In the last years more vulnerabilities and threats have emerged, compromising information
security in Information and Communication Technology (ICT) systems. In addition, many
organizations are unprepared to deal with the risks of information security, making them the
most vulnerable to such threats. Thus the negative impact caused by security incidents tends
to be more frequent. The implementation of information security risk management based on a
set of best practices is critical, but still a challenge for most companies. This work proposes a
methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology
presents a sequence of activities and a series of guidelines and goals that must be achieved to
make the risk management effective. As with most standards and reference models, the
methodology does not describe how activities should be implemented, which makes it
difficult to implement for organizations less experienced in security procedures. The reuse of
solutions already tested and consolidated to recurring security problems it can assist in
ensuring the use of best practices. These solutions can be found in security standards that
capture and document the knowledge of security experts, but its application to develop
standards for risk management activities is unknown. Thus, this work reviews the guidelines
of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security
patterns to develop activities in accordance with the guidelines described by the standard.
Therefore, the main contribution of this work is to develop a methodology for risk
management centered in solutions, tasks and techniques described by 22 security standards.
An analysis and risk assessment using security standards was applied to a DC (Data Center)
of a private university, whose result shows the final risk for each asset, meeting the guidelines
of NBR ISO/IEC 27005:2008. / Nos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a
segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC),
e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da
informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos
incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos
de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém
ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de
gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência
de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o
gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência,
elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a
sua adoção por organizações menos experientes em processos de segurança. A reutilização de
soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode
auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas
em padrões de segurança que capturam e documentam o conhecimento de especialistas em
segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de
gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR
ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança
para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a
principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão
de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma
análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma
instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo,
atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.
| Identifer | oai:union.ndltd.org:IBICT/oai:repositorio.ufsm.br:1/8276 |
| Date | 26 February 2013 |
| Creators | Konzen, Marcos Paulo |
| Contributors | Nunes, Raul Ceretta, Fontoura, Lisandra Manzoni, Trentin, Marco Antônio Sandini, Winck, Ana Trindade |
| Publisher | Universidade Federal de Santa Maria, Programa de Pós-Graduação em Engenharia de Produção, UFSM, BR, Engenharia de Produção |
| Source Sets | IBICT Brazilian ETDs |
| Language | Portuguese |
| Detected Language | Portuguese |
| Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
| Format | application/pdf |
| Source | reponame:Repositório Institucional da UFSM, instname:Universidade Federal de Santa Maria, instacron:UFSM |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | 300800000005, 400, 500, 300, 500, 500, 300, e2cd0d87-3ff6-4c82-8830-9ca8dea454cc, bdc9544f-404c-4a72-b265-33ac4f319a04, a9f5d87c-ca0a-4556-b515-b7d55123e23e, 028d6302-823b-4981-a58f-90b64868d7c6, 5d9a1fdf-dc80-4ac8-b426-0f68de3173d5 |
Page generated in 0.006 seconds