Modelo conceitual para o gerenciamento de riscos à segurança de instalações portuárias

Rosa, Izaias Otacílio da

January 2015

Tese (doutorado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Engenharia de Produção, Florianópolis, 2015. / Made available in DSpace on 2016-05-24T17:38:55Z (GMT). No. of bitstreams: 1 338268.pdf: 9498413 bytes, checksum: fa4f8b306afeda51b1acb396d5cb36fc (MD5) Previous issue date: 2015 / A atenção para com a proteção de infraestruturas críticas transformou-se em uma preocupação para a consecução de objetivos estratégicos de países e organizações. Com o reconhecimento de normas como o ISPS Code o governo brasileiro passou a exigir das instalações portuárias brasileiras a obrigatoriedade de estruturação de medidas protetivas para o atendimento de demandas pactuadas com entidades internacionais, dentre as quais, o desenvolvimento de planos de análise de riscos à segurança como condição preponderante para a gestão da segurança de instalações portuárias. Neste contexto, a presente pesquisa propõe um modelo para a análise de riscos à segurança de instalações portuárias, aperfeiçoando o entendimento de seus gestores a partir de uma perspectiva multicritério. Para a consecução deste objetivo a presente pesquisa elaborou o mapeamento deste tema; utilizou os pressupostos da metodologia MCDA-C para construiu o modelo conceitual proposto para a análise de riscos à segurança de instalações portuárias; e testou a proposta através de um estudo de caso realizado junto ao Terminal Portuário Santa Catarina. Os resultados apurados ao término da pesquisa evidenciaram contribuições científicas associadas a dois contextos específicos: (i) ao contexto da avaliação de desempenho com a identificação de lacunas de conhecimento e suas consequentes oportunidades de aprimoramento; (ii) ao contexto da norma de gestão de riscos ISO 31.000:2009 com a proposição de processo estruturado para operacionalizar a etapa de análise de riscos a partir da do emprego de MCDA-C, bem como, com o desenvolvimento de uma aplicação informatizada preconizada para este fim.<br> / Abstract : The attention to the protection of critical infrastructure became a concern for the achievement of strategic objectives of countries and organizations. With the recognition of standards such as the ISPS Code the Brazilian government began requiring the Brazilian port facilities the requirement for structuring protective measures to meet the agreed demands with international entities, among which, the development of security risk analysis plans as a major condition for managing the security of port facilities. In this context, this research proposes a model for risk analysis to security of port facilities, improving the understanding of its managers from a multi-criteria approach. To achieve this objective, the present study has developed the mapping of this issue; used the premises of the MCDA-C methodology to build our framework for risk analysis to security of port facilities; and tested the proposal through a case study conducted by the Port Terminal Santa Catarina. The results calculated at the end of the survey showed scientific contributions associated with two specific contexts: (i) the performance evaluation context with the identification of knowledge gaps and their consequent opportunities for improvement; (ii) the context of risk management standard ISO 31000: 2009 with the process of proposition structured to operationalize the risk analysis step from the use of MCDA-C as well as with the development of a recommended computerized application to this end.

Engenharia de produção

Portos

Medidas de segurança

Avaliação de riscos

Raclouds

Silva, Paulo Fernandes da

January 2015

Tese (doutorado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Ciência da Computação, Florianópolis, 2015. / Made available in DSpace on 2016-05-24T17:40:04Z (GMT). No. of bitstreams: 1 339456.pdf: 2374262 bytes, checksum: 6d136ec11e0672425a8b7151e7f197a9 (MD5) Previous issue date: 2015 / A computação em nuvem oferece benefícios em termos de disponibilidade e custo, porém afasta a gerência de segurança da informação do cliente da nuvem, transferindo-a para o provedor de serviços em nuvem. Com isto, o cliente perde o controle sobre a segurança de suas informações e serviços. Este fator tem desmotivado a migração para a computação em nuvem entre muitos clientes em potencial. Os esforços atualmente empreendidos para segurança da informação em nuvem são em sua maioria gerenciados pelo próprio provedor de serviços em nuvem, deixando o cliente novamente à margem da gerência de segurança de suas próprias informações e serviços. A análise de risco é uma importante ferramenta de gerenciamento de segurança da informação, que permite identificar as principais vulnerabilidades, ameaças e impactos em um ambiente de tecnologia da informação. Esta tese de doutorado apresenta um modelo de análise de risco para ambientes de computação em nuvem, no qual o provedor dos serviços de nuvem não seja o único responsável por todas as etapas da análise de risco. No modelo proposto o cliente da nuvem poderá realizar análises de risco em seu provedor de nuvem de modo abrangente, aderente e independente. O modelo proposto estabelece responsabilidades compartilhadas entre três entidades: Cliente, Provedor e Laboratório de Segurança, além de propor uma linguagem para representação do risco e um modelo para correlação entre os elementos integrantes da análise de risco (ameaças, vulnerabilidades e ativos de informação). A inclusão do agente demoninado de Laboratório de Segurança oferece mais credibilidade à análise de risco, tornando os resultados mais consistentes para o cliente da nuvem. Para realização de experimentos simulados foi desenvolvido um protótipo do modelo de análise de risco proposto, validando as características de abrangência, aderência e independência desejadas na análise de risco em nuvem.<br> / Abstract : Cloud computing offers benefits in terms of availability and cost, but away from the security management of the cloud customer information, transferring it to the cloud service provider. With this, the client loses control over the security of their information and services. This factor has discouraged migration to cloud computing among many potential customers. Efforts currently undertaken to cloud information security are mostly managed by own cloud services provider, leaving the client again on the margins of safety management of their own information and services. Risk analysis is an important information security management tool that enables you to identify the main vulnerabilities, threats and impacts in an information technology environment. This doctoral thesis presents a risk analysis model for cloud computing environments in which the provider of cloud services is not solely responsible for all risk analysis stages. In the model proposed the cloud customer can perform risk analysis on your cloud provider in a comprehensive way, bonded and independent. The proposed model establishes shared responsibilities among three entities: Customer, Provider and Security Laboratory, in addition to proposing a language for risk representation and a model to correlate the risk analysis integral elements (threats, vulnerabilities and information assets). The inclusion of the Security Laboratory agent provides more credibility to the risk analysis, making the most consistent results for the cloud customer. To perform simulated experiments it developed a prototype of the proposed risk analysis model, validating the completeness of features, grip and independence desired in cloud risk analysis.

Informática

Computação

Computação em nuvem

Medidas de segurança

Avaliação de riscos