Entre as Normas da ISO/IEC 27000, a ISO
27002 trata da adoção das práticas, imprescindíveis
para blindar a empresa contra ataques cibernéticos e
demais ameaças. Duas dessas práticas são descritas
a seguir.
I. É indispensável realizar a definição dos
procedimentos e das responsabilidades da
gestão e a operação de todos os recursos ligados
ao processamento das informações. Para isso, é
preciso gerenciar os serviços terceirizados, o
planejamento dos recursos dos sistemas para
reduzir riscos de falhas, a criação de processos
para gerar cópias de segurança, a recuperação e
a administração segura das redes de
comunicação.
II. Antes de contratar funcionários ou fornecedores,
é preciso fazer uma análise cuidadosa,
principalmente se forem ter acesso a informações
sigilosas. O objetivo dessa atitude é eliminar o
risco de roubo, mau uso ou fraude dos recursos.
Uma vez atuando na organização, o funcionário
deve ser conscientizado sobre as ameaças que
expõem a segurança da informação, bem como
sobre as suas obrigações e responsabilidades.
As práticas descritas em I / II são denominadas,
respectivamente: