[Abstract]
O incremento da produção de informação digital, os desafios à comunicação segura e à manutenção e salvaguarda dos dados estão a par com o aumento da criminalidade informática manifestada através de técnicas de intrusão e aproveitamento de vulnerabilidades. Este cenário impõe às empresas a realização de melhorias aos paradigmas da segurança, sob pena de verem comprometido um bem fundamental à sua própria existência: a INFORMAÇÃO.
Para melhor enfrentar os perigos e desafios da presença no ciberespaço, pretendeu a empresa pública Investimentos Habitacionais da Madeira, EPERAM (IHM) analisar e elevar o nível de segurança da informação e das comunicações seguindo as boas práticas desta área, pois, não obstante os procedimentos já aplicados, os eventos de segurança são ainda abordados maioritariamente a jusante e de forma reativa. Investigado o estado da arte sobre normas, frameworks e certificações para a segurança da informação, consultada legislação relacionada e realizada uma análise à situação atual da empresa, foi proposta uma metodologia, fundamentada na gestão do risco, para o estabelecimento, implementação, manutenção e melhoria, de forma contínua, de um sistema de gestão de segurança da informação, através de um conjunto de 18 processos com enquadramento na norma NP ISO/IEC 27001:2013. Paralelamente, para garantir a sua sustentabilidade, foi aplicado o ciclo contínuo PDCA, que foi útil para que os controlos de segurança pudessem ser já implementados e medidos. Foi incorporada na metodologia proposta a norma NIST SP 800-61r2, com 4 processos, pela especificidade no campo da gestão de incidentes.
A implementação resultou na definição de 8 políticas, acompanhadas de 47 controlos de segurança, dos quais 37 foram medidos. Os resultados permitiram identificar as melhorias necessárias mais prementes através de um esquema de cores. O recurso ao modelo corporativo de governança e gestão de tecnologias de informação – COBIT 5 – contribuiu para a realização posterior de uma análise à capacidade dos processos e aferição da sua maturidade.
Palavras-chave: Segurança da informação; Gestão de risco; Norma ISO/IEC 27001:2013; Políticas de segurança; Segurança de operações; Segurança em comunicações; Norma NIST SP 800-61r2; Gestão de incidentes; Framework COBIT 5; RGPD; Auditoria;
Ano de Publicação: 2018
Aluno: Carla Margarida Rocha Carvalho
Orientador: Prof. Dr. Eduardo Miguel Dias Marques
Programa: Mestrado em Engenharia Infromática
Universidade: Universidade da Madeira (Portugal)
Mais informação: https://digituma.uma.pt/bitstream/10400.13/2231/1/MestradoCarlaCarvalho.pdf