Trabalho de Conclusão
Título:GUIA DE IMPLEMENTAÇÃO DO FRAMEWORK DE GESTÃO DE RISCO DA NIST
Aluno:PEDRO KASSICK SOARES
Semestre:2024/01
Situação:Concluido
Áreas de interesse:Não informado
Orientador:Juliano Varella de Carvalho
Avaliadores:Paulo Ricardo Muniz Barros, Roberto Affonso Schilling
Documentos:Anteprojeto (liberado apenas para a banca), Texto final TC1 (liberado apenas para a banca), Texto final TC2 (liberado apenas para a banca)
Palavras-chave:Segurança da informação. Gestão de risco. NIST. Framework. Tecnologia da Informação.
Resumo:

Dentro do ramo de segurança da informação existe uma área de atuação chamada Gestão de Riscos, esta área preocupa-se com a identificação, avaliação, classificação e tratamento de riscos de segurança da informação e de negócio para organizações. Por esta ser uma tarefa de alta complexidade e variedade, dependendo do segmento de negócio da organização, muitos órgãos públicos e instituições privadas propuseram frameworks para coordenar as ações de Gestão de Risco. Contudo, esses frameworks precisam ser genéricos para atingir o maior número de organizações e serem usados em diferentes segmentos de negócio, o que dificulta a sua implementação em organizações específicas. Este trabalho, então, desenvolveu e testou um Guia de implementação dos dois primeiros passos do framework de gestão de risco da NIST (National Institute of Standards and Technologies). O Guia centralizou técnicas e ferramentas que podem ser aplicadas para implementar os passos Prepare e Categorize do framework mencionado acima. Após seu desenvolvimento, sua aplicação foi testada em uma empresa do ramo de Tecnologia da Informação, então sua efetividade foi avaliada através da coleta de opiniões e sugestões da equipe de segurança da empresa sobre a aplicação do Guia por meio de entrevistas, formulários de coleta de opinião e revisões da aplicação do Guia. Após esta fase, as sugestões e opiniões coletadas foram utilizadas para desenvolver melhorias ao Guia. As melhorias propostas incluem formas de se reduzir a subjetividade da avaliação de riscos, desenvolvimento de definições mais claras dos componentes de riscos e formas de se apresentar os resultados da Gestão de Risco à pessoas ocupando cargos estratégicos e/ou profissionais de áreas diferentes de Segurança da Informação.

Link biblioteca:Não informado