Dissertation defense (December 23, 2019): Carlos Roberto Gonçalves Viana Filho
Student: Carlos Roberto Gonçalves Viana Filho
Title: Uma Proposta de Padronização Brasileira para a Avaliação de Risco em Ambientes Computacionais
Advisors: Felipe da Rocha Henriques (advisor), Raphael Carlos Santos Machado (co-advisor)
Committee: Felipe da Rocha Henriques (president), Raphael Carlos Santos Machado (UFF), Diego Nunes Brandão (CEFET/RJ), Michel Pompeu Tcheou (UERJ)
Day/Time: December 23, 2019/ 13h
Room: Auditorium 5
Abstract:
As sociedades modernas encontram-se cada vez mais dependentes de sistemas computacionais, serviços e de toda sua infraestrutura. Portanto, erros, instabilidades e indisponibilidades destes, podem trazer grandes prejuízos materiais e financeiros para empresas, indústrias e governos em seus diversos níveis. Com o objetivo de garantir a segurança para os seus sistemas computacionais e minimizar os riscos inerentes a sua crescente utilização as organizações têm trabalhado e investido na implantação de programas de avaliação da conformidade para ativos computacionais.
No Brasil, atualmente não existe uma legislação própria (ou padronização) que exija que os sistemas tenham um mínimo de requisitos de segurança e consequentemente que sua avaliação seja realizada e devidamente comprovada. Em muitos casos, padrões internacionais são usados por empresas Brasileiras para avaliação de conformidade. Porém, nem sempre esses padrões estão adequados ao cenário nacional. Nota-se, seja pela falta de padronização e pela sua pouca maturidade em relação os quesitos de segurança, que o país sofre com vários desafios para assegurar que seus ativos computacionais estejam devidamente protegidos contra os mais diversos tipos de ataques existentes. Entretanto embora o estabelecimento de Programas de Avaliação de Conformidade para Tecnologia da Informação e Ativos de Comunicação seja considerado um grande desafio, podemos afirmar que a avaliação de alguns programas através de uma abordagem orientada para o risco tem contribuído concretamente para a solução do problema supracitado. A adoção de tal abordagem pressupõe a definição de um conjunto de requisitos que devem ser atendidos por um determinado produto e de uma série de ensaios que deverão ser executados sobre o mesmo, de modo a atestar o atendimento àqueles requisitos.
Neste trabalho, propomos uma padronização para o cenário brasileiro para avaliação de riscos em ambientes computacionais. Uma metanálise é considerada para avaliar a proposta e, com base nos resultados obtidos, verificamos que a adaptação de padrões internacionais para o cenário brasileiro é uma boa alternativa para implantação em larga escala, o que pode levar à redução de custo e tempo para empresas.