Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.

Detalhes bibliográficos
Autor(a) principal: Malandrin, Leandro José Aguilar Andrijic
Data de Publicação: 2013
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Biblioteca Digital de Teses e Dissertações da USP
Texto Completo: http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/
Resumo: O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário.
id USP_a66f334371baa0016fb873ef41fd74eb
oai_identifier_str oai:teses.usp.br:tde-27122013-104448
network_acronym_str USP
network_name_str Biblioteca Digital de Teses e Dissertações da USP
repository_id_str 2721
spelling Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.Cloud computingComputação em nuvemGestão de riscosGestão de segurança da informaçãoInformation securityInformation security managementMobilidadeMobilityOutsourcingPolíticas de segurançaRisk analysisSecurity policiesSegurança da informaçãoTerceirizaçãoO cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário.The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.Biblioteca Digitais de Teses e Dissertações da USPCarvalho, Tereza Cristina Melo de BritoMalandrin, Leandro José Aguilar Andrijic2013-04-05info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/reponame:Biblioteca Digital de Teses e Dissertações da USPinstname:Universidade de São Paulo (USP)instacron:USPLiberar o conteúdo para acesso público.info:eu-repo/semantics/openAccesspor2016-07-28T16:11:02Zoai:teses.usp.br:tde-27122013-104448Biblioteca Digital de Teses e Dissertaçõeshttp://www.teses.usp.br/PUBhttp://www.teses.usp.br/cgi-bin/mtd2br.plvirginia@if.usp.br|| atendimento@aguia.usp.br||virginia@if.usp.bropendoar:27212016-07-28T16:11:02Biblioteca Digital de Teses e Dissertações da USP - Universidade de São Paulo (USP)false
dc.title.none.fl_str_mv Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.
title Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
spellingShingle Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
Malandrin, Leandro José Aguilar Andrijic
Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
title_short Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_full Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_fullStr Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_full_unstemmed Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
title_sort Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade.
author Malandrin, Leandro José Aguilar Andrijic
author_facet Malandrin, Leandro José Aguilar Andrijic
author_role author
dc.contributor.none.fl_str_mv Carvalho, Tereza Cristina Melo de Brito
dc.contributor.author.fl_str_mv Malandrin, Leandro José Aguilar Andrijic
dc.subject.por.fl_str_mv Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
topic Cloud computing
Computação em nuvem
Gestão de riscos
Gestão de segurança da informação
Information security
Information security management
Mobilidade
Mobility
Outsourcing
Políticas de segurança
Risk analysis
Security policies
Segurança da informação
Terceirização
description O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário.
publishDate 2013
dc.date.none.fl_str_mv 2013-04-05
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/
url http://www.teses.usp.br/teses/disponiveis/3/3141/tde-27122013-104448/
dc.language.iso.fl_str_mv por
language por
dc.relation.none.fl_str_mv
dc.rights.driver.fl_str_mv Liberar o conteúdo para acesso público.
info:eu-repo/semantics/openAccess
rights_invalid_str_mv Liberar o conteúdo para acesso público.
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.coverage.none.fl_str_mv
dc.publisher.none.fl_str_mv Biblioteca Digitais de Teses e Dissertações da USP
publisher.none.fl_str_mv Biblioteca Digitais de Teses e Dissertações da USP
dc.source.none.fl_str_mv
reponame:Biblioteca Digital de Teses e Dissertações da USP
instname:Universidade de São Paulo (USP)
instacron:USP
instname_str Universidade de São Paulo (USP)
instacron_str USP
institution USP
reponame_str Biblioteca Digital de Teses e Dissertações da USP
collection Biblioteca Digital de Teses e Dissertações da USP
repository.name.fl_str_mv Biblioteca Digital de Teses e Dissertações da USP - Universidade de São Paulo (USP)
repository.mail.fl_str_mv virginia@if.usp.br|| atendimento@aguia.usp.br||virginia@if.usp.br
_version_ 1815257422031224832

Registros relacionados