InfoSecRM: uma ontologia para gestão de riscos de segurança da informação

Abstract

Gerenciar os riscos de segurança da informação a que uma organização está sujeita auxilia na implementação, monitoração e melhoria contínua de seus controles e ações de segurança da informação. Este tipo de processo de gestão de riscos utiliza informações de fontes variadas como dados sobre ativos e suas vulnerabilidades, logs de sistemas, decisões gerenciais etc. Assim, recursos que possam auxiliar na manipulação de informações deste complexo arcabouço são necessidades reais e relevantes a serem consideradas. Nesta dissertação e apresentada uma ontologia como proposta de representação para formalizar, compartilhar, manipular e processar conceitos e informações relacionadas ao domínio de gestão de riscos de segurança da informação. São apresentadas as atividades realizadas para seu desenvolvimento, cujo processo guiou-se por três abordagens: metodologia Methontology, Método 101 e a metodologia proposta por Fox e Gruninger. Também são descritas as abordagens utilizadas para sua verificação (baseada em pré-requisitos que a ontologia deve alcançar e também comparando-a com outras ontologias do domínio relacionado) e validação (utilização da ontologia em um ambiente corporativo por especialistas do domínio e comparação com documentos de referência), que denotam a correta representação do domínio e a sua utilidade neste tipo de processo. _______________________________________________________________________________________ ABSTRACT

Managing information security risks of organizations assists in the implementation, monitoring and continuous improvement of their controls and information security actions. This type of risk management process uses information from various sources such as data about assets and their vulnerabilities, system logs, manager decisions. Thus, resources that can help in handling of this complex framework of information are real and relevant needs to be considered. In this thesis, an ontology is presented as a proposal to formalize representation, share, manipulate and process concepts and information related to the field of information security risk management. The activities for development are present, a process that was guided by three approaches: Methontology methodology, Method 101 and the methodology proposed by Fox and Grüninger. It also describes the approaches used for verification (based on ontology prerequisites that must be achieved and also comparing it with other related domain ontologies) and validation (using the ontology in a corporate environment by domain experts and comparison with documents reference), which denote the correct representation of the domain and its usefulness in this type of process.