Com este post começo a uma série de cinco posts com um resumo preparatório para a realização do exame de certificação ISO 27002 - Segurança da Informação.
1 – Informação e Segurança
1.1 - Dado
• Informação que não tem significado.
1.2 – Informação
• É algo que tem significado
• É um conjunto de dados estruturados
• É o conhecimento que alguém adquiriu
• É um fator de produção, assim como matéria-prima, mão de obra e capital
1.3 – Valor da Informação
• É determinado primariamente pelo destinatário da informação (quem recebe)
1.4 - Aspectos de confiabilidade / 3 requisitos de qualidade
1.4.1 –Disponibilidade
1.4.1.1 – Conceito
É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele
1.4.1.2 – Características
Disponível em tempo oportuno
• Os sistemas de informação precisam estar disponíveis quando necessários
Continuidade
• O pessoal pode continuar o trabalho ainda que ocorra um evento de falha
Robustez
• Deve haver capacidade suficiente para permitir todo o pessoal usar sistema para trabalhar
1.4.1.3 - Exemplos de Medidas
• Dados devem ser armazenados em um disco na rede e não no HD do PC
• Deve haver procedimentos de backup
• Deve haver procedimentos de emergência para interrupções
1.4.2 – Integridade
1.4.2.1 – Conceito
É o grau no qual a informação está atualizada e sem erros
1.4.2.2 – Características
Exatidão
• A informação está correta, exata.
Completeza
• A informação está inteira, completa.
1.4.2.3 - Exemplos de Medidas
• Mudanças nos sistemas e dados precisam passar por autorização - reduzir riscos
• As ações dos usuários precisam ser registradas (gerar logs) para determinar quem fez alterações nos dados
• Instalações e alterações não devem ser feitas apenas por uma pessoa - usar segregação de funções
• Deve haver validação de entrada de dados nos sistemas
1.4.3 – Confidencialidade
1.4.3.1 – Conceito
É o grau no qual o acesso à informação é restrito a um grupo definido de pessoas autorizadas a terem este acesso.
1.4.3.2 – Características
Privacidade
• A informação não é pública.
1.4.3.3 - Exemplos de Medidas
• É preciso ter controles de acesso à informação
• A informação não pode cair nas mãos de pessoas erradas
• Gerenciamento de acesso lógico estabelecendo direitos de acesso para cada usuário
• Segregação de funções para determinar o que cada cargo/função pode acessar nos sistemas
• Algumas informações do RH não devem ser acessadas por outros departamentos
• Uso de senha para acessar os computadores na rede
Bons estudos e até o segundo post!