METODOLOGIA PARA ANÁLISE E AVALIAÇÃO DE RISCOS POR COMPOSIÇÃO DE MÉTODOS / A METHODOLOGY FOR ANALYSIS AND RISKS ASSESSMENT BY METHODS COMPOSITION

Amaral, Marisa Munaretto

02 August 2011

The information has become a valuable asset for organizations, and computer systems, is subject to various types of threats. Risk management is responsible for ensuring the integrity, confidentiality and availability of this information, identifying key vulnerabilities and threats that surround an information system. To ensure the protection of assets and reduce the incidence of security breaches, it is necessary to adopt risk management practices. Several methods have been proposed for this purpose, however, some differ significantly from each other and may result in classifying different measurements, even when applied to the same domain. This thesis proposes a methodology for analysis and risk assessment, which uses the composition of methods for more accurate results, where the risk of higher priority is obtained by weighting the methods analyzed. In order to validate the proposed methodology, we developed a computational tool that automates all stages of the process and performs the calculations necessary to prioritize the risks. The application scenario was the Data Processing Center, Federal University of Santa Maria. As a result, we obtained risk indicators potentially more accurate, since they reflect the risks prioritized based on weighting of the methods analyzed. / A informação tornou-se um ativo valioso para as organizações e, em sistemas computacionais, está sujeita a diversos tipos de ameaças. A gestão de riscos é responsável por garantir a integridade, a confidencialidade e a disponibilidade dessas informações, identificando as principais vulnerabilidades e ameaças que cercam um sistema de informação. Para assegurar a proteção dos ativos e diminuir a incidência de falhas de segurança, é necessário adotar práticas de gerenciamento de riscos. Vários métodos já foram propostos com esse objetivo, no entanto, alguns divergem significativamente entre si, podendo resultar em quantificações classificatórias divergentes, mesmo sendo aplicados em um mesmo domínio. Este trabalho propõe uma metodologia para análise/avaliação de riscos, que utiliza a composição de métodos para obter resultados mais precisos, onde o risco de maior prioridade é obtido através da ponderação dos métodos analisados. Com o objetivo de validar a metodologia proposta, foi desenvolvida uma ferramenta computacional que automatiza todas as fases da metodologia e realiza os cálculos necessários para priorizar os riscos existentes. O cenário de aplicação foi o Centro de Processamento de Dados da Universidade Federal de Santa Maria. Como resultado, obteve-se indicadores de risco potencialmente mais precisos, uma vez que refletem os riscos priorizados com base na ponderação dos métodos analisados.

Análise de riscos

Segurança da informação

Metodologia

Cálculo do risco

Risk analysis

Information security

Methodology

Risk calculation