IT Governance: Risco e Segurança dos SI no sector financeiro Prova de Conceito no Regulador Português

Barão, Alexandre

http://hdl.handle.net/10400.26/10647

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
IT Governance _Risco e Seguranca dos SI__22-12-2015vf02.pdf		2.3 MB	Adobe PDF	Download

Send Feedback

Authors

Barão, Alexandre

Advisor(s)

Anunciação, Pedro

Abstract(s)

O trabalho de projeto de mestrado aplicado ao contexto do sector financeiro, nomeadamente o Sistema Europeu de Bancos Centrais, teve como objetivo analisar a atual metodologia de Information Risk Management (IRM), utilizada pelos bancos centrais na gestão da segurança dos sistemas de informação. Nesta análise foi utilizada uma metodologia assente num focus group com sessões de brainstorming suportado por um guião de entrevista com questões semiestruturadas. Como resultado dessa análise foi possível identificar algumas oportunidades de melhoria no que respeita à metodologia IRM, nomeadamente:  Atualização do standard da ISO27002:2005 para ISO27002:2013;  Conceptualizar a metodologia com uma vertente de gestão de risco;  Relacionar os sistemas de informação com os processos de negócio, pela identificação como o negócio é afetado pelos riscos dos sistemas de informação. De forma breve estes foram os principais resultados, e os mesmos tornam-se críticos quando o sector financeiro, nomeadamente no âmbito do Sistema Europeu de Bancos Centrais, os processos de negócio tem uma grande dependência dos SI, e nesse sentido considera-se critico uma adequada gestão do risco associado. Como principais benefícios esperados da proposta da metodologia de um processo de gestão de risco da informação (IRM) será providenciar uma metodologia objetiva e de fácil aplicação, no sentido de identificar os riscos associados aos sistemas de informação que possam afetar os processos de negócio (riscos de negócio). Em termos práticos visa facultar um meio para avaliar as medidas de segurança e identificar e selecionar os requisitos/ medidas de segurança que melhor mitigam o risco para o sistema de informação. O seu objetivo será assegurar que a segurança da informação é tratada adequadamente em cada fase do ciclo-de-vida do sistema. Desenvolver a segurança em sistemas durante o seu desenvolvimento é mais eficaz e seguro, do que quando realizadas numa fase posterior ao seu desenvolvimento.

Abstract: The Master's project work applied to the financial sector context, in particular the European System of Central Banks, aimed to examine the current methodology of Information Risk Management (IRM), used by central banks in the security management of information systems.  In this analysis we used a methodology based on a focus group with brainstorming sessions supported by a semi-structured interview guide with questions. As a result of this analysis it was possible to identify some opportunities for improvement regarding the IRM methodology, including:update the standard from ISO27002:2005 to ISO27002:2013;  Conceptualize the methodology with a risk management focus;  Linking information systems with business processes by identifying how the business is impacted by the risks of information systems. Briefly these were the main results, and they become critical when the financial sector in particular within the European System of Central Banks, business processes have a great dependence on SI, and in that sense it is considered critical an adequate risk management. Main benefits expected from the proposal of a process to manage information risk (IRM), will provide an objective and easily applicable methodology, to identify the risks associated with information systems that may affect the business processes (business risks). In practical terms it aims to provide a means to assess the security measures and identify and select requirements / security measures to better mitigate the risk to the information system. Its goal will be to ensure that information security is handled appropriately at each stage of the system life-cycle. Building security systems during development is more efficient and secure than when carried out at a later stage the development.