Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
Ano de defesa: | 2013 |
---|---|
Autor(a) principal: | |
Orientador(a): | |
Banca de defesa: | , , |
Tipo de documento: | Dissertação |
Tipo de acesso: | Acesso aberto |
Idioma: | por |
Instituição de defesa: |
Universidade Federal de Santa Maria
|
Programa de Pós-Graduação: |
Programa de Pós-Graduação em Engenharia de Produção
|
Departamento: |
Engenharia de Produção
|
País: |
BR
|
Palavras-chave em Português: | |
Palavras-chave em Inglês: | |
Área do conhecimento CNPq: | |
Link de acesso: | http://repositorio.ufsm.br/handle/1/8276 |
Resumo: | In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008. |
id |
UFSM-20_5c3ecc9fdede5c2f70b0f9f01bde4c2a |
---|---|
oai_identifier_str |
oai:repositorio.ufsm.br:1/8276 |
network_acronym_str |
UFSM-20 |
network_name_str |
Manancial - Repositório Digital da UFSM |
repository_id_str |
|
spelling |
2014-02-062014-02-062013-02-26KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013.http://repositorio.ufsm.br/handle/1/8276In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008.Nos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC), e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência, elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a sua adoção por organizações menos experientes em processos de segurança. A reutilização de soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas em padrões de segurança que capturam e documentam o conhecimento de especialistas em segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo, atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.application/pdfporUniversidade Federal de Santa MariaPrograma de Pós-Graduação em Engenharia de ProduçãoUFSMBREngenharia de ProduçãoGestão de riscosPadrões de segurançaNormas de segurançaRisk managementSecurity patternsSecurity standardsCNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAOGestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurançaRisk management of information security based on standard NBR ISO/IEC 27005 using security patternsinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisNunes, Raul Cerettahttp://lattes.cnpq.br/7947423722511295Fontoura, Lisandra Manzonihttp://lattes.cnpq.br/8979575031016933Trentin, Marco Antônio Sandinihttp://lattes.cnpq.br/4746488333257798Winck, Ana Trindadehttp://lattes.cnpq.br/5075974938483862http://lattes.cnpq.br/0090730291362664Konzen, Marcos Paulo300800000005400500300500500300e2cd0d87-3ff6-4c82-8830-9ca8dea454ccbdc9544f-404c-4a72-b265-33ac4f319a04a9f5d87c-ca0a-4556-b515-b7d55123e23e028d6302-823b-4981-a58f-90b64868d7c65d9a1fdf-dc80-4ac8-b426-0f68de3173d5info:eu-repo/semantics/openAccessreponame:Manancial - Repositório Digital da UFSMinstname:Universidade Federal de Santa Maria (UFSM)instacron:UFSMORIGINALKONZEN, MARCOS PAULO.pdfapplication/pdf1221603http://repositorio.ufsm.br/bitstream/1/8276/1/KONZEN%2c%20MARCOS%20PAULO.pdf3598c1dcc8af4851447547862def7253MD51TEXTKONZEN, MARCOS PAULO.pdf.txtKONZEN, MARCOS PAULO.pdf.txtExtracted texttext/plain255512http://repositorio.ufsm.br/bitstream/1/8276/2/KONZEN%2c%20MARCOS%20PAULO.pdf.txt189514a287137cf0ea37a9765b37a298MD52THUMBNAILKONZEN, MARCOS PAULO.pdf.jpgKONZEN, MARCOS PAULO.pdf.jpgIM Thumbnailimage/jpeg5028http://repositorio.ufsm.br/bitstream/1/8276/3/KONZEN%2c%20MARCOS%20PAULO.pdf.jpg0ae6ccb4560d8632f96f76607cd81ec4MD531/82762023-05-31 11:15:32.077oai:repositorio.ufsm.br:1/8276Repositório Institucionalhttp://repositorio.ufsm.br/PUBhttp://repositorio.ufsm.br/oai/requestopendoar:39132023-05-31T14:15:32Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)false |
dc.title.por.fl_str_mv |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
dc.title.alternative.eng.fl_str_mv |
Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns |
title |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
spellingShingle |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança Konzen, Marcos Paulo Gestão de riscos Padrões de segurança Normas de segurança Risk management Security patterns Security standards CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO |
title_short |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
title_full |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
title_fullStr |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
title_full_unstemmed |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
title_sort |
Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança |
author |
Konzen, Marcos Paulo |
author_facet |
Konzen, Marcos Paulo |
author_role |
author |
dc.contributor.advisor1.fl_str_mv |
Nunes, Raul Ceretta |
dc.contributor.advisor1Lattes.fl_str_mv |
http://lattes.cnpq.br/7947423722511295 |
dc.contributor.referee1.fl_str_mv |
Fontoura, Lisandra Manzoni |
dc.contributor.referee1Lattes.fl_str_mv |
http://lattes.cnpq.br/8979575031016933 |
dc.contributor.referee2.fl_str_mv |
Trentin, Marco Antônio Sandini |
dc.contributor.referee2Lattes.fl_str_mv |
http://lattes.cnpq.br/4746488333257798 |
dc.contributor.referee3.fl_str_mv |
Winck, Ana Trindade |
dc.contributor.referee3Lattes.fl_str_mv |
http://lattes.cnpq.br/5075974938483862 |
dc.contributor.authorLattes.fl_str_mv |
http://lattes.cnpq.br/0090730291362664 |
dc.contributor.author.fl_str_mv |
Konzen, Marcos Paulo |
contributor_str_mv |
Nunes, Raul Ceretta Fontoura, Lisandra Manzoni Trentin, Marco Antônio Sandini Winck, Ana Trindade |
dc.subject.por.fl_str_mv |
Gestão de riscos Padrões de segurança Normas de segurança |
topic |
Gestão de riscos Padrões de segurança Normas de segurança Risk management Security patterns Security standards CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO |
dc.subject.eng.fl_str_mv |
Risk management Security patterns Security standards |
dc.subject.cnpq.fl_str_mv |
CNPQ::ENGENHARIAS::ENGENHARIA DE PRODUCAO |
description |
In the last years more vulnerabilities and threats have emerged, compromising information security in Information and Communication Technology (ICT) systems. In addition, many organizations are unprepared to deal with the risks of information security, making them the most vulnerable to such threats. Thus the negative impact caused by security incidents tends to be more frequent. The implementation of information security risk management based on a set of best practices is critical, but still a challenge for most companies. This work proposes a methodology for managing risks based on NBR ISO/IEC 27005:2008. The methodology presents a sequence of activities and a series of guidelines and goals that must be achieved to make the risk management effective. As with most standards and reference models, the methodology does not describe how activities should be implemented, which makes it difficult to implement for organizations less experienced in security procedures. The reuse of solutions already tested and consolidated to recurring security problems it can assist in ensuring the use of best practices. These solutions can be found in security standards that capture and document the knowledge of security experts, but its application to develop standards for risk management activities is unknown. Thus, this work reviews the guidelines of NBR ISO/IEC 27005:2008 standards and pattern catalogs in order to identify security patterns to develop activities in accordance with the guidelines described by the standard. Therefore, the main contribution of this work is to develop a methodology for risk management centered in solutions, tasks and techniques described by 22 security standards. An analysis and risk assessment using security standards was applied to a DC (Data Center) of a private university, whose result shows the final risk for each asset, meeting the guidelines of NBR ISO/IEC 27005:2008. |
publishDate |
2013 |
dc.date.issued.fl_str_mv |
2013-02-26 |
dc.date.accessioned.fl_str_mv |
2014-02-06 |
dc.date.available.fl_str_mv |
2014-02-06 |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.citation.fl_str_mv |
KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013. |
dc.identifier.uri.fl_str_mv |
http://repositorio.ufsm.br/handle/1/8276 |
identifier_str_mv |
KONZEN, Marcos Paulo. Risk management of information security based on standard NBR ISO/IEC 27005 using security patterns. 2013. 121 f. Dissertação (Mestrado em Engenharia de Produção) - Universidade Federal de Santa Maria, Santa Maria, 2013. |
url |
http://repositorio.ufsm.br/handle/1/8276 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.relation.cnpq.fl_str_mv |
300800000005 |
dc.relation.confidence.fl_str_mv |
400 500 300 500 500 300 |
dc.relation.authority.fl_str_mv |
e2cd0d87-3ff6-4c82-8830-9ca8dea454cc bdc9544f-404c-4a72-b265-33ac4f319a04 a9f5d87c-ca0a-4556-b515-b7d55123e23e 028d6302-823b-4981-a58f-90b64868d7c6 5d9a1fdf-dc80-4ac8-b426-0f68de3173d5 |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.publisher.none.fl_str_mv |
Universidade Federal de Santa Maria |
dc.publisher.program.fl_str_mv |
Programa de Pós-Graduação em Engenharia de Produção |
dc.publisher.initials.fl_str_mv |
UFSM |
dc.publisher.country.fl_str_mv |
BR |
dc.publisher.department.fl_str_mv |
Engenharia de Produção |
publisher.none.fl_str_mv |
Universidade Federal de Santa Maria |
dc.source.none.fl_str_mv |
reponame:Manancial - Repositório Digital da UFSM instname:Universidade Federal de Santa Maria (UFSM) instacron:UFSM |
instname_str |
Universidade Federal de Santa Maria (UFSM) |
instacron_str |
UFSM |
institution |
UFSM |
reponame_str |
Manancial - Repositório Digital da UFSM |
collection |
Manancial - Repositório Digital da UFSM |
bitstream.url.fl_str_mv |
http://repositorio.ufsm.br/bitstream/1/8276/1/KONZEN%2c%20MARCOS%20PAULO.pdf http://repositorio.ufsm.br/bitstream/1/8276/2/KONZEN%2c%20MARCOS%20PAULO.pdf.txt http://repositorio.ufsm.br/bitstream/1/8276/3/KONZEN%2c%20MARCOS%20PAULO.pdf.jpg |
bitstream.checksum.fl_str_mv |
3598c1dcc8af4851447547862def7253 189514a287137cf0ea37a9765b37a298 0ae6ccb4560d8632f96f76607cd81ec4 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
repository.name.fl_str_mv |
Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM) |
repository.mail.fl_str_mv |
|
_version_ |
1801223970310062080 |