Métricas e Artefatos para a Priorização de Investimentos no Ajuste de Conformidade à Norma ISO 17799
Resumo
Um dos grandes desafios da área de segurança é estabelecer métodos e modelos para se aferir e planejar a mitigação dos riscos existentes, dado a grande diversidade e complexidade dos sistemas atuais e da larga gama de vulnerabilidades e potenciais ataques. Este artigo propõe o desenvolvimento de novas métricas e modelos específicos que auxiliem o processo de ajuste de conformidade à norma ISO 17799. Basicamente, investigam-se diferentes formas de expressar a conformidade (e sensibilidade desta conformidade aos respectivos controles), gerando subsídios para um processo de priorização da implementação dos controles necessários.
Referências
Solms, B. V, Solms, R. V. (2005). From information security to business security?, Computers & Security, 24, pp. 271-273.
BSI. (2002). BS 7799 Information Security Management – Part 2: Specification for Information Security Management System.
ISO/IEC. (2005). FDIS 17799:2005 - Information techniques – Security techniques – Code of pratice for information security management.
IT Governance Institute. (2007).COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2. edição, ISACA.
Alberts, Christopher e Dorofee, Audrey. (2002). Managing Information Security Risks: The OCTAVE Approach, Ed. Addison-Wesley.
Cum, B., Lo, C., Wong, P., Hwong, J. (2003). Evaluation of information security related risks of an organization: the application of the multicriteria decision-making method, Anais do IEEE 37th Annual 2003 International Carnahan Conference on Security Technology.
Butler, S.A. (2002). Security Attribute Evaluation Method: A Cost-Benefit Approach, Anais do ICSE’02 International Conference on Software Engineering, EUA.
Arora, A., Hall D., Pinto, C.A., Ramsey, D., Telang, R. (2004) Measuring the Risk-Based Value of IT Security Solutions, IT Professional, vol. 06/6, pp.35-42, Nov/Dez.
Liao, G., Song, C. (2003). Design of a Computer-Aided System for Risk Assessment on Information Systems, Anais do IEEE 37th International Carnahan Conference on Security Technology.
C. Jung, I. Han; and B. Suh. (1999). Risk Analysis for Electronic Commerce Using CaseBased Reasoning, International Journal of Intelligent Systems in Accounting, Financial & Management, vol. 8, pp. 61-73.
Carmo, L.F.R.C., Alves, G.A.A., Costa, R.B.C., Reis Junior, C.A. (2005). Estratégias de mitigação de riscos de segurança de segurança do ambiente AGRIS. Anais do SSI’2005 7º Simpósio Segurança em Informática.
Zhao, D., Wang, J., Wu, J., Ma, J. (2005). Using Fuzzy Logic and Entropy Theory to Risk Assessment of The Information Security. Anais do Fourth International Conference on Machine Learning and Cybernetics, Guangzhou.
He, Q., Otto, P., Antón A.I., Jones, L. (2006). Ensuring Compliance between Policies, Requirements and Software Design: A Case Study. Anais do Fourth IEEE International Workshop on Information Assurance (IWIA’06).
BSI. (2002). BS 7799 Information Security Management – Part 2: Specification for Information Security Management System.
ISO/IEC. (2005). FDIS 17799:2005 - Information techniques – Security techniques – Code of pratice for information security management.
IT Governance Institute. (2007).COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2. edição, ISACA.
Alberts, Christopher e Dorofee, Audrey. (2002). Managing Information Security Risks: The OCTAVE Approach, Ed. Addison-Wesley.
Cum, B., Lo, C., Wong, P., Hwong, J. (2003). Evaluation of information security related risks of an organization: the application of the multicriteria decision-making method, Anais do IEEE 37th Annual 2003 International Carnahan Conference on Security Technology.
Butler, S.A. (2002). Security Attribute Evaluation Method: A Cost-Benefit Approach, Anais do ICSE’02 International Conference on Software Engineering, EUA.
Arora, A., Hall D., Pinto, C.A., Ramsey, D., Telang, R. (2004) Measuring the Risk-Based Value of IT Security Solutions, IT Professional, vol. 06/6, pp.35-42, Nov/Dez.
Liao, G., Song, C. (2003). Design of a Computer-Aided System for Risk Assessment on Information Systems, Anais do IEEE 37th International Carnahan Conference on Security Technology.
C. Jung, I. Han; and B. Suh. (1999). Risk Analysis for Electronic Commerce Using CaseBased Reasoning, International Journal of Intelligent Systems in Accounting, Financial & Management, vol. 8, pp. 61-73.
Carmo, L.F.R.C., Alves, G.A.A., Costa, R.B.C., Reis Junior, C.A. (2005). Estratégias de mitigação de riscos de segurança de segurança do ambiente AGRIS. Anais do SSI’2005 7º Simpósio Segurança em Informática.
Zhao, D., Wang, J., Wu, J., Ma, J. (2005). Using Fuzzy Logic and Entropy Theory to Risk Assessment of The Information Security. Anais do Fourth International Conference on Machine Learning and Cybernetics, Guangzhou.
He, Q., Otto, P., Antón A.I., Jones, L. (2006). Ensuring Compliance between Policies, Requirements and Software Design: A Case Study. Anais do Fourth IEEE International Workshop on Information Assurance (IWIA’06).
Publicado
27/08/2007
Como Citar
CORREIA, Reinaldo de B.; AZEVEDO, André H. I. de; CARMO, Luiz F. Rust da C..
Métricas e Artefatos para a Priorização de Investimentos no Ajuste de Conformidade à Norma ISO 17799. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 7. , 2007, Rio de Janeiro.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2007
.
p. 1-14.
DOI: https://doi.org/10.5753/sbseg.2007.20913.
