Projeto de Segurança Fisica da Informação

Prévia do material em texto

PROJETO DE SEGURANÇA DA INFORMAÇÃO DE NÍVEL FÍSICO
PHYSICAL LEVEL INFORMATION SECURITY PROJECT
DÓRIA DA SILVA, Tarliso
MARCELO PEREIRA, Bruno
Graduando em Redes de Computadores – META / Macapá
RESUMO
Com certeza você vai concordar que uma empresa tem muitas informações tanto sigilosas quanto públicas, mas tudo deve seguir uma política de segurança, caso contrário esta empresa corre risco de ter essas informações atacadas de várias formas e por qualquer pessoa. Mapear os departamentos delimitando perímetros de segurança é uma forma de definir níveis de segurança, onde cada setor dependendo de suas tarefas realizadas especificamente deverá ter mecanismo que comprovem sua segurança.
Podemos definir a segurança física em níveis que vão do 1 ao 5, conforme aumenta a demanda e importância dessas informações também aumenta seu nível de segurança física, assim temos desde baixa segurança até a máxima segurança. Com os níveis estabelecidos por departamentos, agora é escolhido os mecanismo de segurança que farão de fato estes departamentos seguros quanto ao seu nível de segurança física.
Podem existir níveis de segurança diferentes no mesmo perímetro, como por exemplo um equipamento considerado nível de segurança alta em um departamento com nível de segurança baixa, por estes motivos o profissional de TI deve estar atento a todos os fatores que envolvem a eficácia do serviço, pois não só a qualidade mas também o “destino” da empresa contará com seu conhecimento e suas habilidades na área da Segurança da Informação.
Palavras-chave: Segurança; Informação; Nível; Mecanismo; Empresa; Departamento
ABSTRACT
Surely you will agree that a company has a lot of information both confidential and public, but all should follow a security policy, otherwise this company is at risk of having this information attacked in various ways and by anyone. Map delimiting the security perimeter departments is a way to define security levels, where each sector depending on their specific tasks performed must have mechanism to prove their safety.
We can define the physical security at levels ranging from 1-5, with increasing demand and importance of this information also increases your level of physical security, so we from low security to maximum security. With the levels set by departments, the security mechanism that will actually secure these departments as to their physical security level is now chosen.
There may be different levels of security in the same perimeter, such as an equipment considered high security level in a department with low security level, these IT professional reasons should be aware of all the factors involved in the effectiveness of the service, because not only the quality but also the "destination" of the company will rely on their knowledge and skills in the field of Information Security.
Keywords: Safety; Information; Level; Mechanism; Company; Department.
INTRODUÇÃO
Quando surge a necessidade de compartilhar recursos e informações entre dispositivos processadores através de uma tecnologia, logo pesamos em vários tipos de redes e da vasta opção de recursos que a tecnologia disponibiliza ao nosso alcance, fazendo qualquer pessoa ou empresa estar sempre conectado.
Esta dependência de se conectar e compartilhar tem trazido muitas vantagens no dia a dia das pessoas, empresas, corporações, multinacionais e órgão públicos, a tendência é um aumento expressivo de conexões por busca e compartilhamento de toda e qualquer informação na rede mundial de computadores. Saiba que isto também é um problema, pois assim como cresce o número de informações na rede também cresce o número de ataques a elas por vários motivos que podem chegar a ser catastróficos. 
Mas será que todos que se conectam a uma rede sabem como, quando, onde, se prevenir disso? 
Neste artigo falarei especificamente das medidas de segurança física que uma empresa deve tomar em sua estrutura, o profissional de redes de computadores especialista em segurança deve ter o máximo de atenção e profissionalismo no que diz respeito à segurança física das informações da empresa. O roubo de equipamentos de rede, discos de armazenamento interno e externo, CDs, dispositivos removíveis e muitos outros que podem ser retirados de dentro da empresa, causam muitos problemas para todos que os envolvidos no mesmo espaço físico podendo tomar proporções gigantescas a médio e longo prazo trazendo muito prejuízo financeiro, pois a segurança sempre será uma questão de economia, em muitos casos a aplicação equivocada ou a não aplicação da segurança física a informação resulta em danos irreversíveis para um empresa.
Toda empresa que possui um prédio físico para a realização organizada e sistemática de suas várias atividades internas, certamente, necessitara de uma divisão em departamentos. Os funcionários dos departamentos e colaboradores da empresa podem guardar, compartilhar, editar ou disponibilizar informações que podem ser de interesse interno ou externo da empresa, estes recursos fazem com que cada departamento tenha um nível de segurança física da informação específico.
DEPARTAMENTOS DA EMPRESA
Entrada / Recepção
Área de acesso público, onde acontece a entrada e saída de pessoas comuns aleatoriamente, geralmente em horário de funcionamento da empresa, tendo ou não ligação direta a esta ou a seus funcionários.
A entrada de uma pessoa no prédio através deste departamento origina-se pela necessidade da mesma em obter informações, que em casos de empresas do ramo comercial, compartilham informações de interesse comum de ambas as partes, como por exemplo obtenção de valores de produtos e/ou serviços, status de transações contratuais e obtenção de dados cadastrais.
A necessidade de segurança neste departamento pode variar entre nível 1 e nível 2, dependendo especificamente da forma como serão compartilhadas as informações. Em um caso hipotético onde a empresa em seu início necessitava de uma estação de atendimento e uma secretária operando-a manualmente, certamente com um nível de segurança baixo, para que somente ela e outros funcionários da empresa tenham acesso a estação de atendimento, limitando o acesso indevido por clientes ou outras pessoas. Ainda neste caso hipotético, a empresa atualizou-se tecnologicamente substituindo o trabalho manual elaborado por um funcionário em uma estação por estações de cadastramentos e consultas expressas automatizadas via sistema web com criptografia de senhas de acesso, onde um cliente ou interessado conseguira realizar todas as tarefas de seu interesse com rapidez e eficácia, com isto o acesso torna-se público, descartando a preocupação de acesso público a uma estação onde estavam todas as informações no disco de armazenamento local, pois neste caso as informações estarão em servidores no setor de TI. 
Administração
Considerando que na administração de uma empresa trabalhem funcionários com formação na área e que suas funções correspondem como por exemplo: operar estações de trabalho elaborando documentos de planejamentos e estratégias de gestão administrativa, compartilhar impressoras e acesso à internet para enviar e receber e-mails, este setor entra no nível de segurança física média. Destacando-se a importância de manter seguro as estações de trabalho que podem conter informações administrativas do dia a dia da empresa.
Diretoria
Geralmente a dimensão da diretoria é relacionada ao porte da empresa, neste caso apenas algumas pessoas tem acesso à este setor, estas pessoas são responsáveis por atividades isoladas na empresa como ter acesso a informações importantes nos caso de decisões individuais que visem o crescimento da empresa, tendo somente estas pessoas a chave deste setor limita-se a entrada de qualquer funcionário, porém não se pode considerar um setor máxima segurança física, contudo, a segurança de host é essencial para o computador pessoal dos diretores desta empresa. 
Financeiro
Local de acesso restrito à funcionários deste setor e à diretoria, por conter fluxoinformações sigilosas envolvendo dados e transações bancárias de funcionários, clientes e da própria empresa, bem como alguns tipos de cofres, sendo necessário a manutenção periódica de estações de trabalho, bem como a realização de backups não críticos. 
TI
É onde encontram-se os servidores da rede, como os que fazem backups críticos, pode-se ter acesso as configurações gerais da rede, o simples fato de ativar e desativar o firewall desta rede pode implicar em sérios danos e até mesmo no futuro da empresa caso este setor tenha acesso a pessoas não autorizadas com ou sem conhecimento especifico de redes de computadores. Por esses motivos importantes este setor deve-se enquadrar na política de segurança com um nível máximo de segurança física.
NÍVEIS DE SEGURANÇA
	Antes de sair por ai criptografando, bloqueando com autenticação de senha em estações de trabalho, um profissional de segurança em redes deve fazer um rigoroso levantamento da empresa em busca de informações que o ajudem a controlar a segurança de forma eficaz. Uma das maneiras de se fazer isso é delimitar os perímetros de cada departamento, para então ter um controle de segurança em níveis.
	Pode –se delimitar perímetros de até 5 níveis:
Nível 1 – É a área da empresa de acesso Público, onde qualquer pessoa pode manipular o equipamento para obter informações, como foi falado sobre o caso hipotético do tópico 2.1 deste artigo, aplicando-se ao departamento de Entrada/Recepção.
Nível 2 – Considerado como Baixa Segurança, pois o perímetro limita-se à estações de atendimento como a de uma secretaria que trabalha na recepção.
Nível 3 – Média Segurança utilizada em departamentos que necessitam de uma atenção como estações de trabalhos de usuários ondem realizam-se tarefas especificas e confidenciais, podendo ser feito backups do dia a dia para um eventual transtorno onde necessite a recuperação rápida de informações, este nível adequa-se perfeitamente ao departamento de Administração da empresa.
Nível 4 – Alta Segurança, o departamento Financeiro sem dúvida necessita desse tipo de nível, por razões bem explicitas, este perímetro exige um mecanismo diferenciado de segurança e limitação de acesso até mesmo para alguns funcionários da empresa.
Nível 5 – Máxima Segurança, este nível destina-se a departamentos voltados a especifica segurança de fato da informação, que envolvem servidores, datacenters, backups críticos entre outros. Nesse perímetro encontrasse a segurança restrita com mecanismo de acesso limitados a profissionais de redes especialistas em segurança, na empresa aplica-se ao departamento de TI.
Figura 2 – Planta baixa da empresa fictícia, Níveis de Segurança
Fonte: DORIA DA SILVA, Tarliso. 2016
MECANISMOS DE SEGURANÇA
	Na entrada do prédio não se faz necessário um mecanismo de alta segurança, porém, a divisão entre a recepção e os outros departamentos levanta a ideia de externo e interno da empresa, com isso esta divisão deve conter um parede com uma porta que automaticamente trava ao ser fechada, destravando apenas com um botão que ficará no interior depois da porta sendo acionado manualmente por funcionários.
Este mecanismo evita a entrada de pessoas desconhecidas no interior da empresa onde pode se ter acesso a outros departamentos, dessa forma será controlada a entrada e saída de funcionários, que para entrar serão identificados por um funcionário especifico de monitoramento de segurança através das câmeras de segurança da recepção.
No departamento de administração a segurança fica determinada por um nível médio, onde precisa manter seguro as estações de trabalho, nesse caso janelas com grades, portas com trancas e travas para que somente funcionários deste departamento tenha sua cópia da chave da porta.
A Diretoria necessita de alta segurança, assim todas as janelas tem grades, a sela tem sensores de movimento, a entrada a este departamento é limitado exclusivamente aos diretores a qualquer hora do expediente, com isso cada diretor(a) deve passar um cartão magnético no mecanismo de segurança da porta que lê as informações para autorizar a entrada especifica desta pessoa.
Departamento que guarda além de informações da empresa como também informações de clientes e funcionários, se tratando de informações físicas como documentos, cheques e até mesmo dinheiro, o financeiro da empresa também conta com mecanismo de cartão magnético na porta de entrada e possui um cofre com combinações digitais.
A máxima segurança de um departamento deve ser bem elaborada, o departamento de TI deve conter mais de uma porta, onde a primeira tem tranca e a segunda tem mecanismo de cartão magnético com criptografia biométrica, onde apenas o profissional de TI terá acesso com sua própria e única chave e sua própria impressão digital. Como e trata do centro de informações, ou seja, onde tudo relacionado a empresa está salvo em equipamentos como servidores este departamento não deve ter janelas, e sim uma ótima refrigeração e alarmes com sensores de movimento, câmeras de segurança e sensores anti-incendio. 
REFERÊNCIAS
CARVALHO, Luciano Gonçalves de – Segurança de Redes - Editora: CIENCIA MODERNA-2005