Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança

Detalhes bibliográficos
Ano de defesa: 2013
Autor(a) principal: Konzen, Marcos Paulo lattes
Orientador(a): Nunes, Raul Ceretta lattes
Banca de defesa: Fontoura, Lisandra Manzoni lattes, Trentin, Marco Antônio Sandini lattes, Winck, Ana Trindade lattes
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Universidade Federal de Santa Maria
Programa de Pós-Graduação: Programa de Pós-Graduação em Engenharia de Produção
Departamento: Engenharia de Produção
País: BR
Palavras-chave em Português:
Gestão de riscos
Padrões de segurança
Normas de segurança
Palavras-chave em Inglês:
Risk management
Security patterns
Security standards
Área do conhecimento CNPq:
CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO
Link de acesso: http://repositorio.ufsm.br/handle/1/8276
Resumo: In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008.
id UFSM-20_5c3ecc9fdede5c2f70b0f9f01bde4c2a
oai_identifier_str oai:repositorio.ufsm.br:1/8276
network_acronym_str UFSM-20
network_name_str Manancial - Repositório Digital da UFSM
repository_id_str
spelling 2014-02-062014-02-062013-02-26KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013.http://repositorio.ufsm.br/handle/1/8276In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008.Nos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC), e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência, elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a sua adoção por organizações menos experientes em processos de segurança. A reutilização de soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas em padrões de segurança que capturam e documentam o conhecimento de especialistas em segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo, atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.application/pdfporUniversidade Federal de Santa MariaPrograma de Pós-Graduação em Engenharia de ProduçãoUFSMBREngenharia de ProduçãoGestão de riscosPadrões de segurançaNormas de segurançaRisk managementSecurity patternsSecurity standardsCNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAOGestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurançaRisk management of information security based on standard NBR ISO/IEC 27005 using security patternsinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisNunes, Raul Cerettahttp://lattes.cnpq.br/7947423722511295Fontoura, Lisandra Manzonihttp://lattes.cnpq.br/8979575031016933Trentin, Marco Antônio Sandinihttp://lattes.cnpq.br/4746488333257798Winck, Ana Trindadehttp://lattes.cnpq.br/5075974938483862http://lattes.cnpq.br/0090730291362664Konzen, Marcos Paulo300800000005400500300500500300e2cd0d87-3ff6-4c82-8830-9ca8dea454ccbdc9544f-404c-4a72-b265-33ac4f319a04a9f5d87c-ca0a-4556-b515-b7d55123e23e028d6302-823b-4981-a58f-90b64868d7c65d9a1fdf-dc80-4ac8-b426-0f68de3173d5info:eu-repo/semantics/openAccessreponame:Manancial - Repositório Digital da UFSMinstname:Universidade Federal de Santa Maria (UFSM)instacron:UFSMORIGINALKONZEN, MARCOS PAULO.pdfapplication/pdf1221603http://repositorio.ufsm.br/bitstream/1/8276/1/KONZEN%2c%20MARCOS%20PAULO.pdf3598c1dcc8af4851447547862def7253MD51TEXTKONZEN, MARCOS PAULO.pdf.txtKONZEN, MARCOS PAULO.pdf.txtExtracted texttext/plain255512http://repositorio.ufsm.br/bitstream/1/8276/2/KONZEN%2c%20MARCOS%20PAULO.pdf.txt189514a287137cf0ea37a9765b37a298MD52THUMBNAILKONZEN, MARCOS PAULO.pdf.jpgKONZEN, MARCOS PAULO.pdf.jpgIM Thumbnailimage/jpeg5028http://repositorio.ufsm.br/bitstream/1/8276/3/KONZEN%2c%20MARCOS%20PAULO.pdf.jpg0ae6ccb4560d8632f96f76607cd81ec4MD531/82762023-05-31 11:15:32.077oai:repositorio.ufsm.br:1/8276Repositório Institucionalhttp://repositorio.ufsm.br/PUBhttp://repositorio.ufsm.br/oai/requestopendoar:39132023-05-31T14:15:32Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)false
dc.title.por.fl_str_mv Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
dc.title.alternative.eng.fl_str_mv Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns
title Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
spellingShingle Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
Konzen, Marcos Paulo
Gestão de riscos
Padrões de segurança
Normas de segurança
Risk management
Security patterns
Security standards
CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO
title_short Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
title_full Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
title_fullStr Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
title_full_unstemmed Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
title_sort Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
author Konzen, Marcos Paulo
author_facet Konzen, Marcos Paulo
author_role author
dc.contributor.advisor1.fl_str_mv Nunes, Raul Ceretta
dc.contributor.advisor1Lattes.fl_str_mv http://lattes.cnpq.br/7947423722511295
dc.contributor.referee1.fl_str_mv Fontoura, Lisandra Manzoni
dc.contributor.referee1Lattes.fl_str_mv http://lattes.cnpq.br/8979575031016933
dc.contributor.referee2.fl_str_mv Trentin, Marco Antônio Sandini
dc.contributor.referee2Lattes.fl_str_mv http://lattes.cnpq.br/4746488333257798
dc.contributor.referee3.fl_str_mv Winck, Ana Trindade
dc.contributor.referee3Lattes.fl_str_mv http://lattes.cnpq.br/5075974938483862
dc.contributor.authorLattes.fl_str_mv http://lattes.cnpq.br/0090730291362664
dc.contributor.author.fl_str_mv Konzen, Marcos Paulo
contributor_str_mv Nunes, Raul Ceretta
Fontoura, Lisandra Manzoni
Trentin, Marco Antônio Sandini
Winck, Ana Trindade
dc.subject.por.fl_str_mv Gestão de riscos
Padrões de segurança
Normas de segurança
topic Gestão de riscos
Padrões de segurança
Normas de segurança
Risk management
Security patterns
Security standards
CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO
dc.subject.eng.fl_str_mv Risk management
Security patterns
Security standards
dc.subject.cnpq.fl_str_mv CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO
description In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008.
publishDate 2013
dc.date.issued.fl_str_mv 2013-02-26
dc.date.accessioned.fl_str_mv 2014-02-06
dc.date.available.fl_str_mv 2014-02-06
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.citation.fl_str_mv KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013.
dc.identifier.uri.fl_str_mv http://repositorio.ufsm.br/handle/1/8276
identifier_str_mv KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013.
url http://repositorio.ufsm.br/handle/1/8276
dc.language.iso.fl_str_mv por
language por
dc.relation.cnpq.fl_str_mv 300800000005
dc.relation.confidence.fl_str_mv 400
500
300
500
500
300
dc.relation.authority.fl_str_mv e2cd0d87-3ff6-4c82-8830-9ca8dea454cc
bdc9544f-404c-4a72-b265-33ac4f319a04
a9f5d87c-ca0a-4556-b515-b7d55123e23e
028d6302-823b-4981-a58f-90b64868d7c6
5d9a1fdf-dc80-4ac8-b426-0f68de3173d5
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Universidade Federal de Santa Maria
dc.publisher.program.fl_str_mv Programa de Pós-Graduação em Engenharia de Produção
dc.publisher.initials.fl_str_mv UFSM
dc.publisher.country.fl_str_mv BR
dc.publisher.department.fl_str_mv Engenharia de Produção
publisher.none.fl_str_mv Universidade Federal de Santa Maria
dc.source.none.fl_str_mv reponame:Manancial - Repositório Digital da UFSM
instname:Universidade Federal de Santa Maria (UFSM)
instacron:UFSM
instname_str Universidade Federal de Santa Maria (UFSM)
instacron_str UFSM
institution UFSM
reponame_str Manancial - Repositório Digital da UFSM
collection Manancial - Repositório Digital da UFSM
bitstream.url.fl_str_mv http://repositorio.ufsm.br/bitstream/1/8276/1/KONZEN%2c%20MARCOS%20PAULO.pdf
http://repositorio.ufsm.br/bitstream/1/8276/2/KONZEN%2c%20MARCOS%20PAULO.pdf.txt
http://repositorio.ufsm.br/bitstream/1/8276/3/KONZEN%2c%20MARCOS%20PAULO.pdf.jpg
bitstream.checksum.fl_str_mv 3598c1dcc8af4851447547862def7253
189514a287137cf0ea37a9765b37a298
0ae6ccb4560d8632f96f76607cd81ec4
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
repository.name.fl_str_mv Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)
repository.mail.fl_str_mv
_version_ 1801223970310062080

Registros relacionados