UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco Plano de Contingência

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco Plano de Contingência

SEGURANÇA FÍSICA - Introdução A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. A segurança física deve se basear em perímetros predefinidos nas imediações dos recursos computacionais. Pode ser explícita como uma sala-cofre, ou implícita, como áreas de acesso restrito. O nível de segurança física dependerá: Do tamanho da empresa. Da importancia dos dados. Dos recursos disponíveis para implementação da segurança.

SEGURANÇA FÍSICA - Introdução A segurança física pode ser abordada de duas formas: Segurança de Acesso Trata das medidas de proteção contra o acesso físico não autorizado. Segurança ambiental Trata da prevenção de danos por causas naturais.

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco Plano de Contingência

SEGURANÇA FÍSICA Recomendações para o Controle de Acesso Deve-se instituir formas de identificação capazes de distinguir funcionários de visitantes e categorias diferenciadas de funcionários, se for o caso. Solicitar a devolução de bens de propriedade da empresa (Crachás, chaves, etc.), quando o visitante se retira ou quando o funcionário é retirado de suas funções. Controle de entrada e saída de materiais, equipamentos, pessoal, veículos, etc., registrando a data, horários e responsável. No caso de visitantes, restringir a circulação destes nas dependências da empresa e, se necessário, acompanhá-los até o local de destino.

SEGURANÇA FÍSICA Recomendações para o Controle de Acesso Instalar sistemas de proteção e vigilância 24 x 7. Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância, etc.). Não instalar em áreas de acesso público, equipamentos que permitam o acesso à rede interna da corporação. Orientar os funcionários para que não deixem ligados computadores sem a devida supervisão, principalmente no horário das refeições ou quando se ausentarem por tempo prolongado.

SEGURANÇA FÍSICA Recomendações para o Controle de Acesso Utilizar mecanismos de controle de acesso físico em salas e áreas de acesso restrito (fechaduras eletrônicas, câmeras de vídeo, alarmes, etc.). Proteger as linhas telefônicas internas e externas com dispositivos contra grampos. Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais.

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco Plano de Contingência

SEGURANÇA FÍSICA Política de Segurança Física (Objetivos) Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Manter em áreas seguras as instalações de processamento da informação criticas ou sensíveis, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que a proteção oferecida seja compatível com os riscos identificados.

SEGURANÇA FÍSICA Política de Segurança Física A política e o investimento no controle de acesso físico adotada pela empresa estará diretamente ligada à importância dos seus ativos. Observar sempre a relação dos modelos de segurança e não apenas o uso da tecnologia. É fundamental a análise do perfil da empresa para definir a política de controle de acesso físico que se encaixe nas necessidades dos usuários. Quanto maior o investimento em prevenção, menor será o prejuízo em caso de sinistro. O investimento não se refere apenas ao uso de tecnologia avançada, mas à forma como empresa lida com a conscientização de seus funcionários.

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco. Plano de Contingência

SEGURANÇA FÍSICA Itens de avaliação de risco SISTEMAS ELÉTRICOS: Sistema de aterramento eficiente; Rede elétrica estabilizada e específica para equipamentos críticos de informática; Utilização de equipamentos do tipo "No-Break" ou UPS; Cabeamento elétrico separado do cabeamento de redes de computadores e telefonia; Utilização de protetores contra surtos elétricos e ruídos;

SEGURANÇA FÍSICA Itens de avaliação de risco SISTEMAS CONTRA INCÊNDIO: Cofres e salas especiais para armazenar arquivos e equipamentos críticos de informática; Identificação e manutenção dos equipamentos contra incêndio; Sinalização para localização dos equipamentos contra incêndio; Equipe treinada para situações de emergência.

SEGURANÇA FÍSICA Itens de avaliação de risco PROTEÇÃO DOS CABOS DE REDE: Utilizar cabeamento e conectores padrão de boa qualidade; Utilizar protetores adequados para linhas de transmissão de dados e de telefonia; Utilizar cabeamento estruturado; Identificar os cabos críticos, principalmente Backbones de Fibras óticas.

SEGURANÇA FÍSICA Itens de avaliação de risco PROTEÇÃO DE SERVIDORES E REDES: Instalação de Servidores em salas apropriadas, longe de condições climáticas e ambientais que possam danificá-las e com restrição de acessos; Instalação de Firewall (Hardware) nos pontos de conexão externa da rede.

SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança física Itens de avaliação de risco Plano de Contingência

SEGURANÇA FÍSICA Plano de Contingência (também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres) É um documento onde estão definidas as responsabilidades estabelecidas em uma organização, para atender a uma emergência e também contêm informações detalhadas sobre as características da área ou sistemas envolvidos. É um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais.

SEGURANÇA FÍSICA Plano de Contingência (Confecção) O plano de contingência deve ser desenvolvido envolvendo todas as áreas sujeitas a catástrofes, tanto as de sistema de informática quanto as de negócio e não deve ser de exclusiva responsabilidade da área de Tecnologia da Informação da organização. Seus itens deverão estar todos documentados e a atualização desta documentação deve ser feita sempre que necessário. Testes periódicos no plano também são necessários para verificar se o processo continua válido. O detalhamento das medidas deve ser apenas o necessário para sua rápida execução, sem excesso de informações que podem ser prejudiciais numa situação crítica.

SEGURANÇA FÍSICA Plano de Contingência (Confecção) Para se criar um plano de contingência mais eficaz, normalmente as grandes empresas utilizam as regras abaixo descritas, com algumas variações mínimas: Identificar todos os processos de negócio da organização; Avaliar os impactos no negócio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organização, levando em consideração também as interdependências entre processos. Como resultado deste trabalho será possível identificar todos processos críticos para a sobrevivência da organização; Identificar riscos e definir cenários possíveis de falha para cada um dos processos críticos, levando em conta a probabilidade de ocorrência de cada falha, provável duração dos efeitos, consequências resultantes, custos inerentes e os limites máximos aceitáveis de permanência da falha sem a ativação da respectiva medida de contingência;

SEGURANÇA FÍSICA Plano de Contingência (Confecção) Identificar medidas para cada falha, ou seja, listar as medidas a serem postas em prática caso a falha aconteça, incluindo até mesmo o contato com a imprensa; Definir ações necessárias para operacionalização das medidas cuja implantação dependa da aquisição de recursos físicos e/ou humanos (por exemplo, aquisição de gerador e combustível para um sistema de contingência de energia elétrica); Estimar custos de cada medida, comparando-os aos custos incorridos no caso da contingência não existir; Definir forma de monitoramento após a falha;

SEGURANÇA FÍSICA Plano de Contingência (Confecção) Definir critérios de ativação do plano, como tempo máximo aceitável de permanência da falha; Identificar o responsável pela ativação do plano, normalmente situado em um alto nível hierárquico da companhia; Identificar os responsáveis em colocar em prática as medidas de contingência definidas, tendo cada elemento responsabilidades formalmente definidas e nominalmente atribuídas. Deve também existir um substituto nominalmente definido para cada elemento. Todos devem estar familiarizados com o plano visando evitar hesitações ou perdas de tempo que possam causar maiores problemas em situação de crise.

SEGURANÇA FÍSICA Plano de Contingência (Confecção) A equipe responsável deverá ter a possibilidade de decidir perante situações imprevistas ou inesperadas, devendo estar previamente definido o limite desta possibilidade de decisão. Definir a forma de reposição do negócio aos moldes habituais, ou seja, quando e como sair do estado de contingência e retornar ao seu estado normal de operação, assim como quem são os responsáveis por estas ações e como este processo será monitorado.

FIM