Segurança Física

Profissionais de InfoSec geralmente possuem a pré-disposição para analisar a segurança quase que exclusivamente do ponto de vista lógico/digital. No entanto a Segurança da Informação permeia todas as áreas, incluindo a segurança física.

Da mesma forma que controles devem ser dispostos em um ambiente informático, o programa de segurança institucional também deve abordar requisitos para medidas de controle físico (mundo real). Um profissional de InfoSec deve ser habilitado a compreender essa necessidade de realizar alguns apontamentos para diminuir riscos identificados e verificar entre os riscos aqueles que possam ter impacto em outras vertentes do negócio. Ou seja, verificar riscos que possam prejudicar a disponibilidade, confidencialidade e integridade da organização.

Segurança lógica sem pensar na segurança física poderá ser perda de tempo, já que um atacante com tempo suficiente com acesso físico ao ambiente poderá comprometer o ambiente. Segue a seguir alguns exemplos de ameaças físicas que devem ser consideradas:

  • Ameaças ambientais: enchentes, terremotos, tempestadas e tornados.
  • Ameaças no sistema de suprimento: sistema de suprimento de energia, interrupção nas comunicações e/ou interrupção de outros recursos necessários, como água, gás e por ai adiante. A ISO 28000 pode apoiar na organização em medidas para melhor controle da cadeia de fornecedores.
  • Ameaças por pessoas: acesso não autorizado, explosões e outros tipos de ações realizadas por pessoas de forma intencional ou não. As ameaças podem ser também do tipo vandalismo, fraude ou roubo.
  • Ameaças com motivações políticas: manifestações, desobediência civil, ataques terroristas e bombas.

Conforme apresentado, existem diversos tipos diferentes de ameaças que podem causar impacto ao negócio e às pessoas. Quando se pensa em segurança física a prioridade deve ser sempre a vida humana.

Bons programas de segurança ajudam a elaborar planos de segurança física que possuam bom balanço entre segurança das pessoas e medidas de segurança efetivas. Um exemplo é uma porta para impedir acesso não autorizado. Essa porta deve funcionar de forma diferente em caso de necessidade de saída em uma emergência e permitindo retardar o acesso não autorizado mas deve permitir com que todos possam sair em caso de emergência.

Segurança Multicamadas

Os controles de segurança física devem atuar em multicamadas. Reparem que uma porta foi descrita como um controle para retardar o acesso. E não de impedir o acesso. Um criminoso com tempo e experiência poderá, em algum momento, abrir a porta. Em um sistema multicamadas, se uma camada falhar, haverá outros controles que restringirão o acesso.

As camadas devem ser implementadas do perímetro externo até ao ativo que se deseja garantir maior nível de segurança. Cada camada deve possuir uma função o mais simples possível para ser mais efetiva.

Planejamento de Segurança Física

Um programa de segurança física apenas será efetivo e com relação compatível de custo e benefício se o valor dos ativos a serem protegidos for conhecido. Para tanto, um programa efetivo de segurança deverá ser precedido de uma análise de impacto ao negócio, BIA (Business Impact Analysis), que norteará os requisitos de segurança necessários.

Uma vez realizado o BIA, e isso é aplicável tanto para planos de segurança física quanto segurança lógica, um modelo de ameaças auxiliará na identificação dos possíveis riscos, vulnerabilidades, ameaças, agentes e alvos possíveis.

Na concepção do plano para implementação do sistema de segurança física, de um site ou fábrica, o valor dos ativos e o nível de aceitação de risco (geralmente associado a leis e regulações) que determinarão o investimento nos controles. E não menos importante, deve-se levar em consideração que segurança física é uma combinação de pessoas, processos, procedimentos, tecnologia e equipamentos. O programa precisa ser metódico.

O perfil da instituição e quem poderia ter interesse em prejudica-la apoiam na modelagem das ameaças e na definição do que seria necessário para sua proteção.

Ameaças

As ameaças podem ser de dois tipos: internas ou externas. Para ambos os tipos de ameaças possivelmente requererão sistemas de segurança multicamadas. Seguem exemplos de cada um dos tipos de ameaças:

  • Ameaças internas: falha tecnológica dos controles de segurança, incêndios ou colaboradores que possuam íntimo conhecimento da infraestrutura de segurança e que possam querer prejudicar a organização.
  • Ameaças externas: agentes externos que possuam propósito em afetar o negócio (terrorismo, por exemplo), ativistas políticos, ladrões.

Conformidade

O programa de segurança deve ser construído com base nas ameaças e no valor do negócio e, além disso, trazer conformidade aos seguintes tipos de políticas da própria organização:

• Regulatório: a cada mercado de atuação das empresas existem regulações específicas do mercado. Segmentos específicos de mercado poderão possuir, determinados por uma entidade externa, a necessidade de atendimento de certos requisitos de segurança física. Exemplo: portas corta-chamas para acesso ás escadas de incêndio em edifícios, requisito dos bombeiros da cidade.
• Procedimental: uma política de segurança que adverte aos empregados sobre como proceder ou não proceder dentro da organização. Geralmente são definições disseminadas através de treinamentos aos colaboradores. O programa de segurança deve levar em consideração quais procedimentos e manuais existem e se adequar a esses, ou modificar os normativos para a nova realidade.
• Instrutiva: tipo de política que instrui aos colaboradores qual a postura da organização diante alguns tópicos, como relacionamento com parceiros, qual o papel das diretrizes estratégicas da empresa no trabalho dos funcionários. Uma empresa pode ter a política de “portas abertas” para pessoas de fora, então o programa de segurança deverá planejar em controles para essa situação.

Além do modo de operação através dos itens anteriormente descritos, uma organização deverá levar em consideração também normas e padrões externos que forneçam guidelines, padrões, baselines e procedimentos aplicáveis ao seu contexto da organização.

Controles

Existem diversos tipos de controles para apoiar a segurança física das corporações. A seguir os principais tipos de controles e exemplos:

  • Prevenção ou redução de crimes através de dissuasão: cercas, guardas, avisos e alertas. O propósito não é necessariamente evitar a realização do comprometimento da segurança, mas desestimular a ocorrência do evento e minimizar o risco.
  • Redução de danos através de mecanismos de retardo: fechaduras, barreiras, portas. Barreiras dessa natureza podem ser sempre transpostas, porém retardarão o criminoso.
  • Detecção ou interrupção de crimes: detectores de fumaça, detectores de movimento, CFTV, cercas PIDAS (Perimeter Intrusion Detection and Assessment Systems) que não apenas atuam como dissuasão e retardo, mas avisam em caso de comprometimento do perímetro.
  • Avaliação de incidentes : resposta dos guardas na detecção de incidentes. Geralmente é uma equipe de segurança que atua, diante determinada situação, na identificação da melhor forma de atuar como contra-medida.
  • Procedimentos de respostas: mecanismos de supressão de fogo, procedimentos de respostas em emergências, contato com polícia ou outro meio de atendimento à lei.

Técnicas de Controle

Existem algumas técnicas de como projetar ambientes seguros que podem reduzir a ocorrência de crimes através da forma como afetamos o comportamento humano. Descreverei rapidamente os métodos CPTED e o Target-hardening.

CPTED

Na década de 60 o CPTED (Crime Prevention Through Environmental Design) foi desenvolvido a partir da análise de como os crimes eram realizados e os ambientes envolvidos. CPTED é utilizado desde então não apenas para auxiliar no desenvolvimento de programas de segurança física, mas para melhor projetar bairros e até cidades. Traz um conjunto de diretrizes (micro e macro) agrupadas em três princípios:

  • Controle de acesso natural: reforço que guia as pessoas a utilizarem dos locais adequados para realizar o acesso permitido. Podem ser desde um conjunto de jardins que guiam as pessoas através dos caminhos esperados até os locais de entrada e saída do edifício ou pequenos postes que iluminem as passarelas e também servem de obstáculos para veículos não acessarem calçadas.
Related image
Fonte: https://innersydneyvoice.org.au/magazine/preventing-crime-through-better-design-2/
  • Vigilância natural: permitir com que os locais possuam amplo espectro de visão, dissuadindo potenciais criminosos em realizar crimes, já que estarão visualmente expostos. Esse tipo de controle pode ser desde um conjunto de escadas vazadas até bancos em uma praça, estimulando com que as pessoas vigiem umas as outras.
Fonte: https://twitter.com/peelpolicemedia/status/826407831293272065
  • Reforço natural de território: a proposta desse princípio é expandir a sensação de influência da organização, aumentando a sensação de que o local é cuidado por alguém ou uma organização. Auxilia em embutir nas pessoas que trabalham ou moram no local a vontade em manter o ambiente seguro, seja porque as pessoas se sentem orgulhosas do local ou por enaltecer um espírito de comunidade.
Fonte: https://twitter.com/SalinasCPTED/status/1010393641179758592

Target-Hardening

Target-Hardening ou simplesmente chamado de hardening é um termo utilizado para reforçar a segurança de edifícios e sites de forma a proteger contra ataques ou reduzir o risco de roubo. A forma tradicional de implantação desse tipo de conceito é através de fechaduras, alarmes, câmeras de vídeo, detectores de aproximação, entre vários controles dissuasivos e de retardo. Geralmente essa abordagem tradicional é associada junto ao CPTED para auxiliar a criar um ambiente mais seguro para as organizações. Na etapa de Design novos controles e contramedidas serão propostos.

Métricas e Indicadores

Como qualquer programa de segurança, é possível identificar os benefícios e efetividade do programa apenas de uma análise da performance dos mecanismos adotados. Com isso é possível identificar os resultados da aplicação dos controles previstos no programa e propor melhorias ao ambiente. Segue a seguir uma lista não exaustiva de itens para serem monitorados e auxiliar na identificação da performance do programa de segurança:

  • número de crimes ocorridos com sucesso
  • número de interrupções bem sucedidas
  • número de crimes sem sucesso
  • número de interrupções não sucedidas
  • tempo entre a detecção, avaliação e procedimentos de resposta
  • impacto ao negócio devido às interrupções
  • número de detecções falsas-positivas
  • tempo gasto pelo criminoso para transpor os controles
  • tempo gasto para restaurar o ambiente após um incidente
  • perda financeira de um crime com sucesso
  • perda financeira de uma interrupção bem sucedida

Design do Programa de Segurança Física

Para a definição dos controles e contramedidas que serão necessários, os seguintes pontos devem ser investigados através de pesquisas e entrevistas com vários empregados:

  • Identificar quais estratégias do CPTED podem ser aplicáveis para a dissuasão dos criminosos.
  • Quais são os materiais utilizados na construção de paredes e teto do local a ser protegido.
  • Como funciona o sistema de distribuição de energia (acessos, fornecedores).
  • Quais os tipos de meios de comunicação (cabos, fibras, telefone) são utilizados e como se dá o uso.
  • Existem locais de armazenamento de materiais perigosos próximos ao local.
  • Existem outros elementos ao redor do local que também devem ser considerados:
    • Topografia
    • Aeroportos próximos, rodovias e ferrovias
    • Potencial interferência eletromagnética de equipamentos externos
    • Clima
    • Solo
    • Barreiras, câmeras e cercas próximas
    • Atividades operacionais que façam uso de materiais físicos próximos
    • Atividade de veículos
    • Vizinhos

Uma vez realizado esse levantamento, deverão ser avaliados, de acordo com as métricas citadas, como está a performance de segurança física. Outros itens além dos citados podem fazer sentido para certas organizações e devem ser considerados. A lista anterior não é exaustiva mas apenas uma referência de dados úteis para iniciar a compreensão de como está a segurança do ambiente e correlacionar com a infraestrutura existente.

O importante nesse ponto é a compreensão de como atualmente está implantada a segurança e ambiente da empresa. É importante com que a equipe verifique a rotina do local, de forma a identificar potenciais vulnerabilidades e determinar como o local é protegido atualmente. Verificar o que está implementado e o que está escrito na política atual. Qualquer divergência ou omissão deverão ser anotados para posteriormente ser proposto.

A partir desse ponto deve iniciar a estruturação, geralmente a partir de um framework, para realizar o design dos controles e contramedidas necessárias. A figura a seguir descreve de forma simples as etapas já descritas até o momento para a implantação ou melhoria de um programa de segurança física.

Fonte: tradução de imagem retirada de CISSP All-in-One Exam Guide 8ª Edition

A etapa de design de um programa de segurança, com as possibilidades usualmente utilizadas de controles e contramedidas, deverá ser abordada em tópico específico (publicação futura, talvez), de forma a melhor organizar o conteúdo deste artigo.

Referências

CISSP All-in-One Exam Guide 6ª Edition

CISSP All-in-One Exam Guide 8ª Edition

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *