ISO/IEC 27002 (favor corrigir conforme exigências das bancas IADES do BRB 2021 ou Cesgranrio)

As orientações da norma ISO/IEC 27002, inclusive sua adaptação brasileira NBR ISO 27002, apresentam diretrizes e orientações quanto boas práticas de sistemas de gestão da informação, não sendo portanto lei ou exigente quanto uso de ferramentas determinadas por alguns fabricantes. Nestas também definem e tentam uniformizar definições de terminologias técnicas referente à área, tais como confiabilidade, irretratabilidade, disponibilidade, autenticidade, integridade, ameaça, risco, evento, tecnologias, processos, “frameworks”, melhoria contínua, etc.

Há inúmeras ameaças aos negócios, sejam por pragas virtuais, acessos não autorizados, perdas de dados, vazamentos de informações dos clientes, sistemas fora do ar, falsificações, incêndios, descumprimento de normativas locais, dentre outras. Para esses riscos citados, há no mercado inúmeras ferramentas de “backup”, redundância, “firewalls”, controles biométricos, criptografia, controles por senhas, “blockchain”, serviços de nuvem, terceirizações, “outsourcing”, etc.

Contudo, ainda conforme a ISO/IEC 27002, não basta comprar algumas ferramentas para os riscos sumirem, pois é preciso adotar as boas práticas de segurança por toda a organização, isto é, sejam homologadas e revisadas para com a direção até os fornecedores de serviços. Estão entre esses processos de segurança da informação a mencionada homologação de padrões, adoção de políticas de controle, prevenções, atualizações, dentre outras.

Todavia esses processos não param, pois sempre haverão riscos minimizados, mitigados ou transferidos, sem garantia alguma de 100% de extinção dos mesmos. Por isso é essencial a melhoria contínua de segurança da informação para fechar o ciclo.