Segurança e Integridade da Informação em Contexto Organizacional

Jorge, Ayrton Décio de Jesus

http://hdl.handle.net/10400.26/39282

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
99991931_Ayrton_Jorge.pdf		2.54 MB	Adobe PDF	Download

Send Feedback

Authors

Jorge, Ayrton Décio de Jesus

Advisor(s)

Brandão, Pedro Ramos dos Santos

Abstract(s)

Tendo como premissa que a segurança e integridade da informação são questões cruciais em contexto organizacional, e que diariamente representam um dos maiores desafios que o mundo empresarial tem de enfrentar, o presente trabalho tem como propósito o desenvolvimento de uma framework de análise das vulnerabilidades de um sistema de informação, com o objectivo de identificar potenciais ameaças e mitigar riscos. Viver num mundo em rede possibilitou um crescimento da capacidade de comunicação de dados, abrindo as portas para serviços e tecnologias comunicação, mineração e armazenamento inimagináveis, o que aumentou também os riscos a que a informação está exposta, podendo mesmo no caso de cair em mãos erradas, ficar indisponível, ser corrompida, ou representar uma ameaça em termos individuais e colectivos. Esta constatação que cruza a história da humanidade, obriga numa era dita de informação a conciliar a proteção em termos técnicos dos próprios sistemas, com os processos e com a segurança ao nível do comportamento das pessoas. Assim, em relação à segurança da informação é elementar que pessoas e organizações entendam que o factor humano consubstancia um dos maiores riscos, dado que a maioria das violações e fugas de informação dos sistemas bem concebidos em termos de segurança são realizadas por pessoas, seja de forma intencional ou acidental. Neste sentido, entende-se que o conjunto de ameaças e vulnerabilidades é dinâmico e altera-se mais rapidamente do que os controles de mitigação, o que impõe a necessidade de investir no desenvolvimento de medidas preventivas, detectivas e correctivas. Por conseguinte, a framework desenvolvida, tem como finalidade ser um instrumento de gestão que permita apoiar as organizações numa óptica de antecipação e prevenção. Consiste numa ferramenta prática e ágil que possibilita a quem não pretende implementar um processo de certificação, dispor de um instrumento de recolha da informação necessária para melhor identificar vulnerabilidades e criar as medidas adequadas para dotar a empresa de capacidade de monitorização de riscos.

On the premises that information security and integrity are crucial issues in the organizational context and that daily they represent one of the greatest challenges that the business world has to face, the purpose of this work is to develop a framework for analysing the vulnerabilities of an information system, to identify potential threats and mitigate risks. Living in a networked world has enabled a growth in data communication capabilities, which opens the door to unimaginable communication, mining, storage services and technologies. This has also increased the risks to which information is exposed, and even if it falls into the wrong hands, it can become unavailable, corrupted, or represent a threat in individual and collective terms. This observation, which crosses the history of humanity, forces us in a so-called information age to reconcile protection in technical terms of the systems themselves, with processes and with security at the level of people's behaviour. Thus, in relation to information security, it is elementary that people and organizations understand that the human factor is one of the biggest risks since most violations and information leaks from well-designed systems in terms of security are carried out by people, either intentionally or accidentally. In this sense, it is understood that the set of threats and vulnerabilities is dynamic and changes faster than the mitigation controls, which imposes the need to invest in the development of preventive, detection, and corrective measures. Therefore, the framework developed aims to be a management tool that allows supporting organizations in an anticipation and prevention perspective. It consists of a practical and agile tool that enables those who do not intend to implement a certification process to have an instrument for collecting the necessary information to identify vulnerabilities better and create the appropriate measures to provide the company with the capacity to monitor risks.