Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2022 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| Texto Completo: | http://hdl.handle.net/10362/150304 |
Resumo: | Num ambiente em mudança, o sucesso de uma organização tornou-se intimamente re- lacionado não só com a sua capacidade de proteger informação valorizada e sensível como com a sua capacidade de gestão do risco. Deste modo, o Grupo EDP - Energias de Portugal, como empresa que enfrenta estes desafios tecnológicos, pretende implementar uma aborda- gem consolidada nos processos de Governance, Risk and Compliance (abordagem GRC) atu- ando, assim, na unidade de gestão do risco da empresa. Assim, a presente dissertação tem como objetivo desenvolver uma metodologia para suportar a implementação da abordagem GRC segundo o caso de estudo ocorrente no Grupo EDP. De forma a atingir este objetivo recorreu-se à metodologia de Failure Mode and Effects Analysis (FMEA) para efeitos de estrutu- ração inicial e desenvolvimento lógico das relações entre os potenciais modos de falha exis- tentes, primeiramente na Digital Global Unit do Grupo EDP, devido ao incumprimento regu- lamentar, a eficiência dos controlos relacionados e para efeitos de demonstração e comparação de resultados. No âmbito deste estudo foi ainda desenvolvido um plano com base no ciclo Plan-Do-Check-Act. Este foi ainda relacionado com a metodologia FMEA. Por último, configu- rou-se o software ServiceNow como forma de automatização da metodologia desenvolvida. Este software possibilita o acompanhamento contínuo, através de índices de desempenho dos controlos, dos recursos tecnológicos da organização e garante a sintonia entre a legislação re- gulamentar interna, as estratégias do negócio e os riscos enfrentados pelo Grupo EDP. A agregação de todos os benefícios gerados pela abordagem implementada leva a que a área de segurança de TI aplique ferramentas estratégicas adequadas ao alcance dos objetivos delineadas para o sucesso do Grupo EDP anteriormente em falta. Ferramentas estas que per- mitem a centralização dos dados, a responsabilidade pelos riscos assim como a percepção financeira, probabilística e consequencial dos mesmos, a noção do nível de conformidade legal e do estado atual da organização para diversas frentes incluindo todas as geografias. No decorrer da implementação da metodologia desenvolvida encontraram-se pequenas limitações referentes à capacidade do software ServiceNow. No entanto, uma limitação é des- tacada, sendo esta, a inaptidão de avaliação, por parte do software, do parâmetro de deteção dos controlos. Sugere-se, portanto, a reconfiguração do módulo de risco do ServiceNow de forma a ter em conta todos os âmbitos de avaliação defendidos pela metodologia FMEA. |
| id |
RCAP_3c9763fac352026abb833da09452856c |
|---|---|
| oai_identifier_str |
oai:run.unl.pt:10362/150304 |
| network_acronym_str |
RCAP |
| network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository_id_str |
7160 |
| spelling |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRCGestão do risco em TCibersegurançaAbordagem GRCFMEAPDCADomínio/Área Científica::Engenharia e Tecnologia::Outras Engenharias e TecnologiasNum ambiente em mudança, o sucesso de uma organização tornou-se intimamente re- lacionado não só com a sua capacidade de proteger informação valorizada e sensível como com a sua capacidade de gestão do risco. Deste modo, o Grupo EDP - Energias de Portugal, como empresa que enfrenta estes desafios tecnológicos, pretende implementar uma aborda- gem consolidada nos processos de Governance, Risk and Compliance (abordagem GRC) atu- ando, assim, na unidade de gestão do risco da empresa. Assim, a presente dissertação tem como objetivo desenvolver uma metodologia para suportar a implementação da abordagem GRC segundo o caso de estudo ocorrente no Grupo EDP. De forma a atingir este objetivo recorreu-se à metodologia de Failure Mode and Effects Analysis (FMEA) para efeitos de estrutu- ração inicial e desenvolvimento lógico das relações entre os potenciais modos de falha exis- tentes, primeiramente na Digital Global Unit do Grupo EDP, devido ao incumprimento regu- lamentar, a eficiência dos controlos relacionados e para efeitos de demonstração e comparação de resultados. No âmbito deste estudo foi ainda desenvolvido um plano com base no ciclo Plan-Do-Check-Act. Este foi ainda relacionado com a metodologia FMEA. Por último, configu- rou-se o software ServiceNow como forma de automatização da metodologia desenvolvida. Este software possibilita o acompanhamento contínuo, através de índices de desempenho dos controlos, dos recursos tecnológicos da organização e garante a sintonia entre a legislação re- gulamentar interna, as estratégias do negócio e os riscos enfrentados pelo Grupo EDP. A agregação de todos os benefícios gerados pela abordagem implementada leva a que a área de segurança de TI aplique ferramentas estratégicas adequadas ao alcance dos objetivos delineadas para o sucesso do Grupo EDP anteriormente em falta. Ferramentas estas que per- mitem a centralização dos dados, a responsabilidade pelos riscos assim como a percepção financeira, probabilística e consequencial dos mesmos, a noção do nível de conformidade legal e do estado atual da organização para diversas frentes incluindo todas as geografias. No decorrer da implementação da metodologia desenvolvida encontraram-se pequenas limitações referentes à capacidade do software ServiceNow. No entanto, uma limitação é des- tacada, sendo esta, a inaptidão de avaliação, por parte do software, do parâmetro de deteção dos controlos. Sugere-se, portanto, a reconfiguração do módulo de risco do ServiceNow de forma a ter em conta todos os âmbitos de avaliação defendidos pela metodologia FMEA.iii ABSTRACT In a changing environment, an organization's success has become closely dependent not only to its ability to protect valuable and sensitive information but also to its ability to manage risk. Along these lines, the EDP Group - Energias de Portugal, as a company facing these technological challenges, intends to implement a consolidated approach in the processes of Governance, Risk Management and Compliance, the GRC approach, thus acting in the management unit of the company's risk. Hence, this dissertation aims to develop a methodol- ogy that aspire to implement the GRC approach according to the case study occurring at the EDP Group. In order to achieve this goal, the Failure Mode and Effects Analysis methodology was used for the purposes of initial structuring and logical development of the relationships between the potential existing failure modes, starting with the Digital Global Unit of EDP, due to regulatory non-compliance, the efficiency of related controls and for purposes demon- stration and comparison of results. Within the scope of this study, a plan was also developed based on the Plan-Do-Check- Act cycle, which was also related to the FMEA methodology. Finally, the ServiceNow soft- ware configuration was used as a way of automating the developed methodology. This soft- ware enables continuous monitoring, through indices of control performance, of the organi- zation's technological resources and ensures the harmony between internal regulatory legis- lation, business strategies and the risks faced by the EDP Group. The aggregation of all the benefits generated by the implemented approach leads the IT security area to apply appropriate strategic tools to achieve the objectives outlined for the success of the EDP Group, which were previously missing. These tools allow the centraliza- tion of data, responsibility for risks as well as their financial perception, probabilistic and con- sequential consciousness of them, the notion of the level of legal compliance and the current realistic state of the organization for several fronts including all geographies. During the implementation of the developed methodology, irrelevant limitations were found regarding the capacity of the ServiceNow software. However, one limitation was high- lighted, this being the inability of the software to evaluate the control detection parameter. Therefore, it is suggested that the ServiceNow risk module be reconfigured in order to take into account all the assessment scopes defended by the FMEA methodology.Cabral, IzunildoRUNMatos, Ana Sofia Marques Lopes de2023-03-10T18:49:05Z2022-012022-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10362/150304porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2024-03-11T05:32:13Zoai:run.unl.pt:10362/150304Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-20T03:54:02.918677Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
| dc.title.none.fl_str_mv |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| title |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| spellingShingle |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC Matos, Ana Sofia Marques Lopes de Gestão do risco em T Cibersegurança Abordagem GRC FMEA PDCA Domínio/Área Científica::Engenharia e Tecnologia::Outras Engenharias e Tecnologias |
| title_short |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| title_full |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| title_fullStr |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| title_full_unstemmed |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| title_sort |
Gestão do Risco e Conformidade em Tecnologias da Informação Segundo a Abordagem GRC |
| author |
Matos, Ana Sofia Marques Lopes de |
| author_facet |
Matos, Ana Sofia Marques Lopes de |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Cabral, Izunildo RUN |
| dc.contributor.author.fl_str_mv |
Matos, Ana Sofia Marques Lopes de |
| dc.subject.por.fl_str_mv |
Gestão do risco em T Cibersegurança Abordagem GRC FMEA PDCA Domínio/Área Científica::Engenharia e Tecnologia::Outras Engenharias e Tecnologias |
| topic |
Gestão do risco em T Cibersegurança Abordagem GRC FMEA PDCA Domínio/Área Científica::Engenharia e Tecnologia::Outras Engenharias e Tecnologias |
| description |
Num ambiente em mudança, o sucesso de uma organização tornou-se intimamente re- lacionado não só com a sua capacidade de proteger informação valorizada e sensível como com a sua capacidade de gestão do risco. Deste modo, o Grupo EDP - Energias de Portugal, como empresa que enfrenta estes desafios tecnológicos, pretende implementar uma aborda- gem consolidada nos processos de Governance, Risk and Compliance (abordagem GRC) atu- ando, assim, na unidade de gestão do risco da empresa. Assim, a presente dissertação tem como objetivo desenvolver uma metodologia para suportar a implementação da abordagem GRC segundo o caso de estudo ocorrente no Grupo EDP. De forma a atingir este objetivo recorreu-se à metodologia de Failure Mode and Effects Analysis (FMEA) para efeitos de estrutu- ração inicial e desenvolvimento lógico das relações entre os potenciais modos de falha exis- tentes, primeiramente na Digital Global Unit do Grupo EDP, devido ao incumprimento regu- lamentar, a eficiência dos controlos relacionados e para efeitos de demonstração e comparação de resultados. No âmbito deste estudo foi ainda desenvolvido um plano com base no ciclo Plan-Do-Check-Act. Este foi ainda relacionado com a metodologia FMEA. Por último, configu- rou-se o software ServiceNow como forma de automatização da metodologia desenvolvida. Este software possibilita o acompanhamento contínuo, através de índices de desempenho dos controlos, dos recursos tecnológicos da organização e garante a sintonia entre a legislação re- gulamentar interna, as estratégias do negócio e os riscos enfrentados pelo Grupo EDP. A agregação de todos os benefícios gerados pela abordagem implementada leva a que a área de segurança de TI aplique ferramentas estratégicas adequadas ao alcance dos objetivos delineadas para o sucesso do Grupo EDP anteriormente em falta. Ferramentas estas que per- mitem a centralização dos dados, a responsabilidade pelos riscos assim como a percepção financeira, probabilística e consequencial dos mesmos, a noção do nível de conformidade legal e do estado atual da organização para diversas frentes incluindo todas as geografias. No decorrer da implementação da metodologia desenvolvida encontraram-se pequenas limitações referentes à capacidade do software ServiceNow. No entanto, uma limitação é des- tacada, sendo esta, a inaptidão de avaliação, por parte do software, do parâmetro de deteção dos controlos. Sugere-se, portanto, a reconfiguração do módulo de risco do ServiceNow de forma a ter em conta todos os âmbitos de avaliação defendidos pela metodologia FMEA. |
| publishDate |
2022 |
| dc.date.none.fl_str_mv |
2022-01 2022-01-01T00:00:00Z 2023-03-10T18:49:05Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10362/150304 |
| url |
http://hdl.handle.net/10362/150304 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
| instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| instacron_str |
RCAAP |
| institution |
RCAAP |
| reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| repository.mail.fl_str_mv |
|
| _version_ |
1799138130491604992 |