. O uso de armários com fechaduras, política de mesa limpa, para não deixar documentos expostos a todo o momento e bloqueios de tela para evitar o acesso não autorizado aos sistemas da empresa durante a ausência do usuário são alguns exemplos de recursos que podem ser utilizados.

Proteção contra ameaças externas e do meio ambiente

Toda a organização deve mapear quais as ameaças externas e do meio ambiente ela está exposta, de acordo com as características da região e do setor de mercado da qual ela atua. Uma empresa localizada próxima à passagem de rios, deve adotar proteções específicas contra enchentes. Uma empresa que trabalha com produtos altamente inflamáveis, deve ter sua central de processamento em local afastado das áreas com maiores riscos, ou ainda empresas próximas a centros de detenções ou penitenciarias, devem ter planos de continuidades bem definidos, pois na realidade do nosso país, é comum a ocorrência de rebeliões que acabam isolando as áreas próximas, inclusive a empresa e seus funcionários.

Além destas precauções, a organização deve manter seus sistemas elétricos e hidráulicos em manutenções periódicas.

O trabalho em áreas seguras

Áreas seguras não devem ser identificadas facilmente. Parece meio que contraditório, mas se você analisar, somente quem necessita exercer suas atividades neste local é que tem que saber que aquele ambiente fechado é uma área segura. Vejo em muitas empresas placas indicando claramente “SALA DE SERVIDORES” ou “SALA DE MONITORAMENTO”. Ninguém precisa saber que ali estão todos os seus servidores ou todos os registros de filmagem. Se um fornecedor necessitar prestar algum tipo de suporte nestes locais, ele deverá ser acompanhado por alguém que sabe onde ficam os equipamentos.

Todo o trabalho em área segura deve ser monitorado, principalmente quando se tratar de visitantes (fornecedores ou terceiros). Estes devem ter acesso somente às informações necessárias para execução de seus trabalhos. Nestas áreas deve-se evitar o uso de câmeras fotográficas ou de filmagem, a não ser com expressa autorização da área responsável.

Acesso do público, áreas de entrega e de carregamento

Estas áreas onde circulam um grande número de pessoas devem ser, sempre que possível, afastadas das áreas seguras da empresa, para evitar o acesso não autorizado de entregadores, por exemplo. Locais onde são realizados atendimentos públicos devem ser protegidos para evitar o roubo de ativos ou acesso aos sistemas sem autorização.

Segurança de equipamentos

Os equipamentos que armazenam e processam as informações devem ser protegidos contra ameaças físicas e do ambiente, para garantir a tríade básica da segurança da informação (confidencialidade, disponibilidade e integridade) e consequentemente garantir a continuidade dos negócios, evitando assim prejuízos para a organização.

Neste item é que encontramos alguns dos principais argumentos para investir em tecnologia para atender aos requisitos da Norma ISO 27002. Mas vale lembrar que a aquisição de tecnologia sem o apoio de processos bem desenhados e da capacitação de pessoas não proverá os resultados esperados.

Instalação e proteção do equipamento

Todos os equipamentos devem ser instalados em ambientes adequados, protegidos contra ameaças físicas e do meio ambiente. Deixar equipamentos expostos à poeira, altas temperaturas, vibrações ou interferências elétricas podem comprometer sua durabilidade, e dessa forma afetar a integridade e a disponibilidade das informações. Muitos departamentos de TI adotam ambientes com controle de temperatura, umidade e de alimentação elétrica, mas às vezes esquecem detalhes como excesso de vibração e acomodação correta dos equipamentos. Já visitei salas de servidores que conforme andávamos sobre o piso elevado, fazíamos os equipamentos balançarem, justamente por estarem acomodados diretamente no piso. Em ambientes industriais, deve-se evitar instalar os servidores em locais que possam vibrar devido o impacto de prensas ou durante a passagem de veículos pesados.

Outros cuidados necessários são a restrição de entrada de alimentos, bebidas e materiais químicos e inflamáveis dentro do ambiente onde estão alocados os equipamentos de informática.

Utilidades

Todo o sistema que provê alimentação elétrica, suprimento de água e climatização do ambiente é identificado com nome de Utilidade. Estes sistemas permitem que os equipamentos que armazenam e processam as informações estejam sempre disponíveis, evitando paradas abruptas que poderiam comprometer a integridade dos dados.

O uso de sistemas de suprimento ininterrupto de energia ou UPS (Uninterruptible Power Supply) como no-breaks, por exemplo, é algo até que comum na realidade das pequenas e médias empresas. Mas isso por si só acaba não trazendo benefícios reais para a organização, pois se não forem tomadas medidas preventivas, o no-break acaba se tornando apenas mais um acessório na sala de servidores.

O no-break tem como principais funções estabilizar qualquer variação na alimentação de energia elétrica e manter por um breve período de tempo o fornecimento de energia, o suficiente para que todos os equipamentos a ele conectados possam ser desligados corretamente. Em situações em que os equipamentos não possam sofrer qualquer tipo de interrupção, se faz necessário o uso de geradores de energia. Em ambos os casos, a manutenção preventiva e a realização de testes periódicos para checar sua autonomia e sua capacidade é um requisito fundamental.

Apenas com o perfeito funcionamento das UPS, é que as demais Utilidades como ar-condicionado e sistemas de calefação poderão assegurar o nível adequado de climatização do ambiente e evitar as consequências de uma interrupção de abastecimento de energia.

Segurança do cabeamento

Por mais trivial que possa parecer, manter este requisito em plena conformidade é uma das tarefas mais difíceis devido a nossa cultura enraizada de “Disponibilidade a qualquer custo!”. Com a crescente expansão dos equipamentos tecnológicos, a necessidade de disponibilizar pontos de rede e de telefone é essencial, porém diante da pressão em concluir as solicitações da organização, o que vemos é uma série de extensões das conexões em cascata, mal projetadas, que resultam em baixa qualidade do sinal, afetando a performance de toda a rede.

Isso acontece em muitos casos porque o próprio departamento de TI assume a responsabilidade de “puxar” cabos de rede para aumentar a distribuição de pontos, pois hoje quem não tem um alicate para crimpar conectores RJ-45? Só que saber “puxar” cabos e crimpar os conectores não é a única preocupação que se deve ter. O cabeamento lógico (rede e telefone) deve ser separado dos cabos que conduzem energia elétrica, para evitar interferências magnéticas, e em todo o seu percurso, o cabeamento lógico deve ser protegido em conduítes e canaletas para evitar interceptações não autorizadas.

Manter os cabos devidamente identificados e ter em mãos um diagrama de toda sua distribuição são requisitos obrigatórios para qualquer departamento de TI bem administrado. Pela minha experiência, creio que a maioria das organizações não possui esta documentação. É óbvio que este levantamento realizado por uma empresa especializada tem um custo expressivo, mas é neste ponto que a argumentação do gestor de TI deve fazer toda a diferença. Qual o impacto que o negócio pode sofrer caso um cabo de comunicação seja rompido ou danificado durante a realização de alguma obra ou reforma na empresa? Qual será o custo para a empresa ao solicitar uma manutenção ou expansão da rede de comunicação, quando o fornecedor se deparar com o trabalho extra que ele terá para executar o serviço, justamente por não ter qualquer informação previamente em mãos? Quanto tempo a equipe de TI perde durante a realização de suporte técnico e manutenção na rede, tentando localizar possíveis “gargalos” que deixam a rede lenta? Como identificar pontos de rede sem a documentação e as ferramentas corretas?

Se um gestor conseguir mensurar estes custos, ele terá melhores condições de negociar com a alta direção os investimentos necessários para adequar sua estrutura dentro de um padrão aceitável.

Manutenção dos equipamentos

Infelizmente na cultura de nosso país, quando falamos em manutenção, somos levados a pensar em consertos, algo reativo, quando na verdade o objetivo da manutenção é preventivo. Evitar que os equipamentos que suportam toda a operação da organização parem de funcionar é um dos principais objetivos deste controle.

Todas as manutenções realizadas devem ser antecipadamente programadas, dentro de intervalos periódicos, e todas as ações devem ser registradas, para manter um histórico de eventuais problemas, que auxiliarão na tomada de decisões futuras.

Segurança de equipamentos fora das dependências da organização

Hoje este é um dos pontos mais críticos da segurança da informação. Manter um nível de proteção dentro dos limites físicos das organizações já é uma tarefa difícil, ainda mais quando exposto às diversas ameaças do ambiente externo. Neste aspecto, somente a combinação de ferramentas, processos e pessoas trará algum efeito positivo.

Com toda a evolução do conceito de mobilidade sendo aplicado aos negócios, é natural que algumas medidas preventivas devam ser tomadas para evitar que toda as medidas de proteção adotadas internamente também tenham algum efeito externamente. O uso de dispositivos móveis como notebooks, smartphones, celulares, câmeras digitais, pen drives e tablets expõem a disponibilidade, a integridade, mas principalmente a confidencialidade das informações. O roubo ou a perda destes dispositivos pode trazer graves consequências e prejuízos imensuráveis à organização.

Para reduzir os riscos dessa exposição e os graves impactos caso estas ameaças se concretizem, as seguintes medidas devem ser tomadas:

• Criptografar as informações contidas em dispositivos móveis;

• Fazer o uso de senhas fortes, inclusive em dispositivos como celulares;

• Manter uma cópia atualizada dos dados armazenados nos dispositivos;

• Transportar os equipamentos de forma discreta e protegida contra impactos e exposições a variações de temperaturas e agentes químicos;

• Treinar os usuários sobre as melhores práticas em segurança da informação e conscientizar a equipe do uso aceitável destes dispositivos.

Reutilização e alienação segura de equipamentos

Este controle passa despercebido em grande parte das empresas. Quando tratamos de reutilização e alienação (ou descarte) de equipamentos tecnológicos, as principais preocupações das organizações são de cumprir regulamentações ambientais, para evitar descarte de componentes que possam contaminar o meio ambiente e também em atender questões de responsabilidade social, realizando doações a ONGs e institutos educacionais. Mas tão importante como estas questões, está o fato de que muitas vezes informações sensíveis da empresa acabam sendo esquecidas nas unidades de armazenamento dos equipamentos como computadores e copiadoras.

O simples ato de formatar o disco rígido de um computador não é garantia de que a informação não possa ser recuperada. O mercado de recuperação de discos tem evoluído de forma crescente, tanto para o bem quanto para o mal. Estas ferramentas são facilmente encontradas na Internet e para quem não tem conhecimento técnico no assunto, tem a sua disposição inúmeras empresas especializadas neste tipo de serviço. Mesmo discos com problemas físicos podem ainda ter parte de suas informações restauradas.

Para evitar este tipo incidente, todo o equipamento que não for mais utilizado e que contenham dados gravados, devem ter suas unidades de armazenamento destruídas fisicamente, observando os cuidados com a segurança do funcionário. Para equipamentos que possuam informações sensíveis e forem reutilizados em outros departamentos ou doados para alguma ONG ou instituição, devem ter seus dados apagados com softwares específicos, evitando apenas o recurso básico de formatação. Mesmo que seja para doação, deve-se avaliar a importância das informações gravadas e, se for pertinente, doar o equipamento sem a unidade de armazenamento.

Remoção de propriedade

A retirada de equipamentos de dentro das organizações, seja para realocação ou para manutenção externa, deve ser feita de forma controlada, registrando sua saída e se for o caso, sua entrada ao retornar para a organização. Em muitas empresas, este controle é rigoroso, com emissão de nota fiscal de saída e com autorização formal para liberação na portaria. Porém, em outras empresas, por se ter um contato constante com a assistência técnica, a informalidade ganha espaço. Essa “facilitação” para liberar a saída do equipamento pode fazer com que dados sensíveis acabem sendo entregues em mãos de terceiros, que muitas vezes não possuem qualquer precaução para preservar a integridade e a confidencialidade das informações.

Todo este processo deve ser registrado e acompanhado por um responsável para evitar a perda de ativos para a organização.

Conclusão

Como pudemos ver, a Norma ISO 27002 é muito abrangente, abordando vários aspectos no tratamento da informação. Para o departamento de TI, existem várias recomendações que devem ser avaliadas para que a área possa dar suporte ao negócio. Quando o departamento de TI consegue mensurar a importância de suas ações, ele consegue obter com maior facilidade os recursos necessários para prover os serviços com qualidade a toda organização.

Como base inicial de qualquer ação de melhoria no departamento de TI em relação à segurança, a seção 9 da Norma dispõe de várias recomendações que são mais fáceis de serem mensuradas, por se tratar de melhorias que são visualmente percebidas pelas demais áreas. Em resumo, seus resultados são práticos, diferentemente de ações que envolvem mudança cultural, como políticas e treinamentos, que só são percebidas ao longo do tempo. Mas todas estas ações precisam acontecer para que a segurança possa realmente agregar valor ao negócio, lembrando que a segurança da informação é sustentada por ferramentas, processos e pessoas.