Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.

Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.

O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tend...

Full description

Bibliographic Details
Main Author: Malandrin, Leandro José Aguilar Andrijic
Other Authors: Carvalho, Tereza Cristina Melo de Brito
Format: Others
Language:pt
Published: Biblioteca Digitais de Teses e Dissertações da USP 2013
Subjects:
Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
Online Access:http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/
id ndltd-usp.br-oai-teses.usp.br-tde-27122013-104448
record_format oai_dc
collection NDLTD
language pt
format Others
sources NDLTD
topic Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
spellingShingle Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
Malandrin, Leandro José Aguilar Andrijic
Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
description O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. === The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.
author2 Carvalho, Tereza Cristina Melo de Brito
author_facet Carvalho, Tereza Cristina Melo de Brito
Malandrin, Leandro José Aguilar Andrijic
author Malandrin, Leandro José Aguilar Andrijic
author_sort Malandrin, Leandro José Aguilar Andrijic
title Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_short Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_full Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_fullStr Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_full_unstemmed Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_sort modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de tic, computação em nuvem e mobilidade.
publisher Biblioteca Digitais de Teses e Dissertações da USP
publishDate 2013
url http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/
work_keys_str_mv AT malandrinleandrojoseaguilarandrijic modelodesuporteapoliticasegestaoderiscosdesegurancavoltadoaterceirizacaodeticcomputacaoemnuvememobilidade
AT malandrinleandrojoseaguilarandrijic supportframeworkforsecuritypoliciesandriskmanagementfocusedonitcoutsourcingcloudcomputingandmobility
_version_ 1719075576484986880
spelling ndltd-usp.br-oai-teses.usp.br-tde-27122013-1044482019-05-09T21:43:38Z Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade. Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility. Malandrin, Leandro José Aguilar Andrijic Cloud computing Computação em nuvem Gestão de riscos Gestão de segurança da informação Information security Information security management Mobilidade Mobility Outsourcing Políticas de segurança Risk analysis Security policies Segurança da informação Terceirização O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario. Biblioteca Digitais de Teses e Dissertações da USP Carvalho, Tereza Cristina Melo de Brito 2013-04-05 Dissertação de Mestrado application/pdf http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/ pt Liberar o conteúdo para acesso público.

Similar Items