A ISO/IEC 27002:2013 fornece diretrizes e normas para as práticas de segurança da informação. Ela inclui a seleção, implementação e o gerenciamento de controles que levam em consideração os ambientes de risco da segurança da informação da organização (LYRA, 2017, p. 287).
As abordagens dessa norma, além da implementação de uma Política de Segurança da Informação que é a elaboração e implementação de um documento, aprovado pela direção e com participação efetiva das várias áreas da organização, definindo políticas claras a alinhadas ao negócio, seguindo leis, boas práticas e regulamentos.
Portanto, a política de segurança impõe restrições sobre quais ações os sujeitos em um sistema podem fazer a respeito de objetos desse sistema, a fim de atingir objetivos específicos de segurança. Essas políticas são úteis e frequentemente imprescindíveis (GOODRICH e TAMASSIA., 2010, p. 438). Como sujeitos entenda-se os agentes que interagem com o sistema, os objetos são os recursos de informação e computacionais, ações se referem ao que os agentes podem fazer com relação aos recursos, acrescentemos a esses componentes as permissões e as proteções.
Deve-se instituir a segurança da informação na empresa que abranja infraestrutura interna, segurança na utilização de dispositivos móveis, atribuição de responsabilidades, a segregação de funções conflitantes, e segurança no uso dos recursos pelos funcionários, fornecedores e terceiros.
Tem que manter uma proteção adequada aos ativos de informação, software, ativos físicos, serviços, pessoas e a própria imagem da organização. Isto através de sistemas de RH e inventário e é importante ter bem identificados, classificados e documentados esses ativos e com a definição de certas regras de utilização e para definição dos níveis de proteção.
A ISO também trata dos aspectos de segurança referentes ao controle de acesso, definindo privilégios e restringindo os direitos de cada usuário e componentes do sistema ao mínimo necessário; o uso da criptografia; a segurança física do ambiente, das operações e das comunicações. Restringindo acesso a recursos físicos, como sala de servidores, dispositivos da rede e meios de armazenamento. E, também, Tratando da aquisição, desenvolvimento e manutenção de sistemas de informação, com atualizações frequentes, importantes para evitar comprometimentos quanto as vulnerabilidades possíveis.
E um parágrafo específico para tratar da administração da rede, com adoção de firewall e de configuração apropriada protegendo o tráfego, através da segmentação das grandes redes para minimizar o impacto de uma intrusão.
Trata da gestão de incidentes, das vulnerabilidades, da continuidade de negócio e de contingência para garantir a interrupção, e, finalmente trata da conformidade para evitar violação de quaisquer obrigações legais.