O documento discute vários tópicos relacionados à segurança, incluindo proteção contra pulsos eletromagnéticos (EMP), certificação de segurança francesa (ANSSI), segurança na recepção e prevenção de furtos internos no varejo.
1. #7
CERTIFICAÇÃO ANSSI
O que isso significa para
sistemas de controle
de acesso
SEGURANÇA NO
COMÉRCIO VAREJISTA
Como enfrentar roubos
internos com eficiência
GUIA RÁPIDO
Proteção contra pulsos
eletromagnéticos para
servidores e sistemas de TI
A SEGURANÇA DA SUA
RECEPÇÃO ESTÁ CHEIA DE FUROS?
Lista de verificação
Security Matters
3. CONTEÚDO
4–5
Proteção contra EMP
para servidores
Certificação ANSSI
6–11
A ANSSI abriu o caminho, na França,
para estabelecer regulamentos visando
proteger informações.
Esta edição da Global Security Matters
examina o que essas diretrizes significam
para os gerentes de segurança do resto
do mundo e também as recomendações
para arquiteturas de segurança.
Como cofres de servidores protegem
equipamentos eletrônicos vitais da
radiação de pulsos eletromagnéticos.
O que isso significa para
sistemas de controle de
acesso?
BLOG PREVENÇÃO DE PERDAS
Subscreva para receber as últimas
informações sobre segurança em
blog.gunnebo.com.br
12–13
Lista de verificação da
segurança da recepção
Como ter certeza de
que não há falhas de
segurança na sua recepção
14–15
Furtos internos
Dicas simples sobre
como enfrentar
furtos executados por
funcionários
4. 4 GLOBAL Security Matters #7
Guia rápido
Proteção contra EMP para
servidores e equipamentos
eletrônicos vitais
A radiação de pulsos eletromagnéticos (EMP) pode ter consequências
devastadoras a sistemas de TI. Porém, um cofre de servidor
especialmente certificado pode oferecer proteção contra essa ameaça.
EPMs gerados pelo homem
• Armas nucleares — como resultado de
uma bomba nuclear ou uma arma de EMP
nuclear projetada para maximizar os efeitos
dos EMPs como forma principal de causar
danos. Também são implantadas na forma
de mísseis a ser detonados muito acima da
superfície da Terra para produzir EMPs.
• Armas de EMP não nucleares — dispositivos
que criam EMPs sem o uso de tecnologia
nuclear.
• Surtos de linhas de transmissão — são
relativamente fracos, mas danificam
equipamentos eletrônicos com proteção
insuficiente
EMPs naturais
• Raios
• Descarga eletrostática —
resultante de dois objetos
carregados em contato ou
próximos um do outro.
• Meteoros — podem causar um
EMP ao se chocar com um veículo
espacial ou ao atravessar a
atmosfera terrestre.
• Ejeção de massa coronal —
grande liberação de plasma
magnético da parte periférica da
atmosfera solar.
Fontes de EMPs
5. 5#7 Security Matters GLOBAL
COMO COFRES DE SERVIDORES PROTEGEM
CONTRA EMPS
É possível instalar gabinetes ou cofres TI que protejam os servidores
dos danos irreparáveis causados por EMPs.
Eles funcionam de maneira eficaz como uma gaiola de Faraday.
A gaiola de Faraday, batizada em homenagem ao cientista inglês
do século XIX Michael Faraday, é simplesmente um invólucro que
bloqueia campos eletromagnéticos.
Ao instalar esse gabinete ou cofre, certifique-se de que ele seja
oficial e independentemente certificado para proteção contra EMPs.
Isso significa que ele seja construído de maneira a eliminar o efeito
do campo dos EMPs e evitar que os cabos elétricos conectados
apresentem falhas.
BENEFÍCIOS ADICIONAIS DOS COFRES DE EMP
Cofres ou gabinetes que anulam os efeitos de um EMP vindo
do exterior possuem uma vantagem adicional. Eles também
evitam que os sinais eletromagnéticos gerados por equipamentos
eletrônicos sejam detectados.
Isso ajuda na luta contra espionagem industrial e contra a
chamada “inteligência por sinais”, que é uma forma de roubar
informações pela interceptação remota dos sinais eletromagnéticos
emitidos por um servidor.
DANOS A EQUIPAMENTOS
ELETRÔNICOS E SISTEMAS DE DADOS
EMPs exercem um efeito prejudicial nos circuitos
de que dependemos em modernos equipamentos
eletrônicos.
Todas as formas de equipamentos eletrônicos
— na realidade, qualquer coisa que seja acionada
por uma transmissão elétrica — que não recebem a
proteção adequada são inutilizadas por um EMP.
Quando o pulso de energia atravessa um objeto
metálico, como um telefone, um computador ou
um servidor, é produzida uma “corrente elétrica
nociva”que interrompe ou destrói os circuitos
internos.
Além disso, de acordo com o Business Insider,
“a grade de energia, as linhas de telefone e de
Internet e outras infraestruturas que usarem metal
também podem ser suscetíveis a defeitos, similares
aos causados por uma tempestade geomagnética
devastadora”.
Aqui, um pulso eletromagnético pode causar
sobrecarga e falhas em equipamentos de
transmissão de energia ou de telecomunicações.
6. 6 GLOBAL Security Matters #7
Certificação ANSSI
O que ela significa para sistemas de controle de acesso
6 GLOBAL Security Matters #7
7. 7#7 Security Matters GLOBAL
O QUE É ANSSI?
ANSSI significa Agence Nationale de la Sécurité des Systèmes
d’Information – a agência de cibersegurança da França. A agência foi
criada em 2009 e reporta-se à Secrétariat-General for National
Defence and Security (SGDSN) para ajudar o Primeiro Ministro a
exercer suas responsabilidades com relação à defesa e à segurança
nacional. A ANSSI atualmente funciona como o organismo nacional
de ciberdefesa para proteger setores que sejam considerados de vital
importância na França.
POR QUE ISSO É RELEVANTE?
A França é o primeiro país do mundo a usar regulamentos para o
desenvolvimento de um sistema de cibersegurança eficaz para
proteger infraestruturas essenciais. Espera-se que esses
regulamentos possam ser usados como modelo por outros países da
Europa e, possivelmente, de outros continentes. A ANSSI tem a tarefa
de estabelecer regras para a proteção de sistemas de informações e
de garantir que as medidas adotadas sejam adequadamente
aplicadas. Essas obrigações se aplicam primeiramente e
principalmente a sistemas de informações que sejam considerados
de “vital importância”. Um aspecto dessas obrigações está
direcionado a sistemas de controle de acesso.
7#7 Security Matters GLOBAL
8. 8 GLOBAL Security Matters #7
Área
jurídica
Energia
A França identificou 12 setores de vital
importância. Esses setores são definidos
como executores de atividades essenciais
que são difíceis de ser substituídas. Eles se
relacionam com a produção e distribuição
de bens e serviços cuja ausência constituiria
uma séria ameaça à população.
Operadores de vital importância
Em setores de vital importância, operadores
de vital importância são aqueles que
operam ou usam instalações que são
consideradas essenciais para o país. Eles são
designados pelo ministério correspondente
que, por sua vez, estabelece os objetivos
de segurança para eles. Esses operadores
são necessários para ajudar na proteção
de estabelecimentos, instalações e
infraestruturas contra todas as ameaças,
particularmente ataques terroristas. Eles
precisam fazê-lo às suas próprias custas.
Na França, foi designado um total de 249
operadores de vital importância como parte
de uma lista confidencial preparada pelo
Ministério da Defesa.
SETORES DE VITAL IMPORTÂNCIA
Operadores de vital importância por setor
Indústrias
em geral
Forças
armadas
Saúde
Indústria
civil
Indústrias
alimentícias
FinançasÁgua Mídia
Transportes
Pesquisa e
desenvolvimento
9. 9#7 Security Matters GLOBAL
Locais de vital importância são centros,
instalações ou infraestruturas que
fornecem bens e serviços que são
considerados essenciais para o país.
Os próprios operadores preparam listas
dos seus locais de vital importância.
Tais locais podem incluir, por exemplo,
unidades de produção, centros de
testes, nós de redes, centros de TI etc.
Um operador de vital importância pode
ter vários locais de vital importância.
Nos casos em que vários locais estão
situados na mesma área, esta região é
descrita como uma zona geográfica de
vital importância.
Locais de vital importância
10. 10 GLOBAL Security Matters #7
A obtenção de cartões compatíveis
com sistemas de criptografia não
é suficiente. Esses sistemas têm
de ser corretamente ativados, caso
contrário os cartões serão usados
somente como meio de identificação,
significando que podem ser
clonados. As chaves de criptografia
usadas nesses cartões podem ter
níveis variáveis de complexidade.
Eles pertencem à organização que
os utiliza e devem ser aplicados
métodos organizacionais claramente
definidos para garantir que eles
sejam distribuídos.
VOCÊ SABIA?
Quanto aos sistemas físicos de controle de acesso, a ANSSI compilou suas
recomendações em um documento, “Guia para a segurança de tecnologias
sem contato para sistemas físicos de controle de acesso”.
Os princípios fundamentais descritos nesse documento se destinam a ser
diretamente apropriados para os níveis de ameaça para cada zona, com base
no tipo de ataque potencial, segundo uma escala que varia de 1 a 4.
Para oferecer os Níveis 2 a 4, segundo recomendação da ANSSI, são necessários
cartões com chips de leitura/gravação. O uso de chips que sejam certificados
em conformidade com os critérios comuns EAL 4+ fornece garantias de
segurança adicionais. O cartão Mifare DESFire EV1 se estabeleceu como o
principal cartão do setor.
RECOMENDAÇÕES DA ANSSI RELATIVAS A
SISTEMAS DE CONTROLE DE ACESSO
11. 11#7 Security Matters GLOBAL
Os 4 níveis de segurança para proteção de IDs
Nível 1
A identificação do cartão não usa
qualquer criptografia: transponder
de 125 kHz, cartão UID (identificação
única) ISO-14443. A ID não é
criptografada sendo, portanto, fácil
de ser clonada. Esse nível não possui
garantias de segurança.
Nível 3
O acesso à ID do cartão é protegido por
uma chave para poder ser autenticado.
A autenticação envolve o uso de uma
chave originária de uma chave-mestra.
Se alguma das chaves for corrompida,
os outros cartões não serão afetados.
Nível 2
O acesso à ID do cartão é protegido por
uma chave para poder ser autenticado.
A autenticação envolve uma chave que
é compartilhada por todos os cartões.
Este é o primeiro nível de segurança:
no caso de corrupção de uma chave, o
acesso a todas as IDs se tornará possível.
Nível 4
O mesmo que a autenticação Nível
3 + do suporte do cartão quando for
inserido um código memorizado ou
usados dados biométricos.
12. 12 GLOBAL Security Matters #7
Além de criar aquela primeira impressão
significativa, as áreas de recepção desempenham
um importante papel na segurança de um
escritório. Mas sua recepção está à altura
da função?
Como eliminar falhas de
segurança na recepção
Lista de verificação
SEGURANÇA DE ENTRADA
13. 13#7 Security Matters GLOBAL
Certifique-se de que haja uma área em que os visitantes
possam se registrar e ter suas credenciais verificadas
antes de receberem permissão para entrar no prédio
Use portões automatizados de controle de entrada para
evitar que indivíduos não autorizados ultrapassem a
área de recepção
Certifique-se de que os portões de entrada sejam
configuráveis para aceitar os métodos de identificação
usados no interior do prédio
Pode haver ocasiões em que sejam necessários
equipamentos de triagem adicionais — muitas vezes,
uma medida temporária — ; portanto, faça a previsão do
espaço correspondente
Encontre portões de controle de entrada com uma
aparência que complemente a arquitetura da área de
recepção — eles devem ser compatíveis com o design
geral sem destoar dele
Minimize características de design na área de recepção
que bloqueiem linhas de visão
Sempre que a recepção estiver aberta, certifique-se de
que alguém esteja presente e possa ser visto
Mantenha a área de recepção organizada de modo a
facilitar a revista e impedir que objetos estranhos sejam
ocultados
Certifique-se de que toda a equipe da recepção entenda
os procedimentos de segurança da área e saiba como
agir em caso de emergência
Lista de verificação da
segurança da recepção
14. 14 GLOBAL Security Matters #7
SEGURANÇA NO
COMÉRCIO VAREJISTA
Furtos executados por funcionários – furtos internos – constituem um problema
que frequentemente os varejistas negligenciam. Porém, existem algumas maneiras
simples de evitar que isso aconteça.
Muitos países estão observando um aumento nos furtos
internos. Os especialistas apontam vários fatores que
contribuem para este cenário.
De acordo com o especialista em prevenção de perdas Luiz
F. Sambugaro, esses fatores tornam os furtos internos um
problema tão relevante quanto os furtos externos. Luiz vive no
Brasil, onde é membro de diversas associações de varejo.
“O que observamos no Brasil e também em outros países,
como os Estados Unidos, é o crescimento contínuo dos furtos
internos. Um catalisador para esse fato foi a crise econômica,
que resultou em demissões, downsizing, terceirização de mão
de obra, e a substituição de funcionários treinados e leais por
elementos novos e mais baratos sem comprometimento com
a empresa.
E existem outros fatores contribuintes, como o corte de
benefícios e a redução nas despesas de manutenção, o que
serve apenas para aumentar as taxas de furtos internos.
Sem estratégias para restringir esses crimes, a taxa
continuará a crescer.”
• Condições econômicas
desfavoráveis que causam
demissões, downsizing e
terceirização de mão de obra
• A substituição de funcionários
treinados e leais por elementos
novos e mais baratos sem
comprometimento com a empresa.
• O corte de benefícios
• A redução nas despesas de
manutenção
MOTIVOS PARA O CRESCIMENTO
DOS FURTOS INTERNOS NO VAREJO
Furtos internos
e como enfrentá-los
15. 15#7 Security Matters GLOBAL
Uma maneira de reduzir a taxa de furtos
internos é estabelecer um ambiente de
trabalho que crie uma cultura de lealdade
e faça com que os funcionários se sintam
parte de uma equipe.
Comunicação aberta e metas claras
muitas vezes são o segredo para a criação
de um senso de propriedade, pois todos os
funcionários sentem que estão trabalhando
na direção da mesma meta.
Trabalhar em um lugar em que o
funcionário é parte de uma comunidade
eleva o moral da equipe e provavelmente
evita furtos internos – é melhor
recompensar que punir.
Durante o recrutamento, não considere
somente a capacidade profissional do
candidato; examine sua conduta prévia.
E, depois do recrutamento, certifique-
se de que todos os funcionários recebam
treinamento adequado tanto nos sistemas
de segurança que estiverem em vigor
quanto nas maneiras de ativamente evitar
os furtos.
Relatos antigos de funcionários que praticaram
furtos mostram que a falta de manutenção é
um fator que favorece os furtos internos.
Por exemplo, embora a presença de uma
câmera ou de um sistema de alarme possa
ser suficiente para intimidar um ladrão, os
funcionários saberão quando estes sistemas
estiverem com defeito e poderão explorar a
falta de ações executadas para repará-los.
Prevenir perdas é dever de todo profissional.
É fundamental que todos os membros da
empresa estejam engajados igualmente na
busca para reduzir os furtos. Um dos principais
pilares para combater as fraudes é justamente
a equipe, que deve enxergar em seus gestores
e diretores um comprometimento com a
prevenção de perdas em sua empresa.
Repensar a atuação e o comportamento
da empresa é importante nestes casos. Não
tenha receio de exigir mais cooperação de
todas as áreas da empresa. A tecnologia é um
fator importante para o combate aos furtos
internos, mas sem o comprometimento e
motivação de toda a empresa, partindo dos
diretores, o resultado não será satisfatório.
Desenvolver lealdade
entre os funcionários
Recrutar com
inteligência
Não economizar
na manutenção
Prevenção de Perdas
é responsabilidade de
toda a empresa
1
3
2
4
Para enfrentar comportamentos fraudulentos por parte da equipe
da loja, os varejistas podem empregar as quatro táticas a seguir:
16. O GRUPO GUNNEBO
A Gunnebo é um líder global em produtos, serviços e solu-
ções de segurança com uma oferta que abrange manuseio de
dinheiro, cofres e caixas-fortes, segurança de entrada e segu-
rança eletrônica para bancos, varejistas, transporte de massa,
prédios públicos e comerciais e locais industriais e de alto risco.
Tornamos seu mundo mais seguro.
ENCONTRE-NOS
Produtos e soluções Blog Security Matters
www.gunnebo.com blog.gunnebo.com
blog.gunnebo.com.br
Relações com investidores
www.gunnebogroup.com
ENDEREÇO
Gunnebo AB, P.O. Box 5181, 402 26 Gotemburgo, Suécia
E-mail: info@gunnebo.com
Tel.: +46 10 209 5000
EDITOR RESPONSÁVEL
Karin Wallström Nordén
SVP Marketing & Communications
+46 10 2095 026
karin.wallstrom@gunnebo.com
EDITOR E COLABORADOR
Rob Suddaby
rob.suddaby@gunnebo.com
CONTATOS E INFORMAÇÕES
TRADUÇÃO
Comactiva, www.comactiva.se
PRODUÇÃO DE VERSÕES LINGUÍSTICAS
Newsroom, www.newsroom.se
IMPRESSÃO
Larsson Offsettryck, www.larssonoffsettryck.se
Imagens de Bigstock e Gunnebo.
gunnebo.com gunnebogroup.com