Resenha do livro: Sistemas de Segurança da Informação - Controlando os Riscos

Hoje vou deixar por aqui uma resenha de um livro que li. O livro é o “Sistemas de Segurança da Informação – Controlando os Riscos”, do André Campos. Como o próprio subtítulo já fala, ele é voltado a riscos, mas isso não quer dizer que não aborda outros temas.

O livro é de 2007 e está dividido em 2 partes, sendo 9 capítulos falando sobre Sistemas de Gestão e outros 13 capítulos falando sobre Controles de Segurança da Informação. Por mais que a Segurança da informação tenha crescido muito de 2007 para cá, isso não faz do livro algo desatualizado. Até porque o autor se baseou nas normas ISO da família 27000 para escrever o livro.

Se você pensou: “Poxa, mas ele não fala nada sobre Hacking?” Não! É um livro técnico para gestão da segurança da informação. Muita gente ainda acha que segurança da informação só envolve implantar ferramentas como antivírus, firewall, DLP. Mas não. Para que as implantações sejam bem sucedidas, uma série de controles e avaliações deve ser feita. Quer um exemplo:

• Se você for implantar uma ferramenta nova no seu ambiente corporativo, o fornecedor da ferramenta passou por critérios de avaliação de segurança da informação? A rotina dos seus colaboradores pode alterar por causa dessa ferramenta, foi avaliado riscos que ela pode introduzir?

E assim por diante... Estas definições são algumas das rotinas comuns de quem trabalha com Governança e Gestão da Segurança da Informação.

Voltando ao livro, na primeira parte fala muito sobre conceitos de Segurança da Informação, como definir um escopo de SGSI (acrônico para Sistema de Gestão de Segurança da Informação), como controlar riscos e sobre quais aspectos avaliar riscos, e fala também sobre monitorar e auditar o SGSI.

A segunda parte envolve mais controles em forma de políticas e normas. De modo geral, o livro sugere vários controles sob vários aspectos, como pessoas, segurança física, controles de acesso, plano de continuidade, etc..

A leitura é técnica, então é bom estar acostumado a esse tipo de leitura.

O que me motivou a ler este livro?

Basicamente, li o livro na integra para relembrar todo o conteúdo que eu já tinha visto na pós. Claro que as ISOs já mudaram de 2007 para cá, mas em linhas gerais o conteúdo ainda está atual. Alem disso, em 2014 foi feita uma edição atualizada do livro. Até porque, nem só de hacking é feita a vida de uma pessoa que trabalha com segurança da informação! 😉

Se você quiser ler o livro também (a edição atualizada de 2014), ele está disponível neste link da Amazon AQUI.

Se você for ler ou já tiver o lido, me diz o que achou abaixo. 😉