Uma metodologia para o cálculo do Índice de maturidade da segurança informática

Monteiro, Sérgio Manuel Barbosa

http://hdl.handle.net/10400.22/10716

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
DM_SergioMonteiro_MEI_2017.pdf	DM_SergioMonteiro_MEI_2017	3.11 MB	Adobe PDF	Download

Send Feedback

Authors

Monteiro, Sérgio Manuel Barbosa

Advisor(s)

Magalhães, João Paulo

Abstract(s)

Os Sistemas de Informação (SI) baseados em tecnologias computacionais continuam a ditar uma profunda mudança nas organizações e nas pessoas. Eles são fundamentais para suportar as atividades em áreas operacionais, táticas e estratégicas, bem como a competitividade, sustentabilidade e o desenvolvimento das organizações. A dependência destes sistemas tem um senão. O risco associado à indisponibilidade dos sistemas, extravio de informação e adulteração de dados cresce tornando necessária a adoção de medidas eficazes para mitigar o risco. Neste âmbito surgem modelos de avaliação de risco quantitativos e qualitativos que permitem às organizações avaliar o risco face à exploração de vulnerabilidades existente e grau de ameaça considerando sempre o valor do bem a proteger. Ainda que extremamente importantes, estes modelos exigem alguma maturidade por parte das empresas dificultando a sua adoção em massa. Neste trabalho, propomos uma metodologia entry-level para o cálculo do Índice de Maturidade da Segurança Informática das organizações (IMSI). Esta metodologia baseia-se na análise de três eixos e três áreas funcionais (pessoas, processos e tecnologia) e pretende ser uma primeira abordagem, com a simplicidade da linguagem e foco no destinatário, para a medição quantitativa de potenciais riscos à segurança de informação. A metodologia já foi aplicada em contexto real e os resultados revelam a sua utilidade. Os resultados são simples de entender facilitando a disseminação de uma cultura de consciencialização de segurança, ao mesmo tempo que permitem às organizações a adoção de medidas imediatas para mitigar os principais problemas encontrados ou contribuir para justificar uma análise de risco mais profunda.

Information Systems (IS) based on computer technologies continue to pose a profound change in organizations and people. IS are fundamental to support operational, tactical and strategic activities, as well as the competitiveness, sustainability and development of organizations. Unfortunately, the higher dependence of these systems has a main drawback, i.e., the risk associated with unavailability, data leaks and data tampering increases, making it necessary to take effective risk mitigation measures. There are a few of quantitative and qualitative risk models that allow organizations to measure the risk considering the type of vulnerabilities and degree of threat. The models are extremely important, but they require some maturity from the organisations making it difficult its mass adoption. In this work, we propose an entry-level methodology for the determination of a Maturity Index of Computer Security. This methodology is based on the analysis of three axes and three functional areas (people, processes and technology) and aims to be a first approach, with the simplicity of language and focus on the recipient, for the quantitative measurement of potential security risks. The methodology has already been applied in a real context and the results reveals the usefulness of it. Its results are simply to understand facilitating the spread of a security awareness culture, while allow the organisations to take immediate actions to mitigate the main issues found or contribute to justify a deeper risk analysis.