Publication
Implementação de um sistema de gestão da segurança da informação (ISO/IEC 27001) numa PME
| dc.contributor.advisor | Barbas, João | |
| dc.contributor.author | Rodrigues, Ricardo Filipe Pinto do Carmo | |
| dc.date.accessioned | 2025-01-27T14:43:45Z | |
| dc.date.available | 2025-01-27T14:43:45Z | |
| dc.date.issued | 2024-12 | |
| dc.description.abstract | Este trabalho de projeto explora a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001 na BestUrban, uma Pequena e Média Empresa (PME) portuguesa. O SGSI desempenha um papel crucial na proteção dos ativos de informação da empresa. O principal objetivo deste estudo é avaliar a eficácia da implementação do SGSI, identificar desafios e oportunidades e analisar o impacto dessa iniciativa na postura geral de segurança da informação da empresa. Para tal, foram avaliadas as práticas de segurança da informação da BestUrban antes da implementação da ISO/IEC 27001, documentado o processo de implementação e destacados os principais marcos e decisões estratégicas. A implementação do SGSI demonstrou um compromisso sólido com a segurança, evidenciado pelo envolvimento ativo da Administração, pela adoção da metodologia de gestão de riscos da ISO/IEC 27005 e pela aplicação de controlos alinhados com a norma ISO/IEC 27002. A Administração desempenhou um papel essencial, participando ativamente em auditorias, no processo de gestão de riscos e na promoção de uma cultura organizacional de segurança. A gestão de riscos permitiu identificar vulnerabilidades e ameaças, atenuar potenciais impactos e assegurar a eficácia dos controlos implementados. Os principais desafios enfrentados durante a implementação do SGSI incluíram a necessidade de formação contínua, a alocação eficiente de recursos financeiros, humanos e tecnológicos, a indução de uma cultura organizacional de segurança e a gestão eficaz do risco. Para superá-los, a BestUrban investiu em capacitação, sensibilização e reforço da governança em segurança da informação, garantindo a adesão de todos os envolvidos. O estudo também apresenta recomendações práticas para outras PMEs portuguesas interessadas na implementação da norma ISO/IEC 27001. Entre elas, destacam-se a importância de um planeamento detalhado, o envolvimento da gestão de topo e a adaptação das melhores práticas às limitações e especificidades das PMEs. | pt_PT |
| dc.description.abstract | This project work explores the implementation of an Information Security Management System (ISMS) based on the ISO/IEC 27001 standard at BestUrban, a Portuguese Small and Medium Enterprise (SME). ISMS plays a crucial role in protecting the company's information assets. The main objective of this study is to evaluate the effectiveness of the ISMS implementation, identify challenges and opportunities, and analyse the impact of this initiative on the company's overall information security posture. To this end, BestUrban's information security practices prior to the implementation of ISO/IEC 27001 were evaluated, the implementation process was documented, and the main milestones and strategic decisions were highlighted. The implementation of the ISMS demonstrated a strong commitment to security, evidenced by the active involvement of Management, the adoption of the ISO/IEC 27005 risk management methodology and the application of controls aligned with the ISO/IEC 27002 standard. Management played an essential role, actively participating in audits, in the risk management process and in promoting an organizational culture of safety. Risk management has made it possible to identify vulnerabilities and threats, mitigate potential impacts and ensure the effectiveness of the controls implemented. The main challenges faced during the implementation of the ISMS included the need for continuous training, the efficient allocation of financial, human and technological resources, the induction of an organizational culture of safety and the effective management of risk. To overcome them, BestUrban invested in training, awareness, and reinforcement of information security governance, ensuring the adherence of all those involved. The study also presents practical recommendations for other Portuguese SMEs interested in implementing the ISO/IEC 27001 standard. Among them, the importance of detailed planning, the involvement of top management and the adaptation of best practices to the limitations and specificities of SMEs stand out. | pt_PT |
| dc.identifier.tid | 203798350 | pt_PT |
| dc.identifier.uri | http://hdl.handle.net/10400.26/54017 | |
| dc.language.iso | por | pt_PT |
| dc.subject | ISO/IEC 27001 | pt_PT |
| dc.subject | Segurança da Informação | pt_PT |
| dc.subject | Gestão de Riscos | pt_PT |
| dc.subject | PMEs | pt_PT |
| dc.subject | Implementação de SGSI | pt_PT |
| dc.subject | Information Security | pt_PT |
| dc.subject | Risk Management | pt_PT |
| dc.subject | SMEs | pt_PT |
| dc.subject | ISMS Implementation | pt_PT |
| dc.title | Implementação de um sistema de gestão da segurança da informação (ISO/IEC 27001) numa PME | pt_PT |
| dc.type | master thesis | |
| dspace.entity.type | Publication | |
| rcaap.rights | openAccess | pt_PT |
| rcaap.type | masterThesis | pt_PT |
| thesis.degree.grantor | Instituto Politécnico de Setúbal | |
| thesis.degree.name | Mestrado em Gestão de Sistemas de Informação | pt_PT |