Conforme já vimos, a segurança da informação vai muito além do fator computacional e, portanto, controles lógicos, quando usados isoladamente, se tornam inúteis. A verdadeira proteção depende de um equilíbrio entre fatores lógicos e físicos.
A implementação da segurança física e do ambiente por meio da proteção física dos equipamentos e do estabelecimento de áreas seguras, entre outras possíveis medidas de segurança, é essencial se o objetivo é tornar a informação segura em todas as esferas.
ÁREAS SEGURAS
Dependendo do nível de segurança exigido por determinados ativos de informação, pode ser necessário o isolamento físico desses ativos por meio de áreas seguras.
Uma área segura tem por objetivo o controle do acesso físico a ela, de forma a impedir que aconteçam estragos e intervenções nas informações lá contidas (ou no processamento dessas informações). Portanto, é necessário proteger a informação também em sua forma física, mantendo-a em uma área segura.
Perímetro de Segurança Física
Umas das formas de tornar uma área mais segura é estabelecendo sobre ela um perímetro de segurança, o que pode ser feito utilizando-se de barreiras físicas como portões e paredes (resistentes e sem brechas), portas e janelas (com sistemas de detecção de intrusos e trancas), portas corta-fogo e um balcão de recepção onde seja permitida a entrada apenas de pessoal autorizado.
Recomenda-se ainda que áreas gerenciadas pela organização devam ficar separadas fisicamente das áreas gerenciadas por terceiros e que sejam utilizadas várias barreiras, de modo que, se uma falhar, o problema ainda poderá ser controlado.
Controles de Acesso Físico
Para que de fato somente pessoas autorizadas tenham acesso físico às áreas seguras, são importantes controles de autenticação que validem esses acessos, sendo que essa autorização só deve ser concedida a quem realmente necessitar dela para o desempenho de suas funções profissionais.
Para fins de auditoria, todo acesso a uma área segura deve ser sempre registrado, com data e hora de entrada e saída. E é importante que todos que circulem por áreas seguras possuam alguma forma visível de identificação, incluindo os visitantes, que precisam ser monitorados, inclusive por circuito fechado de TV.
Além disso, cada pessoa deve ter acesso somente a um número limitado de áreas seguras e os direitos de acesso precisam ser revisados regularmente. Pessoas de fora da organização só podem estar presentes nesses locais com algum tipo de autorização e objetivos muito específicos.
Trabalho em Áreas Seguras
A organização deve definir regras a serem seguidas pelos que trabalham em áreas seguras, sendo que o trabalho dessas pessoas precisa ser supervisionado.
Em áreas seguras não deve ser permitido, por exemplo, o uso de equipamentos de gravação, como câmeras fotográficas. Além disso, para evitar ataques, as áreas seguras não devem ser de fácil localização e sua existência não deve ser de conhecimento público, assim como as atividades lá desenvolvidas, que devem ser mantidas em sigilo. Quando não houver ninguém em uma área segura, ela deve ser trancada.
Proteção contra Desastres
Existem diversos tipos desastres: incêndios, enchentes, explosões, desabamentos, tempestades, tornados, raios, tremores de terra, radiação etc. As áreas seguras devem estar preparadas para o caso de desastres, sejam eles naturais ou causados pelo homem, que ocorram nas próprias instalações ou em áreas vizinhas.
Por exemplo, equipamentos de emergência, como os de detecção e combate a incêndios, devem estar presentes e posicionados em locais de fácil acesso. Convém ainda que equipamentos de contingência estejam armazenados em locais distantes da área onde estão os equipamentos principais. E materiais facilmente inflamáveis devem ser armazenados em locais distantes de áreas seguras.
Proteção em Áreas de Entrega e Carregamento
Quanto às áreas de entrega e carregamento, também só devem ter acesso a elas pessoas identificadas e autorizadas, que devem conseguir fazer seu trabalho sem que tenham que passar por áreas seguras. Cada material que entra deve ser inspecionado e registrado. E área de entrada não deve ser a mesma que a de saída.
PROTEÇÃO DOS EQUIPAMENTOS
A criação de áreas seguras com certeza aumenta a segurança dos equipamentos, mas só isso não basta para evitar acessos não autorizados, sabotagens, roubos, vandalismo, interrupções de serviço, destruição de ativos e outros incidentes de segurança, até por que, muitas vezes os equipamentos são móveis, podendo ser deslocados para áreas não seguras.
A colocação de lacres em gabinetes, evitando assim que discos rígidos sejam removidos, é um exemplo de proteção de equipamentos dentro da organização. Outro exemplo seria a desabilitação de portas USB e leitores de CD e DVD quando não necessários à realização das atividades do negócio.
Proteção dos Equipamentos Fora da Organização
Se dentro da organização os equipamentos já correm riscos, fora dela o problema torna-se ainda maior. Para proteger a informação fora dos limites da organização é necessária uma nova análise de riscos e, consequentemente, medidas e controles de segurança adicionais, sendo uma delas a utilização de formas de comunicação seguras com a rede interna.
O uso de equipamentos ou informações da empresa fora do ambiente de trabalho precisa ter a aprovação da gerência, uma vez que a possibilidade de roubo, perda e danos físicos aumenta muito. Toda remoção de equipamentos de propriedade da organização deve ser registrado, assim como o prazo para a devolução.
Manutenção dos Equipamentos
Para que os equipamentos continuem funcionando adequadamente ao longo do tempo, é preciso que, periodicamente e seguindo as instruções do fabricante, a manutenção seja realizada.
É conveniente que todas as ações que envolvam a manutenção, das medidas de prevenção às de correção, sejam realizadas somente por pessoas autorizadas e tais ações sejam catalogadas para fins de auditoria.
Caso informações críticas estejam presentes nesses equipamentos, é preciso que o trabalho de manutenção seja executado por pessoal da mais alta confiança, caso contrário, essa informação deverá ser removida.
Descarte dos Equipamentos
Os mecanismos de armazenamento que apresentarem defeitos só devem ser consertados se o risco dessa operação for aceitável, caso contrário, devem ser inutilizados antes de serem jogados fora, de modo que seus dados tornem-se irrecuperáveis. A inutilização da informação antes do descarte também vale para documentos impressos.
Segurança do Cabeamento
Para evitar possíveis interferências no funcionamento normal dos equipamentos que fazem o processamento das informações, recomenda-se que cabos de transmissão de energia e dados estejam suficientemente isolados. Além disso, visando prevenir danos ou interceptações ilegais, é preferível que esses cabos sejam subterrâneos e protegidos por meio de conduítes e blindagem eletromagnética (caso o cabeamento não seja de fibra óptica), o que não elimina a necessidade de inspeções periódicas de forma a garantir a não existência de dispositivos não autorizados conectados ao cabeamento.
Cabos com marcações de fácil identificação e uma documentação adequada a respeito das conexões podem evitar uma série de erros quando da manutenção da rede física da organização.
Interrupção de Serviços Básicos
Eventualmente, por razões que fogem ao controle da organização, os serviços mais básicos, como energia, água, Internet e telefone podem ser interrompidos, o que pode comprometer fisicamente alguns equipamentos, caso cuidados não sejam tomados.
Para evitar danos aos equipamentos devido à queda abrupta de energia elétrica, recomenda-se o uso de no-breaks. No caso de equipamentos mais críticos, como servidores ou qualquer outro cuja interrupção das atividades poderia provocar prejuízos ao negócio, o funcionamento deve ser continuado por meio de geradores, devendo-se realizar testes periódicos nesses para garantir que proporcionarão o fornecimento de energia adequado quando o momento exigir.
Com relação a interrupção no abastecimento de água, devem ser adotadas medidas para que sistemas de extinção de incêndios, aparelhos de ar condicionado e umidificadores do ambiente, por exemplo, não fiquem inoperantes, o que poderia causar danos a determinados tipos de equipamentos.
Ao que se refere à comunicação, é essencial que existam meios alternativos que possam entrar em uso nos momentos em que as comunicações principais falharem. Isso se torna ainda mais importante em situações de emergência.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.