Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2016 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| Texto Completo: | http://hdl.handle.net/1822/64346 |
Resumo: | Dissertação de mestrado integrado em Engenharia Eletrónica Industrial e de Computadores (área de especialização em Sistemas de Informação) |
| id |
RCAP_8ac1ca429b7b4c2f026363369e613da5 |
|---|---|
| oai_identifier_str |
oai:repositorium.sdum.uminho.pt:1822/64346 |
| network_acronym_str |
RCAP |
| network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository_id_str |
7160 |
| spelling |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalarEngenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaDissertação de mestrado integrado em Engenharia Eletrónica Industrial e de Computadores (área de especialização em Sistemas de Informação)Organizações de todos os tipos e tamanhos recolhem, processam, armazenam e transmitem informação reconhecendo que a informação, os processos, os sistemas e as redes são ativos importantes para atingir os objetivos estabelecidos e elas percebem que estes estão inseridos num ambiente de risco. Devido a esta perceção elas implementam controlos de segurança da informação na esperança que estes mitiguem os riscos a que estão expostas, mantenham e aumentem a sua conformidade legal e melhorem a sua imagem. Atividades coordenadas, como apreciações do risco, tratamento do risco e monitorização de processos e sistemas, direcionam a implementação de controlos adequados e tratam riscos de segurança da informação inaceitáveis que são geralmente conhecidos como elementos de Gestão da Segurança da Informação (GSI). Sendo o foco deste trabalho as organizações do setor da saúde, o problema que elas encontram, é que mesmo não tendo um Sistema de Gestão da Segurança da Informação (SGSI) completamente implementado, elas querem saber a extensão das suas ações. Além de perceberem a eficiência dos controlos implementados, elas procuram que estes modelos possam dar direções sobre ações a seguir e justificar à administração o retorno sobre o investimento (em inglês, Return on Investment – ROI) para os controlos implementados na organização e aqueles que podem ser necessários implementar. Esta dissertação foca-se no estudo da geração de um modelo de métricas de risco da segurança da informação, através de um caso de estudo experimental, num centro hospitalar em Portugal. Para a geração do modelo de métricas é utilizado o modelo apresentado pela ISO/IEC 27004 e os objetos de medição são retirados da apreciação do risco realizada na primeira fase do trabalho, seguindo a norma ISO/IEC 27005. A apreciação do risco foi realizada a um conjunto de cinco aplicações que fazem parte do núcleo funcional do centro hospitalar, estas sendo consideradas como uma boa amostra do sistema e do ambiente da organização e capazes de gerar métricas de risco de segurança da informação eficazes. As métricas a que se chegou não devem ser consideradas genéricas para as organizações do setor da saúde, mas prevê-se que com este trabalho seja possível perceber uma das metodologias que podem ser usadas para fazer a geração deste tipo de modelos. A abordagem realizada para a geração das métricas mostrou-se eficaz, conseguindo-se chegar a um modelo que foi de encontro às necessidades de informação da organização.Organizations of all types and sizes collect, process, store and transmit information and they acknowledge that the information, processes, systems and networks are important information assets to achieve the objectives that they set and therefore they have a perception that they face a lot of risks that affect the several assets. Due to this perception they implement information security controls in the hope they mitigate the risks they are exposed, keep and increase their legal compliance and improve their image. These activities coordinated, as risk assessment, risk treatment and measure of process and systems, directed the implementation of appropriate controls and they treat unacceptable information security risks generally known as elements of Information Security Management (ISM). As the focus of this work on the healthcare sector organizations, the problem they face is that despite not having an Information Security Management System (ISMS) fully implemented, they want to know the extent of their actions. In addition to realizing the efficiency of the controls implemented, they seek that these models can give directions on the following actions and justify to management the return on investment (ROI) for the controls implemented in the organization and those that may be necessary to implement. This dissertation focuses on the study of the generation of a model of risk metrics for information security through a case of experimental study in a healthcare unit in Portugal. For the generation of metrics model is used the model presented by ISO/IEC 27004 and measured objects are taken from the risk assessment made in the first phase of the work, following the ISO/IEC 27005. The assessment of risk was carried out a set of five applications that are part of the functional core of the hospital, these being considered as a good sample of the system and the organization's environment and capable of generating effective risk metrics for information security. The metrics that was reached should not be considered generic for health sector organizations, but it is expected that this work is possible to see one of the methodologies that can be used to generate this type of models. The approach carried out to generate the metrics proved effective, managing to get to a model that meet the information needs of the organization.Santos, HenriqueLopes, Sérgio F.Universidade do MinhoFaria, Maria Manuela Rosas20162016-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/1822/64346por202349403info:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-07-21T12:50:37Zoai:repositorium.sdum.uminho.pt:1822/64346Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T19:49:21.152149Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
| dc.title.none.fl_str_mv |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| title |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| spellingShingle |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar Faria, Maria Manuela Rosas Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| title_short |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| title_full |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| title_fullStr |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| title_full_unstemmed |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| title_sort |
Métricas para a gestão do risco em segurança da informação: caso de estudo num centro hospitalar |
| author |
Faria, Maria Manuela Rosas |
| author_facet |
Faria, Maria Manuela Rosas |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Santos, Henrique Lopes, Sérgio F. Universidade do Minho |
| dc.contributor.author.fl_str_mv |
Faria, Maria Manuela Rosas |
| dc.subject.por.fl_str_mv |
Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| topic |
Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| description |
Dissertação de mestrado integrado em Engenharia Eletrónica Industrial e de Computadores (área de especialização em Sistemas de Informação) |
| publishDate |
2016 |
| dc.date.none.fl_str_mv |
2016 2016-01-01T00:00:00Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/1822/64346 |
| url |
http://hdl.handle.net/1822/64346 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.relation.none.fl_str_mv |
202349403 |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
| instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| instacron_str |
RCAAP |
| institution |
RCAAP |
| reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| repository.mail.fl_str_mv |
|
| _version_ |
1799133075102236672 |