Análise e Gestão de Risco em Segurança Informática
Ano Letivo: 2015/16
Departamento: Informática
Carga horária: T: 2:00 h; TP: 1:30 h; OT: 2:00 h;
Área Científica: Informática;
Objetivos da Unidade Curricular
Este curso permite aprender a executar de forma eficaz a análise e gestão de risco em segurança informática e o apoio à tomada de decisão organizacional no contexto dos investimentos em segurança informática. O curso apresenta modelos de análise custo-benefício e modelos financeiros que permitem avaliar os investimentos em cibersegurança. O curso expõe e discute as atuais frameworks, normas e orientações para a análise e gestão de risco em segurança informática, assim como algumas ferramentas computacionais.
Pré-requisitos
Sem pré-requisitosConteúdos
Ameaças e vulnerabilidades. Identificação de risco. Apreciação do risco. Análise do risco. Gestão do risco. Estratégias de controlo. Análise custo-benefício em segurança informática. Indicadores de gestão: Valor Atual Líquido (NPV), Taxa Interna de Retorno (IRR) e Retorno do Investimento (ROI). Análise de investimento. Árvores de decisão. Normas internacionais, metodologias e frameworks. Estudo de casos de aplicação em segurança informática.
Descrição detalhada dos conteúdos programáticos
Componente Teórica
Introdução.
Identificação de Riscos; Avaliação dos Riscos: Risco, Avaliação de Perda Potencial, Risco mitigado, Incerteza, determinação do risco, probabilidade, consequências, controlos, documentação e comunicação.
Gestão de Risco - Controlo de Risco: Estratégias; Viabilidade; Análise Custo-Benefício: o modelo ALE; Abordagens qualitativas e híbridas.
Frameworks e normas:
- Método Octave
- FAIR
- ENISA - Orientações para Avaliação e Gestão de Risco
- O guia Microsoft para gestão de Risco em InfoSec
- Normas: ISO / IEC 27001 Tecnologias da Informação, Técnicas de Segurança, Sistemas de Gestão de Segurança da Informação; ISO / IEC 27005 Tecnologias da Informação, Técnicas de Segurança, Gestão de Riscos em Segurança da Informação; ISO / IEC 31000:2013 Gestão do risco; Princípios e linhas de orientação.- NIST - Orientações para apreciação e gestão do risco em InfoSec.
Custos: Os custos de operação vs. investimento de capital; custos diretos versus indiretos. Custos explícitos vs custos implícitos. Custos vs benefícios.
Modelos financeiros: Valor Presente Líquido (NPV). Taxa Interna de Retorno (IRR). Retorno sobre o Investimento (ROI).
Quanto gastar em segurança informática: análise de investimentos incrementais e benefícios líquidos incrementais de aumento no nível de investimento - a relevância do NPV.
O Business Case para segurança informática.
A tomada de decisão sob incerteza. Árvores de decisão. Perfis de risco.
A tomada de decisão usando uma função de utilidade (UV). O conceito de valor monetário esperado (EMV) em InfoSec. Valor Utilitário vs valor monetário esperado. Exemplos.
Estudo de casos.
Ferramentas computacionais.
Componente Teórica-Prática
Identificação de Riscos; Avaliação dos Riscos: Risco, Avaliação de Perda Potencial, Risco mitigado, Incerteza, determinação do risco, probabilidade, consequências, controlos, documentação e comunicação.
Gestão de Risco - Controlo de Risco: Estratégias; Viabilidade; Análise Custo-Benefício: o modelo ALE; Abordagens qualitativas e híbridas.
Frameworks e normas:
- Método Octave
- FAIR
- ENISA - Orientações para Avaliação e Gestão de Risco
- O guia Microsoft para gestão de Risco em InfoSec
- Normas: ISO / IEC 27001 Tecnologias da Informação, Técnicas de Segurança, Sistemas de Gestão de Segurança da Informação;ISO / IEC 27005 Tecnologias da Informação, Técnicas de Segurança, Gestão de Riscos em Segurança da Informação; ISO / IEC 31000:2013 Gestão do risco; Princípios e linhas de orientação.
- NIST - Orientações para apreciação e gestão do risco em InfoSec.
Custos: Os custos de operação vs. investimentos de capital; custos diretos versus indiretos. Custos explícitos vs custos implícitos. Custos vs benefícios.
Modelos financeiros: Valor Presente Líquido (NPV). Taxa Interna de Retorno (IRR). Retorno sobre o Investimento (ROI).
Quanto gastar em segurança informática: análise de investimentos incrementais e benefícios líquidos incrementais de aumento no nível de investimento - a relevância do NPV.
O Business Case para segurança informática.
A tomada de decisão sob incerteza. Árvores de decisão. Perfis de risco.
A tomada de decisão usando uma função de utilidade (UV). O conceito de valor monetário esperado (EMV) em InfoSec. Valor Utilitário vs valor monetário esperado. Exemplos.
Estudo de casos.
Ferramentas computacionais.
Componente Prática
NA
Bibliografia
Recomendada
Outros elementos de estudo
Compilação de artigos científicos.
- Ross, R. S. et al. (2012). Guide for Conducting Risk Assessments (NIST SP-800-30rev1). The National Institute of Standards and Technology (NIST), Gaithersburg.http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf
Métodos de Ensino
Métodos de Avaliação
Projectos a apresentar nas aulas TP - apresentação e discussão de artigos, temas teóricos ou case studies.
Exame Final.
Participação nas aulas TP.
Língua de ensino
Português ou Inglês.