Mostrar registro simples

dc.creatorKonzen, Marcos Paulo
dc.date.accessioned2014-02-06
dc.date.available2014-02-06
dc.date.issued2013-02-26
dc.identifier.citationKONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013.por
dc.identifier.urihttp://repositorio.ufsm.br/handle/1/8276
dc.description.abstractIn the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008.eng
dc.formatapplication/pdfpor
dc.languageporpor
dc.publisherUniversidade Federal de Santa Mariapor
dc.rightsAcesso Abertopor
dc.subjectGestão de riscospor
dc.subjectPadrões de segurançapor
dc.subjectNormas de segurançapor
dc.subjectRisk managementeng
dc.subjectSecurity patternseng
dc.subjectSecurity standardseng
dc.titleGestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurançapor
dc.title.alternativeRisk management of information security based on standard NBR ISO/IEC 27005 using security patternseng
dc.typeDissertaçãopor
dc.description.resumoNos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC), e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência, elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a sua adoção por organizações menos experientes em processos de segurança. A reutilização de soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas em padrões de segurança que capturam e documentam o conhecimento de especialistas em segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo, atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.por
dc.contributor.advisor1Nunes, Raul Ceretta
dc.contributor.advisor1Latteshttp://lattes.cnpq.br/7947423722511295por
dc.contributor.referee1Fontoura, Lisandra Manzoni
dc.contributor.referee1Latteshttp://lattes.cnpq.br/8979575031016933por
dc.contributor.referee2Trentin, Marco Antônio Sandini
dc.contributor.referee2Latteshttp://lattes.cnpq.br/4746488333257798por
dc.contributor.referee3Winck, Ana Trindade
dc.contributor.referee3Latteshttp://lattes.cnpq.br/5075974938483862por
dc.creator.Latteshttp://lattes.cnpq.br/0090730291362664por
dc.publisher.countryBRpor
dc.publisher.departmentEngenharia de Produçãopor
dc.publisher.initialsUFSMpor
dc.publisher.programPrograma de Pós-Graduação em Engenharia de Produçãopor
dc.subject.cnpqCNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAOpor


Arquivos deste item

Thumbnail

Este item aparece na(s) seguinte(s) coleção(s)

Mostrar registro simples