Proteja suas informações de ameaças físicas

Atualizado28 de junho de 2018

Índice

...Loading Table of Contents...

    Nós trabalhamos muito para proteger a informação que vive em nossos dispositivos digitais ou que passa por eles. Mas o trabalho pode ser desfeito em um instante se um destes dispositivos for perdido, roubado, adulterado, confiscado ou danificado. Os exemplos podem incluir uma bolsa esquecida no ônibus, um pendrive deixado destrancado em um escritório, um computador público não confiável ou alguém olhando por cima de seu ombro. Estas e muitas outras ameaças físicas podem levar à perda ou exposição de informação confidencial.

    Uma avaliação cuidadosa do risco, um esforço consistente para manter um ambiente de computação saudável e uma política de segurança escrita podem ajudar a evitar este tipo de desastre. Mesmo se você não estiver trabalhando com uma organização formal, é uma boa ideia escrever diretrizes e planos de resposta para você e para as pessoas com quem você trabalha.

    O que você pode aprender com este guia

    • Exemplos de ameaças físicas aos seus dispositivos e às informações armazenadas neles
    • Como proteger seu computador e outros equipamentos de algumas dessas ameaças
    • Como criar um ambiente de operação saudável para computadores e equipamentos de rede
    • Uma série de considerações de segurança para sua casa, seu escritório, espaços públicos e outros locais onde você possa trabalhar
    • Uma lista de configurações de software que podem ajudar a proteger seus dispositivos contra ameaças físicas
    • O que levar em consideração ao criar um plano de segurança para seus dispositivos, para você e para as pessoas com quem você trabalha

    Avaliando seus riscos

    Organizações e indivíduos por vezes subestimam a importância de manter seus escritórios e equipamentos seguros fisicamente. Mesmo pessoas que tomam medidas para proteger itens de hardware – como computadores e dispositivos de armazenamento – contra roubos, condições meteorológicas desfavoráveis e outras ameaças físicas muitas vezes não conseguem documentar essas etapas em uma política de segurança por escrito. A formulação de tais políticas pode implicar a participação de diferentes pessoas e sua manutenção pode levar tempo. Contudo, essas atividades são extremamente valiosas, em parte porque ajudam a garantir que os detalhes pequenos, mas importantes não sejam esquecidos.

    Muitas organizações têm fechaduras de qualidade nas portas de seus escritórios, por exemplo, mas muito poucas mantêm uma lista atualizada de quantas chaves foram criadas e para quem foram distribuídas. Os documentos de política são tanto uma forma de chegar a um consenso sobre esses detalhes quanto uma maneira de monitorá-los ao longo do tempo. A fim de criar uma política de segurança útil, você primeiro precisa analisar os riscos e as vulnerabilidades que enfrenta, avaliando as diversas maneiras pelas quais as informações podem ser perdidas ou comprometidas e também considerar seu impacto:

    • Considere os canais de comunicação que você usa e como os utiliza. Exemplos podem incluir cartas, fax, celulares, telefones fixos, e-mails, Skype, redes sociais e plataformas de mensagens seguras, para citar apenas alguns.

    • Pense em como você armazena informações importantes ou sensíveis. Discos rígidos de computadores, servidores de e-mail e web, cartões de memória USB, discos rígidos externos, CDs, DVDs, celulares, papel impresso e notas escritas à mão são todos meios comuns de armazenamento de dados. Em cada caso, verifique se os dados estão ou não criptografados e quem tem acesso às chaves e senhas necessárias para descriptografá-los.

    • Considere onde esses itens estão fisicamente localizados. Eles podem estar no escritório, em casa, na bagagem de alguém, em uma lata de lixo reciclável ou, como é cada vez mais comum, "em algum lugar da Internet". Neste último caso, pode ser bastante desafiador determinar a localização física exata de uma determinada informação.

    • Pense em como você destrói dados sensíveis quando não precisa mais deles. Muitos aparelhos trituram CDs e DVDs tão bem quanto documentos de papel. Várias furadeiras elétricas e martelos funcionam em discos rígidos.

    Tenha em mente que uma determinada peça de informação pode ser vulnerável de diferentes maneiras. Assim como você pode confiar em um software antimalware para proteger de malware o conteúdo de um cartão de memória USB, você deve contar com um plano de segurança física detalhada para proteger estes mesmos conteúdos de roubo, perda ou destruição. Algumas práticas, como ter uma boa política de cópia de segurança em locais externos, são úteis contra ameaças tanto digitais quanto físicas, enquanto outras são mais específicas.

    Quando você decide levar um cartão de memória USB em seu bolso, ao invés de selado em uma sacola de plástico na parte inferior de sua bagagem, você está tomando uma decisão sobre segurança física, ainda que a informação que você está tentando proteger seja digital. Como de costume, a política correta depende muito da situação. Você está andando pela cidade ou atravessando a fronteira? Será que alguém vai carregar sua bolsa? Está chovendo? Estes são os tipos de perguntas que você deve considerar ao tomar esse tipo de decisão.

    Criando uma política de segurança física

    Depois de avaliar as ameaças às quais você pode estar vulnerável, você deve considerar o que está fazendo atualmente - e quais medidas adicionais você pode tomar - para melhorar a sua segurança física e a segurança de suas informações. Discutir estes passos com os outras pessoas, escrevê-los em algum lugar e revê-los de vez em quando é uma boa maneira de manter uma política de segurança detalhada. A maioria das pessoas pensa sobre as políticas de segurança no contexto de uma organização ou um escritório, mas muitos dos mesmos princípios se aplicam a indivíduos, famílias e redes informais.

    Seu documento de política deve fornecer diretrizes gerais para você, para as pessoas com quem você trabalha e, se necessário, para as pessoas recém-chegadas em sua organização. Também deve proporcionar uma lista de ações a serem tomadas em resposta a vários potenciais incidentes. Isto é particularmente importante porque o stress e caos em uma emergência de segurança física podem dificultar uma resposta rápida e adequada. Ter um espaço bem documentado como ponto de partida pode ajudar a prevenir essa espécie de paralisia. Todas as pessoas envolvidas devem ter tempo para ler a política, fazer perguntas, contribuir com ela e implementar as normas e práticas descritas.

    Sua política de segurança possuirá várias seções de acordo com as diferentes circunstâncias. Exemplos são:

    • Uma política de acesso ao escritório abordando a distribuição de chaves, câmeras de vigilância, sistemas de alarme, contratos de limpeza e outras questões.
    • Uma política de visitantes, que inclui quais partes do escritório devem ser restritas a visitantes autorizados.
    • Um inventário do seu equipamento, incluindo números de série e descrições físicas.
    • Uma política de descarte seguro de papéis que contenham informações sensíveis.
    • Uma política sobre como remover informações digitais de dispositivos que não estão mais em uso.
    • Uma política sobre o uso de dispositivos pessoais para o trabalho.
    • Informações sobre acesso a apoio jurídico.

    Sua política provavelmente também abordará práticas relacionadas a viagens. Os exemplos podem incluir:

    • Como interagir com o pessoal de imigração e segurança de fronteira em várias circunstâncias.
    • Políticas de "sistema de companheirismo" para viagens a regiões sensíveis, incluindo o que fazer quando um colega não dá entrada em um local como planejado.
    • Políticas relacionadas a viajar portando dados sensíveis ou softwares que podem ser vistos como incriminatórios.
    • Informações sobre seguro de viagem, se necessário.

    Os procedimentos de emergência podem abarcar:

    • Quem contatar em caso de incêndio, inundação ou outro desastre natural.
    • Como responder a um assalto ou ataque ao escritório.
    • Como entrar em contato com as organizações que prestam serviços como energia elétrica, água e acesso à Internet.
    • Que medidas tomar se um dispositivo for perdido ou roubado.
    • Que pessoas devem ser notificadas se informações sensíveis forem divulgadas ou extraviadas.
    • Como recuperar informações do seu sistema de armazenamento externo.
    • Como executar determinados reparos de emergência.

    Estes documentos de política devem ser armazenados de forma segura, ter cópias de segurança feitas regularmente e ser revisados periodicamente para garantir que eles permaneçam atualizados.

    Protegendo suas informações de intrusos físicos

    Indivíduos maliciosos que buscam acesso às suas informações sensíveis - ou ao valioso hardware onde estas informações estão armazenadas – representam uma ameaça física chave. Há uma série de passos que você pode tomar para ajudar a reduzir o risco de intrusão física. As categorias e sugestões abaixo são apenas uma base; você terá de desenvolvê-la de acordo com seu próprio ambiente de segurança física.

    Arredores de sua casa ou escritório

    As considerações de segurança se estendem para além das salas e edifícios onde você vive e trabalha. Abaixo estão algumas sugestões para ajudar a proteger seus dados contra ameaças na área circundante.

    • Conheça seus vizinhos. O clima de segurança onde você trabalha pode lhe proporcionar duas situações distintas. Se você tiver sorte, seus vizinhos se tornarão aliados que podem ajudar você a manter um olho em sua casa ou escritório. Se não, eles vão se tornar outro item na lista de potenciais ameaças que você precisa resolver.

    • Revise a proteção de suas portas, janelas e outros pontos de entrada para sua casa ou escritório.

    • Considere a instalação de sensores de movimento ou câmeras de vigilância em torno de seu escritório. Este tipo de vigilância tem implicações de privacidade para as pessoas que trabalham dentro de um edifício ou perto dele, mas pode ser uma forma eficaz de capturar as evidências de um assalto ou de um ataque ao escritório, em especial se as câmeras estiverem configuradas para transmitir vídeo a uma localização externa. Estes vídeos devem, naturalmente, ser criptografados, tanto em trânsito quanto em seus locais de armazenamento.

    • Tente criar uma área de recepção onde visitantes possam ser atendidos quando entrarem no escritório e uma sala de reuniões separada do seu espaço de trabalho normal (se você trabalha em sua casa, isto pode exigir que você mova os documentos e os equipamentos para outro cômodo ou para algum espaço privado enquanto se reúne com os visitantes). Evite deixar entradas de Ethernet ou USB acessíveis nas áreas "públicas" do seu escritório. Isso inclui entradas em dispositivos como impressoras, monitores e projetores que estejam em locais onde os visitantes podem ser deixados sozinhos.

    • É importante que você defina uma senha forte em sua rede sem fio para que outras pessoas não possam acessá-la ou monitorar o tráfego. Se o seu Wi-Fi possuir uma senha fraca – ou nenhuma senha – qualquer pessoa em sua zona de alcance é um intruso em potencial. Você pode não pensar nisso como segurança física, mas um invasor capaz de se conectar à sua rede sem fio tem o mesmo acesso que aquele capaz de se esgueirar no seu escritório e conectar um cabo Ethernet. Os passos necessários para garantir a segurança de uma rede sem fio vão depender do seu ponto de acesso, mas você deverá estabelecer uma senha WPA2 e, se necessário, ler o Guia de Táticas sobre como criar e manter senhas fortes.

    • Ao configurar sua rede sem fio, pense em um nome que não a identifique claramente, nem a sua organização e nem a localização do ponto de acesso.

    • Muitos pontos de acesso permitem que você crie uma rede Wi-Fi separada para as visitas. Ao fazer isso, você pode dar acesso de visita para a Internet sem compartilhar sua senha Wi-Fi e sem permitir que visitantes acessem os dispositivos locais quando estiverem por perto.

    • Tenha cautela com qualquer cartão de memória USB que encontrar aleatoriamente. Muitas pessoas se sentem tentadas a conectar dispositivos de armazenamento desconhecidos nos seus computadores para obter pistas da pessoa dona do dispositivo. Infelizmente, esses dispositivos são uma fonte comum de malware. Em alguns casos, eles espalham malware vindo de computadores infectados nos quais foram utilizados anteriormente. Em outros casos, os agressores os criam intencionalmente e "deixam-nos" perto da casa ou do escritório de uma organização ou pessoa alvo.

    Dentro de sua casa ou escritório

    Tanto criminosos quanto atacantes com motivações políticas podem ter razões para fazer de seus dados um alvo. Eles podem estar à procura de informações financeiras, dados sensíveis relacionados ao seu trabalho ou detalhes pessoais que possam utilizar para intimidar, chantagear ou suplantar você. Ataques criminosos e políticos são muitas vezes difíceis de distinguir, e as tentativas de obter informação confidencial comumente se parecem com tentativas de roubo de hardware valioso. Assim, é importante tomar precauções tanto onde você mora quanto onde você trabalha.

    Abaixo há algumas recomendações sobre como proteger seus dados dentro de sua casa ou escritório.

    • Se você mora com outras pessoas ou compartilha um escritório com outra organização, fale com elas sobre segurança. Tente determinar quais comportamentos as pessoas podem esperar umas das outras e das visitas.
    • Considere a compra de um cofre para computadores portáteis ou um armário com tranca para documentos e equipamentos sensíveis.

    • Descubra quais proteções legais que você tem contra agentes estatais, proprietários de imóveis e outras pessoas que podem tentar entrar em sua casa ou escritório.

    • Evite usar cabos Ethernet no exterior do edifício para prevenir que pessoas que não têm a chave possam manipulá-los quando o edifício estiver vazio.

    • Se possível, tranque os equipamentos de rede, como servidores, roteadores, switches e modems, dentro de salas ou armários seguros. Um intruso com acesso físico a esses equipamentos pode instalar malware capaz de roubar dados em trânsito ou atacar outros computadores da sua rede.

    • A maioria dos computadores de mesa tem uma entrada que permite a colocação de um cadeado, dificultando o acesso de qualquer pessoa que não tenha a chave. Você deve considerar essa característica ao comprar o hardware.

    • Use cabos de segurança para trancar seus computadores e laptops sempre que possível, prevenindo roubos.

    • É comum que estejamos cercados de equipamentos como televisores, câmeras, telefones, impressoras, consoles de videogame e outros dispositivos da chamada Internet das Coisas. Em algum nível, todas essas "coisas" são computadores, e vêm com muitos dos mesmos riscos. Hábitos simples e físicos – como cobrir lentes de câmeras e desconectar dispositivos "inteligentes" quando eles não estão em uso – podem ajudar. Mas você deve sempre pensar duas vezes antes de conectar novos equipamentos à sua rede doméstica ou de escritório.

    Em sua mesa ou local de trabalho

    Há uma série de bons hábitos de segurança para o local específico onde você trabalha.

    • Posicione a tela do seu computador para evitar que outras pessoas leiam o que está exibido. Ao fazê-lo, lembre-se de considerar as janelas, portas abertas, áreas de espera para visitantes e outras questões.

    • Considere a compra de filtros de privacidade para seus dispositivos. Os filtros de privacidade dificultam a leitura da tela a menos que você esteja diretamente na frente dela. Esses equimentos estão disponíveis para laptops, monitores externos, tablets e smartphones.

    • Se você trabalha com documentos em papel ou faz anotações físicas, esteja consciente de que a informação está acessível em sua mesa de trabalho. Calendários de papel, agendas, diários, diretórios de endereços e bilhetes adesivos são agradavelmente imunes ao malware, mas eles também são impossíveis de criptografar. Se roubados, copiados ou fotografados, podem revelar informações extremamente sensíveis.

    Em espaços públicos

    Poucas pessoas trabalham exclusivamente em suas casas e escritórios. Abaixo há algumas sugestões relacionadas ao trabalho em espaços públicos:

    • Evite o uso de laptops, tablets e celulares em espaços públicos, a menos que você tenha motivos para acreditar que eles são seguros. E evite colocar esses dispositivos em exposição quando você não estiver utilizando-nos. Considere carregar seu laptop em algo que não se pareça com uma bolsa para laptop.

    • Mantenha com você seus dispositivos móveis, incluindo o seu laptop, em todos os momentos quando você estiver viajando ou ficando em um hotel. Considere viajar com um cabo de segurança e trabalhar perto de espaços nos quais você possa fixar o cabo. Os ladrões muitas vezes aproveitam as refeições e visitas ao banheiro para roubar equipamentos deixados nos quartos de hotel e cafés.

    • Ao trabalhar em público, é ainda mais importante que você tome cuidado com a posição sua tela para que os outras pessoas não possam ler. Se você trabalha em público frequentemente, deve comprar filtros de privacidade para seus dispositivos.

    • Os espaços públicos muitas vezes têm redes sem fio inseguras. Mesmo quando uma senha forte de Wi-Fi foi definida, outras pessoas na mesma rede têm a capacidade de monitorar sua atividade na Internet e ler os dados não criptografados que você envia e recebe. Ao trabalhar em um ambiente como esse, você deve usar uma rede virtual privada (VPN) ou o navegador Tor para evitar ataques. Você pode aprender mais sobre estas ferramentas no Guia de Táticas sobre como permanecer anônimo e evitar a censura na Internet.

    Software e ajustes relacionados à segurança física

    Abaixo há algumas sugestões sobre como configurar seu software para torná-lo menos vulnerável às ameaças físicas. Você pode encontrar mais informações sobre esses tópicos nos Guias de Ferramentas e Táticas apropriados:

    • Garanta que seu computador peça uma senha ao ser reiniciado. Veja o Guia Básico de Ferramentas de Segurança para Windows e Linux para mais detalhes. Escolha uma senha forte, como descrito no Guia de Táticas sobre como criar e manter senhas fortes.

    • Criptografe o armazenamento em todos os seus computadores, tablets e smartphones. Para obter informações adicionais, consulte o Guia de Táticas sobre como proteger arquivos confidenciais no seu computador e sobre como usar smartphones da forma mais segura possível.

    • Se você opera qualquer servidor no seu escritório, trabalhe com seus mantenedores para garantir que as informações sejam criptografadas quando eles estiverem desligados ou desconectados.

    • Adquira o hábito de bloquear a sua tela quando você se afasta do seu computador. Os computadores Windows, Mac e Linux têm atalhos de teclado que permitem que você faça isso de forma rápida e fácil.

    • Ative a tela de bloqueio no seu smartphone para que as pessoas com acesso físico ao seu dispositivo não possam ver facilmente o conteúdo.

    • Há algumas configurações dos BIOS de seu computador que são relevantes para a segurança física. Primeiro, você deve configurar seu computador para que ele não inicie a partir das entradas USB, CD-ROM ou DVD. Em segundo lugar, você deve estabelecer uma senha na própria BIOS, de modo que um intruso não possa simplesmente desfazer essa configuração. Como sempre, certifique-se de que você escolheu uma senha forte.

    • Se você utiliza com um administrador de senhas para lembrar as senhas de acesso e de BIOS para um computador particular, conforme explicado no Guia de Táticas sobre como criar e manter senhas fortes, garanta uma cópia desse banco de senhas em um dispositivo diferente. Caso contrário, você pode se trancar para fora.

    • Se o seu smartphone, tablet ou laptop possui a função "Encontre Meu Dispositivo", considere ativá-la para que você possa localizar o seu dispositivo ou apagar seu conteúdo remotamente em caso de perda, roubo ou confisco.

    Mantendo um ambiente saudável para o seu equipamento

    Os computadores, equipamentos de rede e dispositivos de armazenamento de dados podem ser bastante delicados. O mesmo se aplica às câmeras de circuito fechado de televisão, impressoras, dispositivos "inteligentes" e outros itens de hardware que instalamos dentro e ao redor de nossas casas e escritórios. Dispositivos como estes nem sempre se adaptam bem à energia elétrica instável, temperaturas extremas, poeira, umidade, estresse mecânico e outros riscos.

    Flutuações elétricas, como descargas elétricas, apagões e quedas de energia podem causar dano físico a computadores e outros dispositivos digitais, prejudicando componentes eletrônicos ou destruindo dados em discos rígidos. Há uma série de coisas que você pode fazer para proteger o seu equipamento contra essas ameaças:

    • No mínimo, todos os aparelhos eletrônicos devem estar conectados a protetores contra surtos. Nem todos os filtros de linha contêm protetores contra surtos e, portanto, você deve verificar isso ao equipar sua casa ou escritório. Um protetor contra surto deve especificar uma tensão máxima e uma nível de Joules. Se sua fonte de energia é particularmente instável, você também pode precisar de um filtro de energia ou um condicionador de linha.

    • Se você puder arcar financeiramente com isso, considere a instalação de um Sistema de Alimentação Ininterrompida (em inglês, UPS) ao invés de protetores regulares contra surtos. O UPS estabilizará sua fonte de alimentação e fornecerá energia temporária em caso de apagão. Ele é particularmente valioso para servidores locais e computadores de escritório que não possuem baterias internas.

    • Tente usar tomadas elétricas que tenham linhas terrestres. Ao se mudar para um novo prédio, teste a fonte de alimentação antes de ligar os equipamentos importantes. Caso a fonte se comporte mal com lâmpadas, luzes e ventiladores, você deve pensar duas vezes antes de usá-la para alimentar seus computadores.

    A energia irregular é apenas uma das muitas ameaças ambientais que você deve considerar antes de colocar um espaço em funcionamento. Abaixo há algumas sugestões adicionais:

    • Evite colocar hardware importante em locais de fácil acesso, como corredores, áreas de recepção ou ao lado das janelas. Coloque os protetores contra surtos, UPSs, tomadas múltiplas e cabos de extensão onde eles não se desconectem nem desliguem por um deslize acidental.

    • Quando você encontrar cabos de computador de alta qualidade, protetores contra surtos e tomadas múltiplas, considere pegar alguns adicionais. Filtros de linha que soltam faíscas, caem das tomadas ou não conseguem manter as tomadas seguras são comuns em algumas partes do mundo. Eles também são bastante perigosos (mesmo antes das pessoas tentarem "consertá-los" com fita adesiva).

    • Se você possui um computador funcionando dentro de um armário, certifique-se de que há ventilação adequada para evitar o sobreaquecimento. O equipamento informático não deve ser instalado perto de aquecedores, ar condicionado ou outros serviços de canalização.

    Leitura Adicional