Hoje vou deixar por aqui uma resenha de um livro que li. O livro
é o “Sistemas de Segurança da Informação – Controlando os Riscos
”, do André
Campos. Como o próprio subtítulo já fala, ele é voltado a riscos, mas isso não
quer dizer que não aborda outros temas.
”, do André
Campos. Como o próprio subtítulo já fala, ele é voltado a riscos, mas isso não
quer dizer que não aborda outros temas.
O livro é de 2007 e está dividido em 2 partes, sendo 9
capítulos falando sobre Sistemas de Gestão e outros 13 capítulos falando sobre Controles
de Segurança da Informação. Por mais que a Segurança da informação tenha
crescido muito de 2007 para cá, isso não faz do livro algo desatualizado. Até
porque o autor se baseou nas normas ISO da família 27000 para escrever o livro.
Se você pensou: “Poxa, mas ele não fala nada sobre Hacking?”
Não! É um livro técnico para gestão da segurança da informação. Muita gente
ainda acha que segurança da informação só envolve implantar ferramentas como
antivírus, firewall, DLP. Mas não. Para que as implantações sejam bem
sucedidas, uma série de controles e avaliações deve ser feita. Quer um exemplo:
- Se você for implantar uma ferramenta nova no seu ambiente corporativo, o fornecedor da ferramenta passou por critérios de avaliação de segurança da informação? A rotina dos seus colaboradores pode alterar por causa dessa ferramenta, foi avaliado riscos que ela pode introduzir?
E assim por diante... Estas definições são algumas das rotinas comuns de quem trabalha com Governança e Gestão da Segurança da Informação.
Voltando ao livro, na primeira parte fala muito sobre
conceitos de Segurança da Informação, como definir um escopo de SGSI (acrônico
para Sistema de Gestão de Segurança da Informação), como controlar riscos e
sobre quais aspectos avaliar riscos, e fala também sobre monitorar e auditar o
SGSI.
A segunda parte envolve mais controles em forma de políticas
e normas. De modo geral, o livro sugere vários controles sob vários aspectos,
como pessoas, segurança física, controles de acesso, plano de continuidade,
etc..
A leitura é técnica, então é bom estar acostumado a esse
tipo de leitura.
O que me motivou a ler este livro?
Basicamente, li o livro na integra para relembrar todo o
conteúdo que eu já tinha visto na pós. Claro que as ISOs já mudaram de 2007
para cá, mas em linhas gerais o conteúdo ainda está atual. Alem disso, em 2014 foi feita uma edição atualizada do livro. Até porque, nem só
de hacking é feita a vida de uma pessoa que trabalha com segurança da
informação!
Se você quiser ler o livro também (a edição atualizada de 2014), ele está disponível neste
link da Amazon AQUI.
.
Se você for ler ou já tiver o lido, me diz o que achou
abaixo. 😉
