Tópicos

Proteção da segurança física

Proteção de ativos físicos

Última atualização: julho de 2022

Um componente essencial da segurança da informação é a segurança física de seus dispositivos. Além de mitigar o impacto de um dispositivo roubado usando telas de bloqueio e senhas, implementando criptografia completa de disco e ativando recursos de apagamento remoto, você também deve considerar como evitar que esses dispositivos sejam roubados em primeiro lugar. Para dificultar o roubo, certifique-se de instalar fechaduras fortes (e mudá-las sempre que a equipe mudar) no escritório ou em casa. Além disso, considere comprar um cofre para laptop ou um gabinete com chave para manter os dispositivos protegidos durante a noite. As câmeras de segurança tornaram-se muito mais baratas, com versões simples projetadas para uso doméstico disponíveis mais amplamente. Esses sistemas de câmeras ou sensores de movimento ao redor das instalações podem detectar e, com sorte, impedir arrombamentos físicos e roubos. Procure uma opção de respeito à privacidade disponível em seu país e certifique-se de selecionar câmeras fornecidas por companhias confiáveis ​​que não tenham incentivo para entregar dados e informações a um possível adversário.

Se o risco de invasão ou assalto ao escritório for alto, mantenha os dados mais confidenciais da organização longe do escritório – sejam armazenados com segurança na nuvem (conforme discutido anteriormente) ou fisicamente movidos para um local menos direcionado. Se os dispositivos antigos ainda tiverem informações armazenadas neles, mas não estiverem mais em uso, considere limpá-los – este guia do Wirecutter é um ótimo recurso sobre como fazer isso para a maioria dos dispositivos modernos. Se não for possível limpar seus dispositivos, você também pode destruí-los fisicamente. A maneira mais fácil, se não mais ambientalmente sensível, de fazer isso é quebrar os dispositivos e seus discos rígidos com um martelo. Às vezes, as soluções mais antigas ainda funcionam melhor!

Antes mesmo dessas etapas técnicas, reserve um momento para criar um inventário de todos os equipamentos da organização. Se você não tiver uma lista de todos os seus dispositivos, é mais difícil acompanhar o que pode estar faltando se um for roubado.

Como configurar seu próprio sistema de segurança de escritório

Se um sistema de segurança de escritório completo estiver fora do orçamento da sua organização e você estiver particularmente preocupado com a privacidade, experimente uma opção criativa como o aplicativo Haven do Projeto Guardian, para notificá-lo sobre uma possível invasão no escritório. O Haven é um aplicativo de smartphone que pode transformar qualquer telefone Android em um detector de movimento, som, vibração e luz. Você pode configurar o aplicativo em alguns dispositivos Android baratos em diferentes pontos do escritório para notificá-lo e registrar quaisquer convidados inesperados e intrusos indesejados. O aplicativo Haven também pode ser útil para instalar em um quarto de hotel ou apartamento se você estiver sob maior risco. Um sistema de segurança completo é melhor, mas se isso estiver fora de alcance e você quiser saber mais sobre como usar o aplicativo Haven, acesse o site do projeto.

O que fazemos com todo esse papel?

É provável que sua organização tenha muitas informações impressas em papel, escritas em cadernos ou rabiscadas em notas adesivas tipo Post-it. Parte disso pode ser muito sensível: impressões de orçamentos, listas de participantes, cartas confidenciais de doadores e notas de reuniões privadas. É fundamental pensar também na segurança dessas informações. Se você realmente precisar manter cópias impressas de informações confidenciais, certifique-se de que elas sejam armazenadas com segurança em um armário trancado ou em outro local seguro. Não mantenha nenhuma informação privada ou confidencial (incluindo senhas) em uma mesa ou escrita em um quadro branco. Se você acredita que sua organização corre alto risco de invasão ou assalto, mantenha informações altamente confidenciais em um local menos direcionado.

Na medida do possível, esforce-se para descartar informações impressas desnecessárias. Lembre-se: ninguém pode roubar o que você não possui. Defina uma política organizacional em relação à propriedade de notas impressas e certifique-se de coletar todas as notas impressas da equipe se eles decidirem sair ou forem dispensados ​​da organização, assim como você coletaria um computador ou telefone fornecido pela organização. Para se livrar de documentos confidenciais, compre uma trituradora de qualidade. Uma atividade divertida de fim de semana pode ser fazer uma pausa de 15 minutos com sua equipe para destruir quaisquer impressões ou anotações confidenciais da semana anterior.

A política do escritório

Embora para muitos as realidades do “escritório” tenham mudado significativamente desde o início da pandemia de COVID-19, ainda é importante que sua organização defina uma política clara em relação ao acesso ao escritório. Essa política deve abordar questões-chave, incluindo quem tem permissão para entrar no escritório (e quando), quem pode acessar quais recursos do escritório (como a rede Wi-Fi) e o que fazer com os convidados.

Uma pergunta simples, mas importante, a ser respondida é quem recebe uma chave do escritório. Somente funcionários de confiança devem ter as chaves e as fechaduras devem ser trocadas quando os funcionários saem ou de forma semi-regular. Durante o dia, todas as portas que forem deixadas destrancadas devem estar sempre à vista de alguém de confiança na organização. Considere também se a organização tem um relacionamento de confiança com o proprietário ou com a equipe de limpeza. Pense em quais informações ou dispositivos essas pessoas podem ter acesso e certifique-se de que estejam protegidos, principalmente se não houver uma relação de confiança. Seja lá quem tenha acesso, alguém de confiança deve sempre ser designado para trancar o escritório e garantir que os dispositivos estejam devidamente protegidos antes de sair no final do dia.

Os convidados são permitidos dentro do escritório? Em caso afirmativo, certifique-se de que eles não tenham acesso (ou pelo menos acesso autônomo) a dispositivos ou dados confidenciais em papel. Se for um requisito ou expectativa que os hóspedes tenham acesso à Internet quando visitam, você deve configurar uma rede de “convidados” para que esses convidados não tenham a capacidade de monitorar seu tráfego regular. Em geral, apenas pessoal confiável deve poder acessar a rede e os dispositivos de rede, como impressoras. Geralmente, também é uma boa ideia exigir o registro de convidados para que você tenha um registro de quem o visitou. 

À medida que você desenvolve uma política de escritório, o objetivo deve ser permitir que apenas pessoas confiáveis ​​acessem dispositivos, documentos, espaços e sistemas confidenciais.

Equipe de apoio e voluntários

As ameaças de segurança física à sua organização também podem afetar sua equipe. Semelhante ao assédio nas mídias sociais, essas ameaças à segurança física geralmente afetam desproporcionalmente as mulheres e as comunidades marginalizadas. Não se trata apenas de janelas quebradas e laptops roubados. Intimidação, ameaças ou casos de violência física ou sexual, abuso doméstico e medo de ataque podem ter um sério impacto negativo na vida dos funcionários. Para organizações que trabalham com ou apoiam mulheres politicamente ativas em particular, a ferramenta de planejamento de segurança #Think10 do NDI é um recurso útil para fornecer àqueles que podem estar em maior risco pessoal como resultado de sua atividade.

O bem-estar dos funcionários é obviamente um recurso importante para eles como indivíduos, mas também é um elemento crucial para uma organização saudável e que funcione bem. Para isso, considere quais recursos adicionais você pode fornecer aos funcionários para mantê-los protegidos e, em caso de ataque físico ou digital, ajudá-los a se recuperar. Conforme mencionado anteriormente no manual, isso significa, no mínimo, desenvolver uma lista de recursos aos quais você pode conectar a equipe para assistência jurídica, médica, de saúde mental e técnica, se necessário. Mais uma vez, o Manual de campo sobre assédio online da PEN America inclui ideias sobre como as organizações podem apoiar a equipe durante e após as crises, e o Manual de segurança holística da Tactical Tech inclui conteúdo relevante sobre como as organizações costumam responder durante períodos de ameaça intensa.

Como reservar viagens com segurança para sua organização

Ao montar uma política de viagens, lembre-se de quais informações podem ser expostas ao organizar ou reservar uma viagem. Isso pode ser particularmente importante se você estiver organizando grandes eventos, treinamentos ou conferências para os quais está lidando com informações confidenciais de uma variedade de funcionários, parceiros ou participantes. Pense com cuidado sobre como você compartilhará e armazenará com segurança (se necessário) informações pessoais, como detalhes do passaporte, itinerários de viagem e registros médicos.

Segurança durante viagens

Viajar – seja para outro país ou uma cidade próxima – muitas vezes intensifica os riscos de segurança da informação física. Geralmente, é seguro presumir que você e seus dispositivos não têm direitos de privacidade ao cruzar fronteiras. Como tal, é uma boa ideia incluir uma política de viagem organizacional em seu plano de segurança que inclua lembretes sobre as principais práticas recomendadas de segurança. 

A política de viagens da sua organização deve incluir muitas das informações abordadas em outras seções do manual, incluindo o uso seguro da Internet e a manutenção de dispositivos e outras fontes de informações fisicamente seguras e sempre com você durante a viagem. Se possível, deixe suas informações confidenciais para trás e use um computador novo e limpo, acesse os arquivos de que você realmente precisa na nuvem e apague-os quando voltar para casa.

Além de se preparar para a viagem e minimizar os dados compartilhados quando você viaja, há algumas dicas operacionais essenciais que você deve considerar e incluir em sua política de viagens organizacional.

Considere usar laptops ou telefones específicos para viagens que tenham pouco ou nenhum dado confidencial armazenado neles. Se a maior parte do trabalho da sua organização for feita na nuvem, um Chromebook relativamente barato pode ser uma boa opção para esse aparelho. Faça uma redefinição de fábrica ou “limpe” esses dispositivos ao retornar, antes de se conectar a redes Wi-Fi comuns em casa ou no escritório.

Prepare os funcionários sobre o que fazer se forem questionados pelas autoridades ou parados em uma passagem de fronteira. Considere como você pode limitar a quantidade de informações com as quais alguém viaja se isso for uma preocupação e crie protocolos de check-in para funcionários que viajam para regiões sensíveis. Forneça aos funcionários informações de contato e um plano de ação para o que eles devem fazer se algo der errado em sua viagem. Isso inclui informações sobre hospitais, clínicas ou farmácias locais, caso precisem de assistência médica durante a viagem.

Os funcionários também devem manter todos os dispositivos consigo durante a viagem. Por exemplo, mantenha seu laptop aos seus pés (não no compartimento superior ou na bagagem despachada) quando estiver em um ônibus, trem ou avião. Não presuma que um quarto de hotel – ou mesmo o cofre do hotel – é um “lugar seguro” para guardar dispositivos e itens confidenciais. Não confie nas portas de carregamento USB públicas. Portas de carregamento USB em aeroportos, estações e veículos estão se tornando uma visão cada vez mais comum e uma maneira muito conveniente de ligar dispositivos. No entanto, eles podem ser um vetor fácil para pegar vírus. Portanto, certifique-se de carregar os dispositivos da maneira tradicional por meio de um plugue na parede ou adquirir bloqueadores de dados USB para permitir que a equipe em viagem carregue seus dispositivos com segurança via USB.

Como proteger sua segurança física

  • Lembre a equipe de manter os dispositivos fisicamente protegidos o tempo todo.
  • Verifique e proteja todas as maneiras pelas quais as pessoas podem entrar em seu espaço – portas e janelas.
  • Desenvolva uma política de acesso e convidado do escritório.
  • Use travas fortes e alterne ou troque-as quando necessário.
  • Considere instalar uma câmera ou outro sistema de segurança do escritório.
  • Tenha e use um triturador de papel.
    • Reserve um tempo da equipe dedicado a descartar documentos impressos que contenham informações confidenciais.
  • Desenvolva uma lista de profissionais, organizações e agências de aplicação da lei locais aos quais você pode conectar a equipe para obter assistência jurídica, médica e de saúde mental em resposta a ataques físicos ou ameaças.
  • Desenvolva uma política de viagens organizacional.
  • Garanta que a equipe saiba o que fazer em caso de emergência durante a viagem, incluindo preparar a equipe para o que fazer se parar em uma fronteira ou posto de controle.
  • Antes de qualquer viagem local, nacional ou internacional, lembre a equipe de limitar as informações armazenadas nos dispositivos.
  • Esteja atento aos dados adicionais que são criados e compartilhados ao organizar viagens ou eventos.