A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos
Autor(a) principal: | |
---|---|
Data de Publicação: | 2022 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10400.22/22473 |
Resumo: | A gestão de projetos alcançou um papel primordial no mundo organizacional quer se trate de organizações privadas ou púbicas. Um dos tópicos de relevo na gestão de projetos é a gestão do risco. As organizações enfrentam diversos riscos e com a crescente digitalização quer do setor público quer do privado, a segurança do ciberespaço passou a ter uma importância crescente. Daí que tenha surgido legislação que exija às organizações que utilizem sistemas que garantam elevados níveis de segurança, sob pena de incorrerem em incumprimento o qual se traduz em pesadas multas além de outras consequências legais ao nível do não cumprimento das normas. Foi neste contexto que surgiu a Lei n.º 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia. A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, Operadores de Infraestruturas Críticas, Operadores de Serviços Essenciais (OES) e Prestadores de Serviços Digitais (DSP). Do ponto de vista das organizações, o cumprimento do novo requisito é um desafio na medida em que requer uma acumulação de atividades que por si só são complexas (e.g., inventariação completa de ativos digitais críticos). Para mitigar os desafios acima apresentados, este projeto visa criar um processo composto por procedimentos e documentos de suporte. Os procedimentos e documentação têm em consideração a qualidade da informação a recolher, os recursos necessários, os procedimentos operacionais a seguir e as responsabilidades estabelecidas no âmbito do mesmo. A existência de um processo, contribui para a padronização das operações relativas ao cumprimento das normas e requisitos legais exigidos pelo Decreto-Lei (DL) n.º 65/2021, com enfoque na Administração Pública e nos Operadores de Serviços essenciais. Desta forma, torna-se mais simples e clarificam-se as tarefas a realizar, como as realizar, quem as deve realizar e quando o deve fazer e, não menos importante, estabelece uma base documental que evidencia o cumprimento do estipulado no DL. Subjacente à execução do projeto de implementação do DL está uma metodologia de gestão de risco necessária para uma gestão de projetos eficiente nas diversas organizações de estudo. Este projeto adotou uma metodologia action-research que se revelou eficaz. pelo facto de se tratar de um projeto avançado em que, as características inerentes à metodologia tornaram a execução do projeto mais eficaz. Entre estas características destaca-se que o autor foi parte integrante do projeto, contribuindo para que o estudo processual em causa fosse realizado e validado em ambiente produtivo, sendo melhorado à medida que foi testado. Com a aplicação do processo verificou-se que, através do mesmo, as organizações deram cumprimento aos requisitos do DL, evitando assim as sanções pelo seu incumprimento. |
id |
RCAP_805b2a47ffc9ccbec2f778de92571c88 |
---|---|
oai_identifier_str |
oai:recipp.ipp.pt:10400.22/22473 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetosProjetoGestão de ProjetoGestão de RiscoDecreto-Lei n.º 65/2021CibersegurançaGestãoProjetosA gestão de projetos alcançou um papel primordial no mundo organizacional quer se trate de organizações privadas ou púbicas. Um dos tópicos de relevo na gestão de projetos é a gestão do risco. As organizações enfrentam diversos riscos e com a crescente digitalização quer do setor público quer do privado, a segurança do ciberespaço passou a ter uma importância crescente. Daí que tenha surgido legislação que exija às organizações que utilizem sistemas que garantam elevados níveis de segurança, sob pena de incorrerem em incumprimento o qual se traduz em pesadas multas além de outras consequências legais ao nível do não cumprimento das normas. Foi neste contexto que surgiu a Lei n.º 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia. A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, Operadores de Infraestruturas Críticas, Operadores de Serviços Essenciais (OES) e Prestadores de Serviços Digitais (DSP). Do ponto de vista das organizações, o cumprimento do novo requisito é um desafio na medida em que requer uma acumulação de atividades que por si só são complexas (e.g., inventariação completa de ativos digitais críticos). Para mitigar os desafios acima apresentados, este projeto visa criar um processo composto por procedimentos e documentos de suporte. Os procedimentos e documentação têm em consideração a qualidade da informação a recolher, os recursos necessários, os procedimentos operacionais a seguir e as responsabilidades estabelecidas no âmbito do mesmo. A existência de um processo, contribui para a padronização das operações relativas ao cumprimento das normas e requisitos legais exigidos pelo Decreto-Lei (DL) n.º 65/2021, com enfoque na Administração Pública e nos Operadores de Serviços essenciais. Desta forma, torna-se mais simples e clarificam-se as tarefas a realizar, como as realizar, quem as deve realizar e quando o deve fazer e, não menos importante, estabelece uma base documental que evidencia o cumprimento do estipulado no DL. Subjacente à execução do projeto de implementação do DL está uma metodologia de gestão de risco necessária para uma gestão de projetos eficiente nas diversas organizações de estudo. Este projeto adotou uma metodologia action-research que se revelou eficaz. pelo facto de se tratar de um projeto avançado em que, as características inerentes à metodologia tornaram a execução do projeto mais eficaz. Entre estas características destaca-se que o autor foi parte integrante do projeto, contribuindo para que o estudo processual em causa fosse realizado e validado em ambiente produtivo, sendo melhorado à medida que foi testado. Com a aplicação do processo verificou-se que, através do mesmo, as organizações deram cumprimento aos requisitos do DL, evitando assim as sanções pelo seu incumprimento.Project management has reached a paramount role in the organisational world whether in private or public organisations. One of the prominent topics in project management is risk management. Organisations face a variety of risks and with the increasing digitalisation of both the public and private sector, cyberspace security has become increasingly important. Therefore, legislation has emerged that requires organisations to use systems that ensure high levels of security, under penalty of non-compliance, which translates into heavy fines and other legal consequences in terms of non-compliance. It was in this context that Law no. 46/2018, of 13 August, which approved the Legal Framework for Cyberspace Security, transposed to the national legal system the Directive (EU) 2016/1148, of the European Parliament and of the Council, of 6 July 2016, on measures to ensure a high common level of security of network and information systems throughout the European Union, came into being. The referred law refers to complementary legislation to define, on the one hand, the security requirements of networks and information systems and, on the other hand, the rules for the notification of incidents, which must be complied with by Public Administration, Critical Infrastructure Operators, Essential Service Operators (ESOs) and Digital Service Providers (DSPs). From the organisations' point of view, compliance with the new requirement is a challenge in that it requires an accumulation of activities that are complex in themselves (e.g., complete inventorying of critical digital assets). To mitigate the challenges presented above, this project aims to create a process composed of procedures and supporting documents. The procedures and documentation take into consideration the quality of the information to be collected, the necessary resources, the operational procedures to be followed and the responsibilities established within it. The existence of a process contributes to the standardization of the operations related to the compliance with the norms and legal requirements demanded by Decree-Law 65/2021, with focus on Public Administration and Essential Service Operators. In this way, it becomes simpler and clarifies the tasks to be performed, how to perform them, who should perform them and when, and no less important, establishes a documentary basis that evidences compliance with the stipulations of the Decree-Law. Underlying the execution of the project is a methodology for risk management in project management in various organisations, complying with the Decree-Law. This project adopted an action-research methodology that proved to be appropriate for the project in question. The fact that this is an advanced project, and the inherent characteristics of the methodology made the execution of the project more effective. Among these characteristics the author was an integral part of the project, contributing to the process study being carried out and validated in a productive environment, being improved as it was tested. With the application of the process, it was verified that, through it, the organisations included. In this research complied with the requirements of the DL, avoiding the sanctions foreseen for their non-compliance due to a risk management methodology process was designed.Barros, Maria Teresa Morais Taveira deRepositório Científico do Instituto Politécnico do PortoRibeiro, Ana Catarina Marinho202220222024-01-31T00:00:00Z2022-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10400.22/22473TID:203174151porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-03-22T01:46:53Zoai:recipp.ipp.pt:10400.22/22473Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T17:42:35.149924Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
title |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
spellingShingle |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos Ribeiro, Ana Catarina Marinho Projeto Gestão de Projeto Gestão de Risco Decreto-Lei n.º 65/2021 Cibersegurança Gestão Projetos |
title_short |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
title_full |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
title_fullStr |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
title_full_unstemmed |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
title_sort |
A problemática da Cibersegurança em operadores de serviços essenciais e administração pública - uma abordagem pela gestão de risco em projetos |
author |
Ribeiro, Ana Catarina Marinho |
author_facet |
Ribeiro, Ana Catarina Marinho |
author_role |
author |
dc.contributor.none.fl_str_mv |
Barros, Maria Teresa Morais Taveira de Repositório Científico do Instituto Politécnico do Porto |
dc.contributor.author.fl_str_mv |
Ribeiro, Ana Catarina Marinho |
dc.subject.por.fl_str_mv |
Projeto Gestão de Projeto Gestão de Risco Decreto-Lei n.º 65/2021 Cibersegurança Gestão Projetos |
topic |
Projeto Gestão de Projeto Gestão de Risco Decreto-Lei n.º 65/2021 Cibersegurança Gestão Projetos |
description |
A gestão de projetos alcançou um papel primordial no mundo organizacional quer se trate de organizações privadas ou púbicas. Um dos tópicos de relevo na gestão de projetos é a gestão do risco. As organizações enfrentam diversos riscos e com a crescente digitalização quer do setor público quer do privado, a segurança do ciberespaço passou a ter uma importância crescente. Daí que tenha surgido legislação que exija às organizações que utilizem sistemas que garantam elevados níveis de segurança, sob pena de incorrerem em incumprimento o qual se traduz em pesadas multas além de outras consequências legais ao nível do não cumprimento das normas. Foi neste contexto que surgiu a Lei n.º 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa às medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia. A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, Operadores de Infraestruturas Críticas, Operadores de Serviços Essenciais (OES) e Prestadores de Serviços Digitais (DSP). Do ponto de vista das organizações, o cumprimento do novo requisito é um desafio na medida em que requer uma acumulação de atividades que por si só são complexas (e.g., inventariação completa de ativos digitais críticos). Para mitigar os desafios acima apresentados, este projeto visa criar um processo composto por procedimentos e documentos de suporte. Os procedimentos e documentação têm em consideração a qualidade da informação a recolher, os recursos necessários, os procedimentos operacionais a seguir e as responsabilidades estabelecidas no âmbito do mesmo. A existência de um processo, contribui para a padronização das operações relativas ao cumprimento das normas e requisitos legais exigidos pelo Decreto-Lei (DL) n.º 65/2021, com enfoque na Administração Pública e nos Operadores de Serviços essenciais. Desta forma, torna-se mais simples e clarificam-se as tarefas a realizar, como as realizar, quem as deve realizar e quando o deve fazer e, não menos importante, estabelece uma base documental que evidencia o cumprimento do estipulado no DL. Subjacente à execução do projeto de implementação do DL está uma metodologia de gestão de risco necessária para uma gestão de projetos eficiente nas diversas organizações de estudo. Este projeto adotou uma metodologia action-research que se revelou eficaz. pelo facto de se tratar de um projeto avançado em que, as características inerentes à metodologia tornaram a execução do projeto mais eficaz. Entre estas características destaca-se que o autor foi parte integrante do projeto, contribuindo para que o estudo processual em causa fosse realizado e validado em ambiente produtivo, sendo melhorado à medida que foi testado. Com a aplicação do processo verificou-se que, através do mesmo, as organizações deram cumprimento aos requisitos do DL, evitando assim as sanções pelo seu incumprimento. |
publishDate |
2022 |
dc.date.none.fl_str_mv |
2022 2022 2022-01-01T00:00:00Z 2024-01-31T00:00:00Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10400.22/22473 TID:203174151 |
url |
http://hdl.handle.net/10400.22/22473 |
identifier_str_mv |
TID:203174151 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799131512175591424 |