Risk Analyses for Security Investment in Information Technology

INSTITUTO DE PESQUISAS ENERGÉTICAS E NUCLEARES – Autarquia associada à Universidade de São Paulo – 2005

Abstract

In this work was developed a risk analysis model, destined to Information Technology professionals, aimed to help in security investment process and to guarantee the implementation of best security practices with low costs for the company/business. These measures intents are to protect the asset, and don’t matter if it’s by tools acquisitions or by process implementation, observing the national and international recommendations, as well as NBR ISO/IEC 17799 pattern, which covers many topics of Information Security area and has a large number of controls and requirements that must be attended in order to guarantee the information security. By using a methodology, we can try to introduce the information technology on the risks dynamic, which helps in preparing and building up a team that guide the identification of the organization main assets. Once we know the organization assets, we start an analyze of vulnerabilities and threats, by mapping architecture and decomposing the applications. With this analyze results, a risk matrix is developed in order to establish the severity, criticism, impact and control levels existing and needed. At last, the information given by the risk matrix will be used as font to select security measures that bring the effective protection to the risks and the development of a report to the strategy organization department.

Análise de Risco para Investimento de Segurança em Tecnologia da Informação(Portuguese)

Resumo

Neste trabalho, foi desenvolvido um modelo de análise de risco, destinado aos profissionais da área de Tecnologia da Informação, com o objetivo de auxiliar o processo de investimento em segurança e garantir a implementação das melhores práticas de segurança, com o menor custo para o negócio. Essas medidas visam à proteção dos ativos e à mitigação dos riscos, sejam elas a aquisição de ferramentas ou a implementação de processos, sem deixar de observar as recomendações nacionais e internacionais, bem como a norma NBR ISO/IEC 17799 que cobre vários tópicos da área de segurança da informação e possui um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações. Por meio de uma metodologia, procura-se introduzir o profissional de tecnologia da informação na dinâmica dos riscos e orientar a preparação e formação de um time que conduza à identificação dos principais ativos da organização. Uma vez conhecidos os ativos da organização, uma análise de ameaças e vulnerabilidades é executada, por meio do mapeamento de arquitetura e decomposição dos aplicativos. Com os resultados dessa análise, uma matriz de risco é desenvolvida para estabelecer os níveis de severidade, criticidade, impacto e controles existentes e necessários. Posteriormente, as informações fornecidas pela matriz de risco servirão de fonte para a seleção das medidas de segurança que indicam as proteções efetivas para os riscos e o desenvolvimento de um relatório para o setor estratégico da organização.

Download: ra_nnnv3