Livro: Praticando a Segurança da Informação - Orientações práticas alinhadas com Norma NBR ISO/IEC 27002 e ISO/IEC 27001, Norma NBR 15999-1, COBIT, ITIL
Atualmente a
Segurança da Informação é um termo tão em voga, que muitas pessoas falam sobre o assunto e no entanto não possuem arcabouço técnico e vivencial para aprofundar-se no mesmo e realizar uma digressão com segurança e maestria.
Com mais de dez anos de prática na área de TIC, poucas vezes vi um livro tão profundo e pragmático no campo da Segurança da Informação como o
Praticando a Segurança da Informação, de Edison Fontes - Editora Brasport.
O que é mais interessante é que o autor não se atém única e exclusivamente à teoria da Segurança em TI, mas procura propor formas de implementação de políticas de segurança, alinhadas às normas NBR ISO/IEC 27002 e 27001. NBR 15999-1, COBIT e ITIL, facilitando o processo através da utilização das ferramentas de boas práticas que tais normas oferecem ao ambiente de gestão organizacional.
Esses motivos apresentados acima darão a entender, resumidamente, os motivos que me levaram a escolher esse livro para escrever uma resenha. Além dos já citados, confesso que tenho dificuldades em encontrar no mercado editorial, bons livros em português acerca do assunto, ainda mais um que aborda a teoria e a prática da implementação de políticas de segurança concomitante as normas com maior reconhecimento no mercado de TI em todo o mundo.
A organização dos temas no livro segue uma lógica bem estruturada, que permite o leitor compreender os fundamentos da SI (Segurança da Informação), os parâmetros que definem suas aplicações, instrumentos de controle e aferição, além das normas citadas acima e os planos de continuidade do negócio. A estrutura dos temas nos oferece uma leitura tranquila, compreensível e sem jargões que dificultam a compreensão do iniciante na área ou uma abordagem superficial que frustraria o leitor mais experiente.
No início de cada capítulo o autor faz referência às Normas ISO, COBIT e ITIL que possuem ligação com o conteúdo do referido capítulo. Como as normas dizem apenas o que fazer, mas não ensinam como, o autor nos dá em todos os capítulos do livro ferramentas que possibilitam a execução prática do que as normas se referem.
Tudo isso possibilita facilitar as atividades de quem é responsável pela implementação, gestão e manutenção dos processos da segurança da informação.
Nos três primeiros capítulos, o autor Edison Fontes, aborda a questão da Gestão da Segurança da Informação, parceiros e processos de apoio, onde os aspectos básicos e os que estão ao derredor dos processos de gestão da segurança da informação são delineados e suas correlações ficam mais claras, facilitando a compreensão do modo como um afeta o outro.
No quarto capítulo, a questão levantada é a continuidade do negócio. Frente às emergências, desastres e indisponibilidade do negócio e processos envolvidos, o profissional precisa ser capaz de lidar com as contingências de forma que o elo de disponibilidade da segurança da informação seja restabelecido. Nesse capítulo, o autor faz colocações acerca da necessidade de haver um plano de continuidade do negócio e sua constante reavaliação através de testes periódicos para descobrir se o mesmo permanece atual, de acordo com a política de segurança e as necessidades da organização.
Os capítulos de 5 ao 10 são dedicados às questões sobre a privacidade das pessoas, a pessoa como parte integrante do processo de implementação, manutenção e gestão da política de segurança da informação, classificação e o acesso à informação. O aspecto da privacidade de um membro da organização sujeita a uma política de segurança da informação, é um tema discutido em todo o mundo, pois as facetas legais envolvidas são variadas.
Até que ponto deve existir a privacidade e onde a empresa pode e deve implantar controles que são essenciais para a política de segurança? Essa discussão leva-nos, também, às situações de empresas e organizações que utilizam os dados pessoais dos indivíduos que interagem com a mesma. Tudo isso é abordado no quesito privacidade.
A continuidade do assunto é justamente a necessidade da conscientização das pessoas para os perigos, aspectos e necessidade dos processos de segurança, e até que ponto o indivíduo é responsável e precisa atuar em conjunto com a organização para mitigar os riscos e auxiliar na gestão da política.
E quando fala sobre conscientização, o autor também aborda a classificação das informações, a validação e autenticação. Quem pode acessar o quê, quem não pode, o que é confiável e o que não é, são assuntos importantes que toda organização deve controlar, para que os pilares de integridade e confidencialidade não sejam conspurcados, atrapalhando processos e gerando dúvidas quanto a capacidade organizacional de manter suas informações e de seus clientes à salvo de acesso e alterações não autorizadas.
Um auxílio encontrado no capítulo 9, por exemplo, é a orientação para aqueles profissionais que repentinamente encontram-se nomeados para um cargo que não pensavam ocupar ou que possuem pouca experiência no assunto: Information Security Officer. Nesse capítulo, estão delineadas as funções básicas do cargo, são elas:
- Fazer acontecer a segurança;
- Buscar soluções adequadas à realidade da organização;
- Estruturar o processo de segurança;
- Trabalhar em paralelo com a auditoria;
- Saber por onde começar.
E aborda também as ações que devem ser seguidas na atuação profissional:
- Conhecer teoria e conceitos fundamentais;
- Não se frustrar por não conhecer tudo;
- Saber que o objetivo é a organização;
- Não ser o responsável pela segurança;
- Estar em conexão com o mundo;
- Unir ética com responsabilidade;
- Buscar associações de profissionais.
É justamente nas mãos desse profissional que recaem as responsabilidades da gestão da segurança da informação, e algumas das ações que o autor coloca como importantes para serem tomadas visando o sucesso são:
- Definição e implantação de um processo;
- Existência do processo de segurança por causa do negócio;
- Identificação do nível adequado de segurança;
- Consideração dos ambientes de tecnologia e convencional;
- Comprometimento do usuário;
- Patrocínio explícito e verdadeiro da direção;
- Responsabilidade pelo processo de segurança da informação.
No capítulo 11, encontramos informações sobre os riscos inerentes à existência de qualquer organização, e que nós, como gestores de segurança da informação, seremos confrontados cotidianamente. É justo nesse capítulo onde encontramos maior motivação para a implementação de processos de segurança, pois compreendemos a real necessidade dos mesmos e vemos as consequências possíveis em casos onde esses processos não existiam e não havia planejamento para lidar com contingências.
No capítulo seguinte, o autor nos traz uma explicação, com comentários e considerações sobre as normas ISO/IEC 27002 e NBR 15999-1, explicando seus escopos e deixando explícito que tais normas não são documentos completos em si, mas pontos de partida para discussões e criação de normas, processos e políticas de segurança da informação.
E nos dois últimos capítulos, 13 e 14, são apresentados o QBASI (Questionário Básico de Avaliação de Segurança da Informação) e exemplos de elaboração de políticas e regulamentos de segurança. Essas ferramentas são o corolário do livro, apresentando as possibilidades da implementação dos processos de segurança tão vitais hoje em dia para a proteção e gerenciamento correto das informações existentes em determinada organização.
O livro, como um todo, é um aliado indispensável para todo profissional que atue no segmento de gerenciamento, gestão, implantação e manutenção de normas, políticas, regulamentos e processos de segurança da informação. Nele encontramos os princípios teóricos básicos, que nos levam desde a análise inicial das necessidades da organização à implantação das políticas de segurança e posterior avaliação do funcionamento das mesmas.
E o fato de todas as abordagens do livro estarem alinhadas às normas internacionais como COBIT, ITIL por exemplo, já é um grande ponto à favor para profissionais que trabalham com as mesmas em suas organizações e tinham dificuldade de encontrar meios para a implementação dos princípios técnico explanados por tais normas.
Finalizando, considero o livro "Praticando a Segurança da Informação" como uma ferramenta alinhada às necessidades atuais de toda e qualquer organização que precisa implantar controles e políticas de segurança, pois no mercado editorial vemos muitas publicações que abordam a teoria ou visam única e exclusivamente certificações.
No entanto, o livro citado nos apresenta aspectos práticos, aliados a teoria necessária para sua compreensão e posterior implementação dos princípios apresentados pelo autor, pessoa capacitada e experiente na área da segurança.
Luiz Vieira - Analista de Segurança em TI