2. Como proteger seus dados de ameaças físicas

Índice

...Loading Table of Contents...

    <p> Não importa quanto esforço seja colocado na construção de uma barreira digital em volta de um computador. Você ainda pode acordar um dia e descobrir que a máquina foi roubada, perdida ou danificada, fruto de mera falta de sorte ou da atuação de pessoas mal intencionadas.

    Fatos prosaicos como uma queda de energia, uma janela aberta ou um café derramado podem levar a situações nas quais não seja mais possível usar o equipamento e todas as informações contidas ali sejam perdidas. Uma análise cuidadosa de riscos, esforços consistentes para manter um ambiente de uso adequado às máquinas e uma política de segurança escrita podem ajudar a evitar esse tipo de desastre.

    Pano de fundo

    Shingai e Rudo são um casal que possui muitos anos de experiência em ajudar a população infectada por HIV no Zimbábue a ter acesso a medicamento. Estão em busca de um fundo para comprar novos computadores e equipamento de rede para a organização. Como vivem em uma região bastante turbulenta em termos políticos e de infraestrutura, querem ter certeza que as novas aquisições estarão seguras. Não apenas de hackers ou vírus, mas de serem apreendidas, afetadas por tempestades de raios, picos de energia e outros desastres. Para elaborar um plano de ação e reforçar a segurança física dos aparelhos, pedem ajuda a Otto, um técnico local.

    O que aprender deste capítulo

    • Mais sobre algumas das ameaças físicas a seu computador e às informações nele armazenadas
    • Como melhor assegurar os aparelhos contra algumas dessas ameaças
    • Como criar um ambiente adequado para o uso de computadores e equipamento de rede
    • O que considerar ao criar um plano de segurança para as máquinas de sua organização

    Como avaliar riscos

    Muitas organizações subestimam a importância de manter seus escritórios e equipamentos seguros fisicamente. Como resultado, costumam não ter uma política clara que descreva quais medidas devem ser tomadas para proteger computadores e dispositivos de cópias de reserva (backup) de roubo, condições extremas do clima, acidentes e outras ameaças físicas.

    A importância de tais políticas pode parecer óbvia, mas formulá-las de forma adequada pode ser mais complicado do que parece. Muitas instalações, por exemplo, podem ter bons cadeados para trancar as portas; podem ter até janelas com grade. Porém, caso não tenham controle do número de chaves criadas e quem está com as cópias, os dados sensíveis continuam vulneráveis.

    Shingai: Queremos colocar um resumo da nossa política de segurança ao requerer o fundo, mas também precisamos ter certeza que a política em si é forte. O que devemos incluir nela?

    Otto: Sinto muito, mas não posso recomendar uma solução genérica a todos os problemas da segurança física. Os detalhes de uma boa política quase sempre dependem das características particulares de uma organização. Mas aí vai uma dica geral: quando estiver elaborando um plano, observe o ambiente de trabalho de forma cuidadosa e pense de forma criativa onde pode haver pontos fracos e como fazer para reforçá-los.

    Ao avaliar os riscos e vulnerabilidades que você ou a sua organização enfrentam, considere onde os dados podem ser ameaçados em vários níveis diferentes.

    • Considere quais são os canais de comunicação usados e como são usados. Exemplos podem incluir cartas de papel, fax, telefones e telefones celulares, e-mail e mensagens de Skype.

    • Considere como se guardam as informações importantes. Possibilidades comuns são: discos rígidos de computadores, e-mail e servidores na rede, pen drives ou cartões de memória, HDs externos USB, CDs e DVDs, telefones celulares, material impresso e anotações escritas.

    • Considere onde tais itens estão localizados, fisicamente. Podem estar em um escritório da organização, em casa, em uma lata de lixo nos fundos ou, cada vez mais comum, 'em algum lugar da internet'. Neste último caso, pode ser particularmente difícil determinar o local físico real atual de determinada informação.

    Tenha em mente que a mesma informação pode ser vulnerável em níveis diferentes. Assim como você pode confiar em um programa antivírus para proteger o conteúdo de um pen drive ou cartão de memória USB de malware, deve fiar-se em um plano detalhado de segurança física para proteger a mesma informação de roubo, perda ou destruição. Embora algumas práticas de segurança, como ter uma boa política de cópias de reserva (backup) em locais distintos, sejam úteis tanto contra ameaças físicas como digitais, outras são claramente mais específicas.

    Quando você decide levar um pen drive ou cartão de memória USB no bolso ou lacrado em uma bolsa plástica no fundo da mala, está tomando uma decisão relacionada a segurança física, mesmo que a informação a qual busque proteger seja digital. Como sempre, a política correta depende muito da situação. Você vai até o outro lado da cidade ou vai cruzar a fronteira de um país? Alguém mais vai ter contato com a sua bagagem? Vai chover? Essas são perguntas típicas a se fazer ao tomar tal decisão.

    Como proteger dados físicos de pessoas sem autorização

    Pessoas mal intencionadas querendo ter acesso a dados sensíveis representam uma classe importante de ameaça física. Seria um erro assumir que essa é a única ameaça à segurança de seus dados, mas seria uma falta de visão ainda maior ignorar que ela existe.

    Há vários passos possíveis que ajudam a reduzir o risco de intrusão física. As categorias e sugestões abaixo, a maioria das quais pode se aplicar tanto à casa como a seu local de trabalho, são uma base sobre a qual se deve construir de acordo com a característica particular de cada situação.

    À volta das instalações

    • Conheça a vizinhança. Dependendo do clima de segurança no bairro, cidade ou país, acontecerá uma das duas alternativas. Ou você poderá fazer alianças com as pessoas próximas para ajudarem a ficar de olho nas instalações, ou poderá adicioná-las à lista de possíveis ameaças a serem consideradas no plano de segurança.

    • Revise como portas, janelas e outros pontos de entrada às instalações estão protegidos.

    • Considere instalar câmeras de segurança ou alarmes sensores de movimento.

    • Tente criar uma recepção onde seja possível encontrar visitantes sem entrar nos escritórios e salas de reunião separadas das áreas internas de trabalho.

    Na parte interna das instalações

    • Mantenha os cabos de rede na área interna das instalações.

    • Tranque equipamentos de rede como servidores, roteadores, switches, hubs e modems em quartos ou gabinetes seguros. Alguém sem autorização com acesso físico a tais dispositivos pode instalar malware capazes de roubar dados em trânsito ou atacar outros computadores da rede mesmo depois de sair das instalações. Em algumas ocasiões, pode ser bom esconder servidores, computadores ou outros aparelhos em sótãos, tetos falsos ou mesmo em um vizinho, e usar redes sem fio para acessá-los.

    • Se você tem uma rede sem fio, é crítico assegurar o seu ponto de acesso de modo a impedir pessoas não autorizadas de entrar na rede ou monitorar o tráfego. Ao usar uma rede não segura sem fio, qualquer indivíduo com um laptop torna-se um intruso potencial. Essa é uma definição pouco usual de 'físico', mas ajuda a entender que uma pessoa mal intencionada capaz de monitorar a sua rede sem fio possui o mesmo acesso de alguém que invadiu fisicamente o local de trabalho e conectou um cabo de rede. Os passos para manter uma rede sem fio segura variam, dependendo do hardware e software do ponto de acesso, mas raramente são difíceis de seguir.

    No local de trabalho

    • Avalie com cuidado o lado para o qual a tela de seu computador fica virada, tanto quando você está na mesa como quando deixa o local de trabalho. Isso evita que outras pessoas leiam o que está sendo exibido. Considere onde estão as janelas, portas abertas e a área de espera para visitas, caso tenha uma.

    • A maioria dos gabinetes de computadores Desktop tem um lugar na parte de trás onde é possível usar um cadeado para impedir que alguém o abra. Se você tem gabinetes assim no local de trabalho, tranque-os. Também considere esse fator ao comprar novas máquinas.

    • Use um cabo de segurança sempre que possível para evitar que os aparelhos sejam levados. Isso é especialmente importante para laptops e pequenos Desktops que poderiam ser escondidos em uma mochila ou sob um casaco.

    Software e configurações relacionadas a segurança física

    • Faça com que, ao ser iniciado, o computador peça por uma senha antes de permitir rodar programas e acessar arquivos. Você pode habilitar essa função no Windows clicando no menu Iniciar, selecionando Painel de Controle e clicando duas vezes em Contas de Usuários. Na tela de Contas de Usuários, selecione sua própria conta e escolha Criar uma Senha. Crie uma senha segura, da forma discutida no Capítulo 3: Como criar e manter senhas seguras. Informe-a, confirme, clique em Criar Senha, clique em Sim, Tornar Senha Privada.
    • Há algumas configurações na BIOS do computador que são relevantes para a segurança física. Primeiro, configure a máquina para que não dê boot a partir de pen drives ou dispositivos USB, CD-ROM ou DVD. Segundo, habilite uma senha para a própria BIOS, para que alguém não desfaça a mudança anterior. Mais uma vez, crie uma senha segura.
    • Caso você opte por usar uma base de dados segura de senhas para armazenar as senhas de Windows ou BIOS de um computador, como discutido no Capítulo 3, assegure-se de não manter a única cópia do banco de dados naquela mesma máquina.
    • Crie o hábito de bloquear sua sessão sempre que sair da frente da tela. No Windows, é possível fazer isso segurando pressionada a tecla com a logomarca do Windows junto com a tecla L. Isso só funcionará caso uma senha para a conta de usuário tenha sido criada, como descrito acima.
    • Criptografe as informações sensíveis em computadores e dispositivos de armazenamento de seu local de trabalho. Veja o Capítulo 4: Como proteger os arquivos sensíveis do seu computador para mais detalhes e indicadores aos Guias Práticos relacionados.

    Rudo: Tenho um pouco de medo de mexer na BIOS. Posso quebrar o computador se fizer algo errado?

    Otto: Sim, claro, mas apenas por alguns instantes. Na verdade, as alterações que você vai fazer são bem simples, mas sei que a tela da BIOS pode ser intimidante e é possível deixar a máquina impossibilitada de iniciar caso faça algo errado. Mas se você sentir muito desconfortável em mudar a BIOS, peça a alguém com mais experiência em computadores para te ajudar.

    Equipamentos portáteis

    • Mantenha o laptop, telefone celular e outros equipamentos portáteis que carreguem informações sensíveis com você a todo o momento, especialmente se estiver viajando ou ficando em um hotel. Viajar com um cabo de segurança para laptops pode ser uma boa ideia, embora às vezes seja difícil encontrar um objeto apropriado onde prendê-lo. Lembre-se que pausas para refeições costumam ser aproveitadas para roubos, pois são bons momentos para encontrar aparelhos sozinhos nos quartos.
    • Caso tenha um laptop, tablet ou outro dispositivo móvel, evite exibi-los em público. Não é preciso anunciar a pessoas mal intencionadas que você carrega um aparelho valioso ou cheio de informações valiosas. Evite usá-los em áreas públicas e considere levar o laptop em algo que não pareça uma bolsa ou mala para laptops.

    Como manter um ambiente adequado ao uso de computadores

    Como todo aparelho eletrônico, computadores são bastante sensíveis. Eles não se adaptam bem a fornecimentos instáveis de energia, temperaturas extremas, pó, alta umidade ou esforço mecânico exagerado. Há várias coisas que você pode fazer para proteger máquinas e equipamentos de rede dessas ameaças:

    • Problemas elétricos como picos de energia, apagões e quedas de fase podem causar danos a computadores. Também podem arruinar os discos rígidos (HDs), danificar as informações neles contidas ou outros componentes eletrônicos da máquina.

      • Se puder, compre fontes de alimentação ininterrupta (no-breaks) para as máquinas mais importantes do escritório. Um no-break estabiliza o fornecimento de energia e mantém o computador funcionando por um breve período de tempo no caso de falta súbita de luz.

      • Se no-breaks forem muito caros ou inapropriados, use filtros ativos de potência ou estabilizadores. Ambos ajudam na proteção de quedas de energia.

      • Teste a rede elétrica antes de conectar equipamentos importantes. Tente usar tomadas com três entradas, sendo uma delas o 'terra'. Se possível, reserve um ou dois dias para ver como o sistema elétrico de um novo escritório se comporta ao alimentar aparelhos mais baratos, como lâmpadas e ventiladores, antes de colocar os computadores em risco.

    • Para se defender de acidentes em geral, evite colocar equipamentos importantes em passagens, áreas de recepção ou outros locais de fácil acesso. Estabilizadores, filtros de potência, filtros de linha, no-breaks e cabos de extensão, em particular os que estão ligados em servidores e equipamentos de rede, devem ser posicionados onde não serão desligados por um tropeço acidental.

    • Se você tem acesso a cabos de computador, filtros de linha e cabos de extensão de boa qualidade, compre o suficiente para todo o local de trabalho, mais alguns extras. Encaixes que caem das paredes, não seguram os plugs direito ou soltam faíscas não são apenas irritantes. Podem danificar tudo o que estiver conectado a eles. Também podem levar alguém a tentar fixar os cabos soltos usando fita adesiva, criando um perigo real de incêndio.

    • Se você mantém computadores em locais fechados, faça com que tenham ventilação adequada, ou podem superaquecer.

    • Equipamentos de informática não devem ser abrigados próximos a radiadores, aquecedores, ares-condicionados ou quaisquer outros tipos de duto.

    Como criar uma política de segurança física

    Uma vez levantadas as ameaças e vulnerabilidades enfrentadas, pense nos passos a serem dados para melhorar a segurança física de sua organização. Eles devem ser declarados por escrito de forma detalhada em uma política de segurança, um documento que servirá de guia geral para você, colegas e quem mais entrar no grupo, no futuro.

    A política de segurança também deve conter um passo-a-passo de quais ações tomar no evento de diferentes emergências. Quem estiver envolvido com a organização deve separar um tempo para ler, implementar e estar em dia com as normas, e as pessoas também devem ser encorajadas a fazer perguntas e propor sugestões sobre como melhorá-las.

    Sua política de segurança física pode conter várias seções, dependendo das circunstâncias:

    • Uma política de acesso às instalações que mencione os sistemas de alarme, quais chaves existem e quem as tem, quando são permitidas visitas aos locais de trabalho, quem faz a limpeza e questões similares

    • Uma lista de quais áreas no local de trabalho devem ser restritas apenas a visitantes com autorização

    • Um inventário de equipamento, incluindo números de série e descrições físicas

    • Um plano de descarte seguro para lixo de papel que contenha informações sensíveis

    • Procedimentos de emergência relacionados a:

      • Quem avisar caso sejam acessadas ou perdidas informações sensíveis

      • Quem avisar no caso de incêndio, enchente ou outro desastre natural

      • Como executar alguns serviços de emergência relacionados a chaves

      • Como entrar em contato com fornecedores de energia, água e internet

      • Como recuperar dados do sistema de reserva (backup) localizado fora das instalações principais. Você pode ver mais informações sobre backups no Capítulo 5: Como se recuperar da perda de informações.

    Sua política de segurança deve ser revista periodicamente e modificada de modo a refletir quaisquer mudanças de procedimento realizadas desde a última revisão. E, claro, não se esqueça de deixar uma cópia de reserva (backup) junto com outros documentos importantes.

    Leitura extra