Segurança física dos ativos - Revista Infra Magazine 2

Nunca se falou tanto em Segurança da Informação como no último ano. Foram diversos eventos, artigos, reportagens, palestras e lançamentos de novos produtos e serviços ao longo de 2010 que contribuíram para o fortalecimento deste setor. Porém, no dia a dia das empresas ainda há muito que se fazer, principalmente no âmbito das pequenas e médias empresas (PMEs), que ainda possuem grandes dificuldades em adotar requisitos básicos de segurança, sobretudo na infraestrutura que suporta o negócio da empresa.

Enxergar o departamento de TI como uma área que suporta toda a operação relacionada ao negócio da empresa ainda é algo raro no meio empresarial das PMEs. Se mal há investimentos em equipamentos e sistemas básicos para o funcionamento da rede, é de se esperar que não haja qualquer melhoria em questões de segurança. Parte da causa deste problema, em muitos casos, é do próprio gestor do departamento de TI, que por ter uma formação puramente técnica, acaba tendo dificuldades em apresentar argumentos na hora de buscar investimentos para sua área.

Em outros casos, os argumentos são mesmo difíceis de mensurar, principalmente investimentos em segurança que muitas vezes só têm um retorno palpável para o empresário quando ele percebe que a ocorrência de uma falha não paralisou suas atividades. Outros tipos de investimento só serão notados ao longo do tempo por não se tratar de um produto físico, mas de uma mudança cultural, que envolve treinamento e conscientização de toda a equipe.

Mas no que se diz respeito à segurança da infraestrutura, há diversos investimentos que podemos dizer que são um pouco mais “fáceis” de justificar, desde que os argumentos mostrem um ganho ao negócio. É o que chamamos de Entrega de Valor ao Cliente.

Quando falamos de segurança de uma infraestrutura de rede, pensamos em datacenters robustos, verdadeiras salas-cofre, rede elétrica estabilizada com potentes no-breaks e geradores de grande porte, além de robôs automatizados de backup. Mas se avaliarmos de forma mais detalhada, veremos que há outras inúmeras ações a serem estudadas para garantir um nível adequado de segurança da infraestrutura de rede. Todas estas ações estão organizadas na Norma ABNT NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão de Segurança da Informação.

Esta norma tem como objetivo auxiliar a implantação, a manutenção e a melhoria contínua dos controles de segurança da informação, padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão. A Norma ISO 27002 possui 133 controles, divididos em 11 seções, que abrangem a segurança da informação em todos os seus aspectos, tratando de ferramentas, processos e pessoas.

Além da proteção física dos ativos, a norma apresenta uma série de recomendações que visam proteger a informação em três fundamentais aspectos:

·         Confidencialidade: este aspecto da informação visa garantir que somente as pessoas previamente autorizadas tenham acesso à informação. Neste caso, por exemplo, utilizamos sistemas com contas de acesso exclusivas, senhas individuais e softwares de criptografia para proteger o acesso e a comunicação dos dados;"