Sunday, February 21, 2016

Livro Recomendado: Governança de Segurança da Informação - Como criar oportunidades para o seu negócio

Há dezenas de livros muito bons na área de Segurança da Informação (SI), porém com foco mais técnico. Quando falamos de Gestão de Segurança as opções diminuem sensivelmente. Uma alternativa bem interessante é o livro "Governança de Segurança da Informação - Como criar oportunidades para o seu negócio", do Sérgio da Silva Manoel. Trata-se de um livro publicado em 2014 e que aborda todos os aspectos importantes para o estabelecimento de um sistema de gestão de SI.


O autor é um profissional experiente na área de SI, tendo participado em inúmeros projetos relacionados ao tema. Claro que isso, por si só, não garante a qualidade e, principalmente, a didática na transmissão do conhecimento. Este livro, entretanto, é bem escrito e estruturado, sendo possível a leitura sequencial ou consulta direta a temas específicos. Pode ser lido tanto por profissionais em início de carreira quanto por aqueles que já estão na estrada há um bom tempo.

No capítulo 1, o autor descreve os principais aspectos da Governança Corporativa, incluindo a definição da estrutura e responsabilidades. Esta introdução é muito importante uma vez que a Governança de Segurança da Informação (GSI) é um dos pilares importantes da Governança Corporativa.

No capítulo 2 é apresentado um modelo de GSI de acordo com o proposto pela norma ABNT NBR ISO/IEC 27014:2013. A norma é bem clara em relação ao que deve ser feito mas o autor descreve como fazer. Aliás, esta é a principal característica deste livro uma vez que não se limita a repetir teoria ou bullets com itens das normas. Descreve os princípios para estabelecimento da Gestão de Segurança, introdução aos papeis e responsabilidades do CISO e do Comitê de SI, além dos processos importantes (avaliação, direção, monitoração, comunicação e garantia). Outro alinhamento descrito neste capítulo diz respeito ao uso do COBIT 5 como framework para este modelo de GSI. Talvez o ponto forte deste capítulo seja a tabela exemplo, descrita na página 46, que mostra a avaliação do nível de conformidade dos processos de SI em relação ao COBIT 5.

No capítulo 3 temos a priorização das ações de SI em relação aos processos críticos de negócio. Talvez um dos capítulos mais importantes porque define a melhor estratégia de priorização. Afinal de contas, faltam tempo, recursos e profissionais para executar tudo o que se espera de uma área de SI. São apresentadas as técnicas para levantamento das áreas e processos de negócios e definição dos aspectos de relevância, impacto (confidencialidade, integridade e disponibilidade), prioridade (gravidade, urgência e tendência) e a forma de consolidação e apresentação dos resultados.

O capítulo 4 descreve o ciclo PDCA (Plan, Do, Check, Act) para gestão de SI e a metodologia para diagnóstico dos processos de SI, segundo a norma ABNT NBR ISO/IEC 27002:2013. Este diagnóstico é muito importante para identificar os gaps da organização e o que deverá ser priorizado. Aqui também são descritos em detalhes a função e responsabilidades do CISO e do Escritório de SI.

O capítulo 5 talvez seja o mais prático de todos uma vez que são descritos os passos para uma efetiva implantação da GSI. Define o Plano Estratégico de Segurança da Informação (PESI), a matriz SWOT, os objetivos estratégicos da SI, o retorno de investimento, criação de indicadores, planejamento (curto/médio/longo prazos) além, é claro, dos Planos de Ação. Uma metodologia estruturada e bem completa.

Para finalizar, o capítulo 6 contempla a família de normas ISO 27000, incluindo o histórico destas normas, resumo das normas relevantes (27001:2006, 27002:2005, 27004:2010, 27005: 2011, etc). E mostra também o que mudou na versão 2013 das normas 27001 e 27002.

Definitivamente este livro é uma ótima referência para aqueles que necessitam implantar um GSI. Infelizmente, o nível de maturidade da grande maioria das empresas no Brasil ainda não permite aplicar tudo o que é proposto no livro.  Isso se deve a diversos fatores como falta de recursos, falta de alinhamento da área de SI (ou do gestor) aos requisitos de negócios, entre outros. Mas de qualquer forma, aqui está uma obra bem estruturada e robusta que facilita a concretização deste desafio.

No comments:

Post a Comment