Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002
- Catálogo: Livros da Brasport
- Modelo:025523
- Categorias
- - Negócios
- - Certificações EXIN
- - Informática e TI
- - Segurança
- - Ciência
- - Engenharia Automotiva
- Disponibilidade:Indisponível
- R$ 82,00R$ 65,60
R$ 57,73
(-12%)p/Pagamento por PIX
(CISSP) é consultor de negócios, voltado para segurança da informação e gestão de riscos, na TNO. Quando André concluiu seus estudos em Gestão de Tecnologia na Universidade de Eindhoven, ele começou a trabalhar em projetos inovadores de TIC. A partir de 2000 ele começou a se especializar na área de segurança da informação e gerenciamento de riscos. Em sua função atual, ele apoia organizações, tanto do setor público quanto do privado, no gerenciamento de riscos em ecossistemas complexos em rede. Sobre esse tema, ele é coautor do livro “Networked Risk Management: how to successfully manage risks in hyperconnected value networks”.
CISSP, CISM, trabalhou como oficial de segurança da informação e auditor EDP na Polícia Nacional holandesa de 1999 a 2002. Em 2002 se tornou consultor de segurança na Agência Nacional de Serviços de Polícia da Holanda. Nessa função, participou da formulação da política de segurança da informação da polícia holandesa. A partir de 2006 ele trabalhou como consultor de segurança, período em que aconselhou o governo e empresas comerciais sobre como conceber a sua segurança física e da informação. A partir de 2009, ele foi o Chefe da Segurança da Informação na Enexis BV, uma empresa de gás e energia elétrica na Holanda. Atualmente ele trabalha como consultor de segurança cibernética na DNV GL, uma empresa especializada de consultoria voltada para serviços públicos com foco particular na segurança dos sistemas de controle industrial.
CISSP CEH. Depois de trabalhar inicialmente por 21 anos no Ministério da Defesa, Jule trabalha desde 1999 na Capgemini como consultor de segurança cibernética. Ele possui mais de 30 anos de experiência em TI e passa a maior parte do seu tempo lidando com segurança da informação. Trabalhou em várias funções na área de gerência de projetos, gestão da informação, segurança física e da informação e biometria. Desde 2003, Jule é certificado CISSP em ISC2 e desde 2013 é certificado CEH (Certified Ethical Hacker). Desde 2012 ele está envolvido no desenvolvimento de uma Base para Segurança da Informação, com base na ISO/IEC 27001 e na ISO/IEC 27002 (versões de 2005 e 2013), para municípios holandeses. Tem também prestado apoio em torno da implementação de tal Base, desenvolvendo produtos adicionais para apoiar a sua implementação e montando uma equipe de suporte que fornece respostas de segurança aos municípios holandeses.
Consultor sênior, autônomo, de segurança da informação. Kees possui mais de 30 anos de experiência em TI e no provisionamento de informações, e trabalha na área de segurança da informação desde 1999. Em sua vida cotidiana Kees é um consultor, instrutor e “exemplo”, onde emprega o “método de senso comum”. Graças à sua experiência e integridade, ele tem sido bem-sucedido com vários empregos. Desde 2012 ele está envolvido no desenvolvimento de uma Base para Segurança da Informação, com base na ISO/IEC 27001 e na ISO/IEC 27002 (versões de 2005 e 2013), para municípios holandeses. Tem também prestado apoio em torno da implementação de tal Base, desenvolvendo produtos adicionais para apoiar a sua implementação e montando uma equipe de suporte que fornece respostas de segurança aos municípios holandeses. Ele também participou ativamente na criação de um CERT para os municípios holandeses.
Este livro prático e de fácil leitura explica de forma clara as abordagens, ou políticas, de gerenciamento de segurança da informação que muitas organizações podem analisar e implementar nos seus negócios. Ele aborda:
- Os requisitos de qualidade que uma organização pode ter para informações.
- Os riscos associados com os requisitos de qualidade no uso das informações.
- As medidas defensivas que são necessárias para mitigar os riscos associados.
- Como garantir a continuidade do negócio em caso de desastre.
- Se e quando reportar acidentes para fora da organização.
O livro também é útil para aqueles que desejam se preparar para um exame ISFS (Information Security Foundation) do EXIN. Um dos apêndices do livro traz um modelo do exame ISFS, incluindo comentários sobre as opções de resposta para as questões, ou seja, o anexo pode ser usado como treinamento para o exame oficial.
Todos os conceitos de segurança da informação apresentados nesta versão do livro estão baseados nas normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Além disso, o texto também faz referência a outros padrões internacionais de segurança da informação relevantes, quando apropriado. O livro também traz um estudo de caso real ao longo dos seus capítulos para demonstrar como os controles apresentados nas normas são levados da teoria à prática em um ambiente operacional.
| Comprimento | 24 cm |
| Edição | 1 |
| Formato | Livro físico |
| Idioma | Português |
| ISBN | 9788574528601 |
| Lançamento | 24 de janeiro de 2018 |
| Largura | 17 cm |
| Lombada | 13, cm |
| Páginas | 256 |
| Volume | 530.4 |
| Ano | 2018 |
| Sumário | 1. Introdução 1.1. O que é qualidade? 2. Estudo de Caso: Springbooks – Uma Livraria Internacional 2.1. Introdução 2.2. Springbooks 3. Definições e Conceitos de Segurança 3.1. Definições 3.2. Conceitos de segurança 3.3. Princípios fundamentais da segurança 3.4. Confidencialidade 3.5. Integridade 3.6. Disponibilidade 3.7. Hexagrama Parkeriano 3.8. Risco 3.9. Ameaça 3.10. Vulnerabilidade 3.11. Exposição 3.12. Contramedida ou salvaguarda 3.13. Avaliando riscos de segurança 3.13.1. Gerenciamento de riscos segundo a ISO 27005 3.13.2. Avaliação do risco 3.13.3. Abordagem sobre a análise de riscos segundo a ISO 27005 3.13.4. Análise quantitativa do risco 3.13.5. Análise qualitativa do risco 3.13.6. SLE, ALE, EF e ARO 3.14. ISO 27001:2013 mitigando os riscos à segurança 3.14.1. Controles 3.14.2. Considerando o tratamento de um risco 3.15. Contramedidas para mitigar o risco 3.15.1. Categorias das contramedidas 3.15.2. Prevenção
3.15.3. Detecção 3.15.4. Repressão 3.15.5. Correção (restauração) 3.15.6. Seguro 3.15.7. Aceitação 3.16. Tipos de ameaças 3.16.1. Ameaças humanas 3.16.2. Ameaças não humanas 3.17. Tipos de dano (ou impacto) 3.18. Tipos de estratégias de riscos 3.19. Caso Springbooks 4. O Contexto da Organização 4.1. Implantação de um ISMS 4.2. Entendendo a organização e seu contexto 4.3. Compreendendo as necessidades e expectativas das partes interessadas 4.4. Definindo o escopo do sistema de gerenciamento da segurança da informação 4.5. O modelo PDCA 4.5.1. Planejar (projetar o ISMS)
4.5.2. Executar (implementar o ISMS) 4.5.3. Checar (monitorar e checar o ISMS) 4.5.4. Agir (manter e ajustar o ISMS) 4.6. Posse ou controle 4.7. Autenticidade 4.8. Utilidade 4.9. Devida diligência e devido cuidado 4.10. Informação 4.10.1. Diferença entre dado e informação
4.10.2. Análise da informação 4.10.3. Informática 4.10.4. Valor do dado 4.10.5. Valor da informação
4.10.6. Informação como um fator de produção 4.10.7. Sistemas de informação 4.11. Gestão da informação 4.11.1. Computação distribuída 4.12. Processos operacionais e informações 4.13. Arquitetura da informação 4.13.1. A evolução da arquitetura da informação 4.14. Resumo 4.15. Caso Springbooks 5. Políticas de Segurança da Informação 5.1. Diretivas gerenciais para a segurança da informação 5.1.1. Políticas para a segurança da informação 5.1.2. Revisão das políticas de segurança da informação 6. Organização da Segurança da Informação 6.1. Papéis e responsabilidades da segurança da informação 6.1.1. Separação dos deveres 6.1.2. Contato com autoridades 6.1.3. Contato com grupos de interesse especiais 6.1.4. Segurança da informação e gerenciamento de projetos 6.2. Dispositivos móveis e trabalho remoto 6.2.1. Trabalho remoto 7. Segurança dos Recursos Humanos 7.1. Antes do emprego 7.1.1. Triagem e acordo de não divulgação 7.1.2. Contratados
7.2. Durante o emprego 7.2.1. Responsabilidades da gerência e conscientização 7.3. Rescisão e mudança de emprego 8. Gestão de Ativos 8.1. Responsabilidade pelos ativos 8.2. Gerenciando os ativos de negócio 8.3. Entendimentos sobre como lidar com ativos de negócio 8.4. O uso de ativos de negócio 8.5. Classificação da informação 8.6. Manuseio de mídia 8.7. BYOD 8.8. Na prática 9. Controle de Acesso 9.1. Requisitos de negócio para o controle de acesso 9.2. Gestão de acesso do usuário 9.3. Responsabilidades do usuário 9.4. Acesso a sistemas e aplicações 9.4.1. Formas de controle de acesso lógico 9.4.2. Guardas de segurança em pontos de acesso 10. Criptografia 10.1. Controles criptográficos 10.1.1. Políticas de criptografia 10.1.2. Gerenciamento de chaves 10.2. Tipos de sistemas criptográficos 10.2.1. Sistema simétrico
10.2.2. Sistema assimétrico 10.2.3. Infraestrutura de chave pública (Public Key Infrastructure – PKI)
10.2.4. Criptografia unidirecional
11. Segurança Física e do Ambiente 11.1. Áreas seguras 11.1.1. Anéis de proteção 11.1.2. Controles de entrada física 11.1.3. Protegendo escritórios, salas e instalações 11.1.4. Protegendo contra ameaças externas e ambientais 11.1.5. Trabalhando em áreas seguras 11.1.6. Áreas de carregamento e entrega 11.2. Equipamento 11.2.1. Localização e proteção do equipamento
11.2.2. Utilidades de apoio 11.2.3. Segurança do cabeamento 11.2.4. Manutenção de equipamento 11.2.5. Remoção de ativos 11.2.6. Segurança de equipamentos e ativos fora das instalações 11.2.7. Alienação segura ou reutilização do equipamento 11.2.8. Equipamentos não acompanhados 11.3. Resumo 12. Segurança Operacional 12.1. Procedimentos operacionais e responsabilidades 12.2. Gerenciamento de mudanças 12.3. Gerenciamento da capacidade 12.4. Proteção contra malware, phishing e spam 12.4.1. Malware 12.4.2. Phishing 12.4.3. Spam 12.5. Algumas definições 12.5.1. Vírus 12.5.2. Worm 12.5.3. Cavalo de Troia 12.5.4. Hoax 12.5.5. Bomba lógica 12.5.6. Spyware 12.5.7. Botnets 12.5.8. Rootkit 12.6. Backup 12.7. Registro e monitoração 12.7.1. Registro de eventos (log) 12.8. Controle do software operacional 12.9. Gestão de vulnerabilidades técnicas 12.9.1. Gerência de vulnerabilidades técnicas 13. Segurança das Comunicações 13.1. Gestão da segurança de rede 13.1.1. Controles de rede 13.1.2. Segurança dos serviços de rede 13.1.3. Segregação de redes 13.2. Transferência da informação 13.2.1. Mensagens eletrônicas 13.2.2. Contratos de confidencialidade ou de não divulgação 14. Aquisição, Desenvolvimento e Manutenção de Sistemas 14.1. Requisitos de segurança de sistemas de informação 14.1.1. Serviços para comércio eletrônico 14.1.2. Informações publicamente disponíveis 14.2. Segurança nos processos de desenvolvimento e suporte 14.3. Projeto de sistemas de informação seguros 14.4. Teste e aceitação de sistemas 14.5. Proteção dos dados de teste 15. Relação com Fornecedores 15.1. Segurança da informação na relação com fornecedores 15.1.1. Cadeia de suprimentos de tecnologia da informação e das comunicações 15.2. Gestão da prestação de serviços de fornecedores 16. Gestão de Incidentes de Segurança da Informação 16.1. Gestão de incidentes de segurança da informação e de melhorias 16.2. Reportando incidentes de segurança da informação 16.3. Relatando as fraquezas na segurança 16.4. Registro de interrupções 16.5. Incidentes de segurança da informação 16.6. Vazamentos de informações 16.7. Divulgação responsável 17. Aspectos da Segurança da Informação na Gestão de Continuidade dos Negócios 17.1. Continuidade da segurança da informação 17.1.1. Continuidade 17.1.2. O que são desastres?
17.1.3. Como a sua empresa responde a um desastre? 17.2. Plano de recuperação de desastres (Disaster Recovery Planning – DRP) 17.3. Testando o BCP 17.4. Redundâncias 17.4.1. Local redundante
17.4.2. Hotsite sob demanda 17.4.3. Locais de trabalho alternativos 17.4.4. Medidas para o staff
18. Conformidade 18.1. O que é conformidade? 18.1.1. Medidas de conformidade 18.1.2. Observância das disposições legais 18.1.3. Direitos de propriedade intelectual (Intellectual Property Rights – IPR) 18.1.4. Privacidade e proteção de informações de identificação pessoal 18.1.5. Protegendo dados e a confidencialidade de informações pessoais 18.1.6. Proteção de registros 18.2. Revisões de segurança da informação 18.2.1. Conformidade com políticas e padrões de segurança Apêndice A. Glossário Apêndice B. Visão Geral da Família de Normas ISO 27000 Apêndice C.1. Exemplo de Exame Introdução Apêndice C.2. Respostas Comentadas Apêndice C.3. Gabarito Apêndice D. Sobre os Autores Posfácio da Edição Brasileira Índice Remissivo |
Etiquetas: Fundamentos de Segurança da Informação, Livro Fundamentos de Segurança da Informação, Fundamentos de Segurança, Informação, Fundamentos, Segurança da Informação, Fundamentos, Segurança