Um modelo conceitual para especificação da gestão de riscos de segurança em sistemas de informação
Abstract
A falta de alinhamento entre os conceitos que envolvem a gestão de riscos de segurança tem causado um impasse na adoção de modelos de gestão de riscos de segurança pelas
organizações. Há diversas normas e metodologias de gestão de riscos e de segurança que possuem uma série de conceitos e são definidos de várias maneiras. Para obter o alinhamento desses conceitos e estabelecer um vocabulário próprio para a gestão de riscos, este trabalho utilizou a modelagem conceitual para o domínio da gestão de riscos de segurança. Com a modelagem conceitual foi possível abstrair esses conceitos e obter um modelo conceitual para a especificação da gestão de riscos de segurança, chamado GRiSSI (Gestão de Riscos de Segurança de Sistemas de Informação). Algumas métricas também foram propostas para os conceitos identificados no modelo conceitual, com o intuito de contribuir para promover melhorias e efetuar correções em processos de
segurança. O modelo conceitual proposto foi validado por meio da verificação feita como a aplicação de auditorias e métricas para modelos UML.