Departamento de Ciências e Tecnologias da Informação Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto Mestrado: MIG/MEI/METI Ano Lectivo: 2014/2015 Nome: Título da Dissertação / Trabalho: Alinhamento do Programa de Segurança de Informação com a estratégia da organização através de BSC Área Científica: Orientador: Carlos Serrão (ISCTE-IUL) Co-Orientador: Carla Zibreira (MainRoad) Data Limite Entrega: DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 1
A Objectivos Devem indicar-se claramente os objectivos da proposta e o seu enquadramento. Isto é, é necessário indicar que problema se vai resolver e se esse problema se integra ou não num âmbito mais alargado. Pretende-se com este trabalho de Mestrado o desenvolvimento de uma metodologia baseada na ferramenta de Balanced Scorecard (BSC) que permita avaliar o desempenho dos Programas de Segurança de Informação e o seu alinhamento com a visão e estratégia das organizações através de indicadores e métricas. As métricas / indicadores serão organizados de acordo com quatro domínios: Financeiro relação entre investimentos em segurança e resultados obtidos / retorno; Processos Internos de Segurança estratégia para identificar, desenvolver e manter processos de segurança que assegurem a criação de valor para o negócio; Aprendizagem e Crescimento - capacidade de criar uma cultura consciente de segurança da informação, juntamente com a aprendizagem contínua que permita alinhar continuamente as estratégias; Cliente capacidade de maximizar a qualidade dos serviços disponibilizados a clientes. e alinhados com os três níveis de Gestão da Segurança da Informação: Estratégico Why ; Tático How ; Operacional What. Alguns exemplos de indicadores / métricas: Financeiro o Custo médio dos incidentes de segurança o Custo de tratamento de determinados riscos conhecidos Cliente o Tempo de inatividade de operações críticas devido a incidentes de segurança o Número de projetos parados ou com interrupções devido a incidentes de segurança Processos Internos de Segurança o Número de incidentes de segurança reportados o Percentagem de incidentes de segurança tratados sem impactos para o negócio Aprendizagem e Crescimento o Tempo despendido para implementar um requisito legal o Tempo despendido para tratar uma nova ameaça DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 2
B Motivação É necessário indicar, com toda a clareza, a razão pela qual se vai abordar o objectivo/problema indicado. É fundamental explicar o que se ganha e quem ganha com a resolução desse problema. É perfeitamente aceitável que os ganhos não sejam directos ou imediatos, mas tem de haver ganhos, nem que sejam potenciais. Com o aumento da dependência das Tecnologias de Informação e da Internet nas organizações, aumenta também a exposição e possibilidade de possíveis violações e incidentes de Segurança da Informação, os impactos que os incidentes de segurança podem ter para as organizações (exemplo: perda de receita, produtividade, incumprimentos legais, má reputação, etc.) são cada vez mais uma preocupação para os Gestores de Topo das organizações. Neste sentido, e como resposta à preocupação crescente, vão surgindo normativos, referenciais e boas práticas relativas à Segurança da Informação (exemplo: PCI- DSS, ISO 27000, COBIT, etc.), que podem de alguma forma servir de suporte às organizações para definirem as suas estratégias e alinhar os seus programas de Segurança da Informação. Contudo, e apesar da proliferação de metodologias, são sentidas dificuldades em adaptar as boas práticas à realidade de cada organização, medir e avaliar o desempenho dos programas de segurança da informação, e consequentemente gerir esses mesmos programas de uma forma efetiva. Desta forma, e para responder às lacunas identificadas, propõe-se a elaboração de uma metodologia baseada na ferramenta de Balanced Scorecard, adaptável a cada organização, que possibilite: Fornecer uma visão holística do programa de segurança de informação; Avaliar continuamente o desempenho do programa / organização com base em indicadores e critérios de sucesso bem definidos; Promover sinergias organizacionais e uma linguagem comum de segurança da informação entre equipas técnicas e gestão de topo; Traduzir a visão e estratégia da organização em objetivos operacionais de segurança; Sustentar a melhoria contínua com base na monitorização dos resultados obtidos; Aplicar e avaliar a metodologia desenvolvida num contexto de utilização prático e real; Produzir duas comunicações científicas e apresentar as mesmas como parte do plano de comunicação dos resultados da trabalho de mestrado! DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 3
C Contribuição A investigação deve contribuir para avançar o estado actual dos conhecimentos ou da prática sobre o seu assunto de estudo. Deve indicar-se, ainda que de forma muito sucinta, as contribuições que se propõe dar para avançar o domínio de análise em causa. Este ponto poderá ser agrupado com o ponto da Motivação. Este ponto está agrupado com o ponto anterior! D Avaliação dos resultados obtidos O sucesso da dissertação depende em certa medida da possibilidade de se avaliar os resultados. Deve indicar-se, ainda que muito sucintamente, como se vão avaliar os resultados produzidos. Para avaliar os resultados obtidos no projeto serão desenvolvidas as seguintes ações: Fundamentação da problemática; Descrição da metodologia e aplicação da ferramenta; Adaptabilidade da ferramenta a diferentes contextos organizacionais; Caracterização de métricas / critérios; Usabilidade, aplicabilidade e validação em caso de estudo prático visão holística do Security Operations Center (SOC) da Mainroad relativamente a requisitos da normativa ISO 27000. Produção de comunicações científicas com os resultados do trabalho realizado. DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 4
E Tarefas e calendarização Devem identificar-se e descrever as principais tarefas do trabalho, com a indicação da sua calendarização e resultados. A unidade de tempo a utilizar será a semana. Segue-se a descrição das tarefas a realizar e a sua duração: 1) Análise do estado da arte (3 semanas) a) Durante esta fase serão analisadas as principais metodologias e ferramentas relacionadas com o tema abordado, de modo a poder identificar os pontos fortes e os pontos fracos de cada uma e poder ter uma referência para o trabalho que se irá realizar. 2) Pesquisa bibliográfica (2 semanas) a) Nesta fase será pesquisada bibliografia relevante. 3) Analisar requisitos/funcionalidades da ferramenta (4 semanas) a) Tendo em conta os requisitos e os objectivos da metodologia e da ferramenta, esta etapa servirá para delinear as principais características da mesmas. 4) Estudar, analisar e implementar as principais métricas de análise (12 semanas) 5) Testar a ferramenta de análise (4 semanas) a) Desenho e implementação da aplicação b) Proceder a testes sempre que haja uma nova funcionalidade implementada 6) Validar a implementação do sistema num caso real de implementação (8 semanas) a) Validar o sistema junto dos principais stakeholders 7) Escrita da Dissertação (12 semanas) a) Realizar a parte escrita da tese e a revisão da mesma 8) Produzir 2 comunicações científicas sobre o trabalho realizado (4 semanas) a) Desenvolver um conjunto de artigos de divulgação científica dos principais resultados do trabalho DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 5
F Bibliografia Devem identificar-se algumas referências bibliográficas actuais e relevantes sobre o domínio do trabalho proposto. ISO 27000 standards series, Information Security Management Systems COBIT, Control Objectives for Information and related Technology PCI Security Standards Calder, A. (2006). Information Security Based on ISO 27001/ISO 17799: A Management Guide. Van Haren Publishing. Frankland, J. (2008). IT security metrics: implementation and standards compliance. Network Security, 2008(6), 6 9. doi:10.1016/s1353-4858(08)70075-8 ISO, I. (2009). IEC 27004: 2009. Information Technology--Security Techniques-- Information Security Management--Measurement. Geneva: ISO. Ouedraogo, M., Mouratidis, H., Khadraoui, D., & Dubois, E. (2009, May). Security assurance metrics and aggregation techniques for it systems. In 2009 Fourth International Conference on Internet Monitoring and Protection (ICIMC 2009), May (pp. 24-28). Morse, E. A., & Raval, V. (2008). PCI DSS: Payment card industry data security standards in context. Computer Law & Security Review, 24(6), 540-554. Ridley, G., Young, J., & Carroll, P. (2004, January). COBIT and its Utilization: A framework from the literature. In System Sciences, 2004. Proceedings of the 37th Annual Hawaii International Conference on (pp. 8-pp). IEEE. O(a) Orientador(a) O(a) Mestrando(a) O(a) Co-Orientador(a) Data: DCTI / ISCTE Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto 6