Segurança da Informação


Segurança Física: parecer o que se é.

Segundo o filósofo francês Guy Debord em seu livro A Sociedade do Espetáculo, a humanidade viveu três momentos distintos até agora: no primeiro momento, “ser” era coisa mais importante, e assim, o homem buscou sua transcendência através da filosofia, da arte e da religião. Depois, com a revolução industrial, o verbo “ter” passou para o primeiro plano e o consumismo se acentuou; o homem passou, ainda mais, a cobiçar e a desejar “coisas” como forma de satisfação pessoal. Agora vivemos o que Debord chamou de espetáculo e a ordem do dia é APARENTAR. A sociedade das aparências em que o valor das pessoas e coisas se mede pela aparência e não exatamente pela sua utilidade para nossas vidas.

Aparentar é uma coisa importante hoje em dia. Me recordo agora de um comercial de jeans que pregava o seguinte slogan: o mundo trata melhor que se veste bem. Não deixa de encerrar um pouco de verdade. Quando éramos adolescentes sempre queríamos saber somente das meninas mais bonitas e não as mais simpáticas ou as mais inteligentes. Com tempo a gente cresce e aprende que apesar do que disse Vinícius de Moraes sobre a beleza ser fundamental, aquele outro dito popular, o que afirma que a beleza não põe mesa, tem lá sua sabedoria.

Mas o nosso foco aqui é segurança da informação e aparentar cuidado com a segurança é mesmo fundamental para encantar um cliente. Quando ele visita uma empresa, principalmente se esta empresa vai manipular informações relativas ao seu negócio, é importante que ele perceba, desde o início, a preocupação com a segurança. Deve-se demonstrar que há um sistema eficiente de identificação e controle de visitantes que devem estar sob a responsabilidade e supervisão de um funcionário; sempre escoltados durante toda a visita. Os crachás de visitantes só devem dar acesso para o andar a que se destina a visita e todos os colaboradores devem ser instruídos a interpelar qualquer pessoa não identificada assim que notar que esta está sozinha dentro dos corredores da companhia.

As áreas de uso comum devem ser monitoradas por câmeras de circuito interno e seus registros devem ser retidos por tempo determinado para, caso seja necessário, ser utilizado com evidência.

Outras áreas como os CPDs, aonde informações importantes ou “sensíveis” estejam sendo processadas devem ser isoladas por perímetros de segurança (veja seção 9 da norma ISO17799) e o controle acesso deve ser feito através de mecanismos de autenticação como code-ins ou finger. Para essas áreas é necessário ficar atento também aos controles ambientais (umidade, temperatura) bem como para supressão e detecção de incêndios (detectores de fumaça, sprinklers, extintores adequados ao tipo de incêndio).

Dependendo da natureza de serviço a ser prestado pela sua empresa, deverá haver fontes alternativas de energia (duas subestações fornecedoras), no breaks e geradores (com combustível suficiente) ligados em linha de forma a evitar que quedas inesperadas de energia possam prejudicar o seu cronograma de entregas. Deve-se ter um bom sistema de aterramento da instalação.

Outro ponto a ser considerado é que a grande maioria dos roubos bem sucedidos de informação começam pelo uso de Engenharia Social, ou seja, ações que não necessariamente envolvem o uso de computadores. Observação das rotinas, pesquisas nos lixos de sua companhia, um telefonema aparentemente inofensivo podem ser a chave para um ataque bem sucedido. Assim devem haver evidências que a sua empresa se preocupa em conscientizar seus funcionários.

Aproveite para marcar pontos para sua empresa e use a segurança da informação como diferencial competitivo para seus negócios.

Carlos Santanna - Security OfficerCarlos Santanna é certificado BS7799 Lead Auditor pelo DNV e trabalha como Security Officer de uma multinacional e anda meio cético.
carlos.santanna@internativa.com.br