Analista de Informática - Segurança da Informação - ISO 27002 - MPU

A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.

Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização.

Os controles necessários para se fazer uma adequada análise e avaliação de riscos devem ser retirados apenas da norma 27002, por ser completa e atual. Essa norma garante, em seu escopo, todas as ações de segurança necessárias para qualquer ambiente computacional.

Controle é, segundo essa norma, qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem.

Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real.

Os controles referentes à segurança de redes, que estabelecem que as redes devam ser gerenciadas e controladas e que os níveis e requisitos de gerenciamento sejam implementados, estão presentes no capítulo da norma que se refere ao controle de acessos.

A adoção de senhas de qualidade por parte dos usuários são recomendações para implantar uma política de uso de chaves e senhas. Alguns aspectos, citados na norma, característicos de senhas de qualidade são senhas fáceis de serem lembradas, que não sejam vulneráveis a ataques de dicionário e que sejam isentas de caracteres idênticos consecutivos.

Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação da segurança.