Document details

Dissertação de mestrado em Sistemas da Informação.

O rápido desenvolvimento das tecnologias de suporte aos Sistemas de Informação (SI) provocou profundas alterações no panorama organizacional. Actualmente, as informações contidas em SI são recursos críticos no que concerne à concretização de negócios ou tomada de decisões. As organizações estão expostas a um risco crescente para a sua actividade, incluindo a exposição dos seus SI às mais variadas ameaças. Este risco deve-se, essencialmente, à existência de um ambiente internacional cada vez mais aberto, implicando crescentes ameaças e ao uso massivo de Tecnologias de Informação e das Comunicações (TIC), particularmente as redes de computadores. A adesão dessas mesmas organizações à Internet tem vindo a aumentar exponencialmente, reflectindo igualmente o volume de transacções de Informação, muitas delas de natureza particular e confidencial. Devido aos baixos custos associados, a Internet assume-se como um meio de comunicação aberto, com inerentes características de violabilidade; tais características assumem-se como um propulsor de desaceleração da referida adesão. Todos estes factores geram um conjunto de preocupações respeitantes à segurança de SI. Tradicionalmente, nas instituições académicas, devido a causas diversas, a segurança de SI encontra-se, por vezes, negligenciada ou desenquadrada do actual panorama social e tecnológico. Urge definir medidas adequadas visando a protecção de recursos, para conferir à Informação níveis de disponibilidade, integridade e confidencialidade considerados ajustados aos objectivos deste tipo de instituições. Esta dissertação tem como objectivo propor uma metodologia de análise de risco, baseada em métodos quantitativos simples e num método de determinação do valor da informação, servindo de base à implementação de um conjunto de políticas de Segurança para prevenção contra possíveis incidentes de segurança em SI de instituições académicas.

The fast development of Information System’s (IS) support technologies has caused deep changes in organization’s environment. Nowadays, information contained in IS is a critical asset as far as business or decision making is concerned. The organizations are exposed to an increased risk scenario concerning their activity, including the exposure of their IS to a great variety of threats. This risk is essentially motivated by the existence of an increasingly opened international environment implicating growing threats and by the massive use of Information and Communication Technologies (ICT), especially computer networks. The adhesion of these organizations to Internet is growing, reflecting equally the volume of Information transactions, many of them confidential and private. Due to low intrinsic associated costs, Internet is an open communication media with inherent violability characteristics; such characteristics are assumed as a factor of desacelleration of the referred adhesion. All these factors combined generate several concerns with respect to IS security. Traditionally and due to several causes, IS security in academic institutions is sometimes neglected or inadequate to the actual technological and social environment. It is urgent to define appropriate measures aiming protection of assets in order to provide adequate levels of availability, integrity and confidentiality to Information, adjusted to the objectives of this kind of institutions. The purpose of this dissertation is to propose a risk methodology analysis, based in simple quantitative approaches and in a method for information value determination as a support to the implementation of security policies for prevention against possible IS security incidents in academic institutions.