Segurança e Gestão de Risco › 44153

código no paco
44153
área científica
Informática / Sistemas de Informação
créditos
6
escolaridade
ensino teórico-prático (TP) - 4 horas/semana
idioma(s) de lecionação
Português
objectivos
  • Aprender a projetar e orientar o desenvolvimento de uma política de segurança na organização
  • Aprender a determinar estratégias adequadas para assegurar confidencialidade, integridade e disponibilidade da informação
  • Aprender a aplicar técnicas de gestão de risco de modo a melhor gerir riscos, reduzir vulnerabilidades, ameaças e aplicar garantias / controlos adequados
competências
  • Compreender os princípios subjacentes à segurança nos SI
  • Compreender os conceitos de ameaça, a avaliação dos bens, os ativos de informação, segurança física, operacional e da informação e como eles estão relacionados
  • Compreender a análise de risco e gestão de riscos
  • Compreender as abordagens de mitigação técnicas e administrativas
  • Compreender a necessidade de um modelo de segurança global e suas implicações para o gestor de segurança
  • Compreender as tecnologias de segurança
  • Compreender as noções básicas de criptografia, as considerações sobre a sua implementação e a gestão de chaves
conteúdos

Funções e atividades da segurança

  • Definição do papel da segurança no negócio
  • Caracterização da importância da segurança da informação e a sua diferença face à segurança dos sistemas de informação
  • Descrição das atividades associadas com a gestão, administração e controlo de um plano de segurança no âmbito de uma empresa ou de um negócio
  • Identificação das várias áreas da segurança que permitem uma abordagem integrada e abrangente da segurança da informação

Normativos e referenciais de segurança

  • Normas internacionais que permitem a certificação de um sistema de gestão
  • Referenciais internacionalmente reconhecidos de apoio à implementação de medidas de segurança

Riscos de Segurança

  • Caracterização dos riscos como função de ameaças e vulnerabilidades
  • Identificação e tipificação dos vários tipos de ameaças à segurança da informação
  • Identificação e análise de diferentes tipos de vulnerabilidades de segurança a que é preciso estar atento e evitar
  • Elencagem das falhas de segurança existentes em ambientes empresariais

Gestão de Risco

  • Caracterização das atividades que conduzem ao controlo de uma organização no que diz respeito aos riscos
  • Identificação das diferenças entre a gestão do risco e a análise do risco
  • Elencagem das alternativas de tratamento dos riscos

Mitigação do risco

  • Analise das situações de aplicação de medidas técnicas ou administrativas
  • Controlos técnicos para mitigação do risco
  • Elencagem das técnicas criptográficas e a sua aplicabilidade como controlos de segurança

Análise de Risco

  • Técnicas para avaliação do risco numa organização e os custos e benefícios associados a essa aferição
  • Identificação e descrição de métodos para determinar níveis de relevância em sistemas e processos e aproximações para desenvolver estratégias de recuperação.
  • A metodologia de análise e avaliação de risco FRAAP, desenvolvida por Thomas R. Peltier

Ferramentas de apoio à Gestão da Segurança

  • Vantagens da utilização de ferramentas como apoio à gestão do risco
  • Ferramentas de procura e análise de vulnerabilidades

Gestão da Continuidade de Negócio

  • Identificação e uso das ferramentas, as metodologias e os procedimentos necessários para conceber e concretizar um plano de recuperação de catástrofe e de reativação do negócio
  • Definição, em termos de gestão, das análises, dos objetivos e das justificações para o esforço de planeamento num ambiente empresarial
  • Analise do Business Impact Analysis como processo de análise dos impactos no negócio
  • Determinação de quais e de que forma os processos/sistemas requerem a continuidade de negócio
avaliação

A avaliação será realizada através de duas componentes:

  1. Exame de avaliação teórica.
  2. Projeto prático de aplicação da Metodologia de Análise e Avaliação de Risco. (em grupo)

Nota final: média ponderada das notas de cada componente, arredondadas à unidade.

  1. Exame = 40% (mínimo de 10 em 20V)
  2. Projeto = 60% (mínimo de 10 em 20V)

Nota Final = Exame*0,4 + Projeto *0,6 ( >10 em 20)

requisitos

Conhecimentos base de sistemas, redes e serviços de tecnologias de informação, bem como de segurança informática

metodologia

Aulas teóricas de exposição da matéria.

Aulas práticas com um trabalho prático, num cenário empresarial real, de aplicação da metodologia FRAAP.

bibliografia recomendada

Information Security Risk Analysis, 2nd Edition, Thomas R. Peltier, Auerbach Publications, 2005, ISBN-13 978-0849333460

Referenciais e normas:

  • ISO 27001, ISO 27002, BS25999
  • NIST SP800, com destaque para
    • SP 800-30 Risk Management Guide for Information Technology Systems
    • SP800-100 Information Security Handbook
    • e SP800-53 Recommended Security Controls for Federal Information Systems and Organizations
Este sítio web utiliza cookies sem recolher informação pessoal que permita a identificação dos utilizadores. Ao navegar neste sítio está a consentir a sua utilização.saber mais
Para que esta página funcione corretamente deve ativar a execução de Javascript. Se tal não for possível, algumas funcionalidades poderão estar limitadas.