Metodologia para análise e avaliação de riscos por composição de métodos
Resumo
A informação tornou-se um ativo valioso para as organizações e, em sistemas computacionais, está sujeita a diversos tipos de ameaças. A gestão de riscos é responsável por garantir a integridade, a confidencialidade e a disponibilidade dessas informações, identificando as principais vulnerabilidades e ameaças que cercam um sistema de informação.
Para assegurar a proteção dos ativos e diminuir a incidência de falhas de segurança, é necessário adotar práticas de gerenciamento de riscos. Vários métodos já foram propostos com esse objetivo, no entanto, alguns divergem significativamente entre si, podendo resultar em quantificações classificatórias divergentes, mesmo sendo aplicados em um mesmo domínio. Este trabalho propõe uma metodologia para análise/avaliação de riscos, que utiliza a composição de métodos para obter resultados mais precisos, onde o risco de maior prioridade é obtido através da ponderação dos métodos analisados. Com o objetivo de validar a metodologia proposta, foi desenvolvida uma ferramenta computacional que automatiza todas as fases da metodologia e realiza os cálculos necessários para priorizar os riscos existentes. O cenário de aplicação foi o Centro de Processamento de Dados da Universidade Federal de Santa Maria. Como resultado, obteve-se indicadores de risco potencialmente mais precisos, uma vez que refletem os riscos priorizados com base na ponderação dos métodos analisados.