Resumo para Certificação ISO 27002 - 01 / 05

Com este post começo a uma série de cinco posts com um resumo preparatório para a realização do exame de certificação ISO 27002 - Segurança da Informação.

1 – Informação e Segurança

1.1 - Dado 

• Informação que não tem significado.

1.2 – Informação

• É algo que tem significado

• É um conjunto de dados estruturados

• É o conhecimento que alguém adquiriu

• É um fator de produção, assim como matéria-prima, mão de obra e capital

1.3 – Valor da Informação

• É determinado primariamente pelo destinatário da informação (quem recebe)

1.4 - Aspectos de confiabilidade / 3 requisitos de qualidade

1.4.1 –Disponibilidade

1.4.1.1 – Conceito

É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele

1.4.1.2 – Características

Disponível em tempo oportuno

• Os sistemas de informação precisam estar disponíveis quando necessários

Continuidade

• O pessoal pode continuar o trabalho ainda que ocorra um evento de falha

Robustez

• Deve haver capacidade suficiente para permitir todo o pessoal usar sistema para trabalhar

1.4.1.3 - Exemplos de Medidas

• Dados devem ser armazenados em um disco na rede e não no HD do PC

• Deve haver procedimentos de backup

• Deve haver procedimentos de emergência para interrupções

1.4.2 – Integridade

1.4.2.1 – Conceito

É o grau no qual a informação está atualizada e sem erros

1.4.2.2 – Características

Exatidão

• A informação está correta, exata.

Completeza

• A informação está inteira, completa.

1.4.2.3 - Exemplos de Medidas

• Mudanças nos sistemas e dados precisam passar por autorização - reduzir riscos

• As ações dos usuários precisam ser registradas (gerar logs) para determinar quem fez alterações nos dados

• Instalações e alterações não devem ser feitas apenas por uma pessoa - usar segregação de funções

• Deve haver validação de entrada de dados nos sistemas

1.4.3 – Confidencialidade

1.4.3.1 – Conceito

É o grau no qual o acesso à informação é restrito a um grupo definido de pessoas autorizadas a terem este acesso.

1.4.3.2 – Características

Privacidade

• A informação não é pública.

1.4.3.3 - Exemplos de Medidas

• É preciso ter controles de acesso à informação

• A informação não pode cair nas mãos de pessoas erradas

• Gerenciamento de acesso lógico estabelecendo direitos de acesso para cada usuário

• Segregação de funções para determinar o que cada cargo/função pode acessar nos sistemas

• Algumas informações do RH não devem ser acessadas por outros departamentos

• Uso de senha para acessar os computadores na rede

Bons estudos e até o segundo post!

Certificação ISO 27002 – Segurança da Informação

Na última segunda-feira, dia 06/08/2012, fui aprovado no exame de certificação da EXIN para a ISO 27002 – Segurança da Informação. 

O exame é composto de 40 perguntas, sendo necessário obter no mínimo 26 pontos para aprovação.  No Brasil você pode fazer o exame pela PROMETRIC no idioma inglês ou português.

O EXIN é um instituto Holandês independente, com mais de 40 anos de atuação, sem fins lucrativos, que tem como principal objetivo a melhora da qualidade do setor de tecnologia da informação, seus profissionais e usuários por meio da aplicação de testes e certificações.

É uma prova muito tranqüila, principalmente para quem já realizou os exames de certificação para ITIL, COBIT e ISO 20000. 

Estarei postando um resumo que utilizei para a realização do exame. Será uma série de cinco posts. 

Espero que gostem e façam um bom proveito.

Aguardem o primeiro post.