Introdução

As medidas de segurança a serem desenvolvidas pelas organizações irão variar de acordo com as análises de riscos realizadas. Cada organização irá identificar as ameaças e os riscos que podem afetar seus processos e a partir dessas identificações estabelecer medidas de prevenção e proteção. Essas medidas devem ser adequadas ao perfil da empresa e aos objetivos organizacionais. Invariavelmente algumas dessas medidas referem-se à segurança física da organização.

O nível de segurança física depende do tipo de organização e do tipo de negócio que ela atua. Uma rodoviária estabelece níveis de segurança bem inferiores aos que são encontrados em uma usina nuclear, por exemplo. As medidas de segurança física, como o próprio nome sugere, são aplicadas para garantir a preservação e proteção da informação utilizando meios materiais de controle. As medidas de segurança física normalmente são implantadas integrando medidas técnicas e organizacionais.

Áreas Seguras

Garantir a segurança física é também garantir a segurança da informação, pois sem elementos materiais mínimos, não existe a possibilidade de se estabelecer uma interação com os dados e informações no desempenho dos processos empresariais. Até mesmo empresas que trabalham no ambiente digital precisam de elementos físicos, como computadores e celulares para acessarem e utilizarem as informações.

Os processos de segurança física se desenvolvem a partir da interação entre ações organizacionais, estruturais e eletrônicas. Nesse sentido, cada uma dessas ações precisa “conversar” com as demais para que haja efetividade das medidas de segurança. Por exemplo, instalar câmeras de segurança não tem nenhuma utilidade se não houver um planejamento de onde devem ser instaladas e nem um processo de monitoramento das imagens capturadas.

Medidas de segurança física devem ser capazes de identificar e monitorar ameaças a fim de se minimizar ao máximo os danos. A detecção pode ser alcançada através da utilização de sensores infravermelhos, sensores de temperatura, câmeras de segurança, dispositivos que identificam vibrações, sensores de quebra de vidros, sensores magnéticos entre outros. Uma vez que a identificação da ameaça é realizada, deve-se imediatamente ser acionado um processo de acompanhamento e monitoramento. Métodos robustos de detecção aliados a outros métodos eficazes de acompanhamento garantem que os ambientes sejam fisicamente mais seguros e que os possíveis danos sejam memorizados.

Anéis de Proteção

O intuito de se estabelecer métodos de segurança em uma empresa é o de proteger os ativos organizacionais. O valor do ativo e os riscos que esse ativo pode sofrer é o que determina o tipo de medida de segurança a ser adotada. No âmbito da segurança da informação, as medidas são desenvolvidas com o objetivo de proteger as informações contra atos de vandalismo, assaltos, desastres naturais, sabotagem, acessos não permitidos, casualidades, enfim toda ameaça que possa de alguma forma prejudicar uma informação fisicamente armazenada.

Figura1: Anéis de Proteção

Fonte: Hintzbergen et al (2018). Adaptado pelo autor

A segurança física da informação tem seu ponto inicial fora das instalações da empresa. O acesso à organização deve ser protegido e monitorado e as medidas de segurança devem ser estabelecidas antes que a ameaça tenha acesso ao local onde as informações estão alocadas. Esses níveis de segurança podem ser facilmente percebidos se imaginarmos uma série de anéis (figura 1):

• O primeiro anel (o maior) representa a área que dá acesso ao prédio da empresa.
• O segundo representa o prédio
• O terceiro o local de trabalho
• O quarto o local onde o ativo se encontra

É possível observar que medidas de segurança física podem e devem ser adotadas antes mesmo que a ameaça possa alcançar o interior do primeiro anel. Instalações de câmeras de segurança, cercas elétricas são alguns exemplos. O acesso ao primeiro anel deve ser controlado através da aplicação de meios de identificação das pessoas autorizadas.

Existem casos em que não existe na empresa área de acesso representada pelo primeiro anel. Nesses casos a organização deve dar maior atenção nas medidas de segurança incorporadas na estrutura predial. Portas reforçadas, janelas blindadas, trancas especiais, são alguns dos exemplos de ações que são estabelecidas na parte arquitetônica da organização (segundo anel). É importante frisar que essas médias não são exclusivas para empresas que não possuem área externa de acesso e que essas medidas de estrutura predial devem respeitar aspectos legais.

Controles de Entrada Física

Um dos aspectos mais importantes do estabelecimento de medidas de segurança física dentro da organização é o controle de entrada de pessoas ou coisas, no ambiente interno da empresa. O controle de entrada física não se restringe apenas a pessoas, mas também a objetos, aparelhos, veículos, enfim, qualquer coisa que possa representar uma potencial ameaça ao patrimônio organizacional, também representado pelas informações.

Procedimentos de controle de entrada física devem garantir que apenas pessoas e objetos autorizados tenham acesso às instalações organizacionais. Para isso, as medidas devem contemplar todo o perímetro da empresa, inclusive paredes, telhados e janelas. Medidas de segurança física normalmente se estabelecem pela junção de:

• Guardas de Segurança: Utilização de profissionais especializados em segurança patrimonial. Esse tipo de ação é a mais onerosa para organização, porém pode ser complementada com a utilização de medidas menos custosas, como por exemplo, uso de sensores e dispositivos de monitoramento remoto. É preciso, porém, destacar que a utilização de medidas complementares devem ser acompanhadas de um procedimento de acompanhamento. Nada adianta a empresa ter um sensor de movimento, se quando o alarme tocar não houver algum tipo de resposta.
• Gerenciamento do acesso eletrônico: utilização da tecnologia eletrônica como meio de controle e supervisão dos acessos físicos na organização. Esse tipo de gerenciamento engloba, chaves magnéticas, leitores de credenciais, catracas eletrônicas, uso de leitores biométricos, entre outros.

Para reforço da eficácia desses controles de entrada física, a organização deve também adotar medidas complementares. Essas medidas auxiliam no sentido de dificultar a ação de invasores e minimizar os riscos, em caso de ocorrências acidentais. Por exemplo:

• Colocar uma foto em uma credencial de acesso facilita a identificação de um possível intruso que esteja usando a credencial de outra pessoa.
• Exigir o uso das credenciais em local visível, inclusive para visitantes.
• Credenciais de acesso devem ser individuais e não compartilhadas.
• As credenciais não devem expor o ambiente em que ela dá acesso.
• As credenciais de acesso devem possuir uma data de validade.

Em Resumo

O objetivo principal da segurança física é o de proteger os ativos organizacionais impedindo que pessoas e objetos não autorizados consigam acessar fisicamente as instalações da organização. Proteger as informações de uma empresa diz respeito a desenvolver medidas de segurança que se aplicam a todos os processos. Nesse sentido, é importante que as organizações estejam atentas às ameaças físicas. Essas ameaças podem se manifestar de diversas formas e por isso as empresas devem analisar e implementar múltiplas ações de controle. Ações essas que devem contemplar todos os pontos de acesso físico da empresa, desde a área externa até os locais internos mais sensíveis.