Está aqui

home / Oferta Formativa - Sinopse /
Voltar ao Topo

Oferta Formativa - Sinopse

Análise e Gestão de Risco em Segurança Informática

Imprimir / PDF
Código: 425230
Ano Letivo: 2015/16
Departamento: Informática
ECTS: 6
Carga horária: T: 2:00 h; TP: 1:30 h; OT: 2:00 h;
Área Científica: Informática; 

Objetivos da Unidade Curricular

Este curso permite aprender a executar de forma eficaz a análise e gestão de risco em segurança informática e o apoio à tomada de decisão organizacional no contexto dos investimentos em segurança informática. O curso apresenta modelos de análise custo-benefício e modelos financeiros que permitem avaliar os investimentos em cibersegurança. O curso expõe e discute as atuais frameworks, normas e orientações para a análise e gestão de risco em segurança informática, assim como algumas ferramentas computacionais.

Pré-requisitos

Sem pré-requisitos

Conteúdos

Ameaças e vulnerabilidades. Identificação de risco. Apreciação do risco. Análise do risco. Gestão do risco. Estratégias de controlo. Análise custo-benefício em segurança informática. Indicadores de gestão: Valor Atual Líquido (NPV), Taxa Interna de Retorno (IRR) e Retorno do Investimento (ROI). Análise de investimento. Árvores de decisão. Normas internacionais, metodologias e frameworks. Estudo de casos de aplicação em segurança informática.

 

Descrição detalhada dos conteúdos programáticos

Componente Teórica

Introdução.

Identificação de Riscos; Avaliação dos Riscos: Risco, Avaliação de Perda Potencial, Risco mitigado, Incerteza, determinação do risco, probabilidade, consequências, controlos, documentação e comunicação.

Gestão de Risco - Controlo de Risco: Estratégias; Viabilidade; Análise Custo-Benefício: o modelo ALE; Abordagens qualitativas e híbridas.

Frameworks e normas:

- Método Octave

- FAIR

- ENISA - Orientações para Avaliação e Gestão de Risco

- O guia Microsoft para gestão de Risco em InfoSec

- Normas: ISO / IEC 27001 Tecnologias da Informação, Técnicas de Segurança, Sistemas de Gestão de Segurança da Informação; ISO / IEC 27005 Tecnologias da Informação, Técnicas de Segurança, Gestão de Riscos em Segurança da Informação; ISO / IEC 31000:2013 Gestão do risco; Princípios e linhas de orientação.

- NIST - Orientações para apreciação e gestão do risco em InfoSec.

Custos: Os custos de operação vs. investimento de capital; custos diretos versus indiretos. Custos explícitos vs custos implícitos. Custos vs benefícios.

Modelos financeiros: Valor Presente Líquido (NPV). Taxa Interna de Retorno (IRR). Retorno sobre o Investimento (ROI).

Quanto gastar em segurança informática: análise de investimentos incrementais e benefícios líquidos incrementais de aumento no nível de investimento - a relevância do NPV.

O Business Case para segurança informática.

A tomada de decisão sob incerteza. Árvores de decisão. Perfis de risco.

A tomada de decisão usando uma função de utilidade (UV). O conceito de valor monetário esperado (EMV) em InfoSec. Valor Utilitário vs valor monetário esperado. Exemplos.

Estudo de casos.

Ferramentas computacionais.

 

Componente Teórica-Prática

Identificação de Riscos; Avaliação dos Riscos: Risco, Avaliação de Perda Potencial, Risco mitigado, Incerteza, determinação do risco, probabilidade, consequências, controlos, documentação e comunicação.

Gestão de Risco - Controlo de Risco: Estratégias; Viabilidade;  Análise Custo-Benefício: o modelo ALE; Abordagens qualitativas e híbridas.

Frameworks e normas:

- Método Octave

- FAIR

- ENISA - Orientações para Avaliação e Gestão de Risco 

- O guia Microsoft para gestão de Risco em InfoSec

- Normas: ISO / IEC 27001 Tecnologias da Informação, Técnicas de Segurança, Sistemas de Gestão de Segurança da Informação;ISO / IEC 27005 Tecnologias da Informação, Técnicas de Segurança, Gestão de Riscos em Segurança da Informação; ISO / IEC 31000:2013 Gestão do risco; Princípios e linhas de orientação.

- NIST - Orientações para apreciação e gestão do risco em InfoSec.

Custos: Os custos de operação vs. investimentos de capital; custos diretos versus indiretos. Custos explícitos vs custos implícitos. Custos vs benefícios.

Modelos financeiros: Valor Presente Líquido (NPV). Taxa Interna de Retorno (IRR). Retorno sobre o Investimento (ROI).

Quanto gastar em segurança informática: análise de investimentos incrementais e benefícios líquidos incrementais de aumento no nível de investimento - a relevância do NPV.

O Business Case para segurança informática.

A tomada de decisão sob incerteza. Árvores de decisão. Perfis de risco.

A tomada de decisão usando uma função de utilidade (UV). O conceito de valor monetário esperado (EMV) em InfoSec. Valor Utilitário vs valor monetário esperado. Exemplos.

Estudo de casos.

Ferramentas computacionais.

 

Componente Prática

NA

 

Bibliografia

Recomendada

Gordon, Lawrence A. and Martin P. Loeb. Managing cybersecurity resources: a cost-benefit analysis, McGraw-Hill, 2006.
Whitman, Michael E., and Herbert J. Mattord, Management of information security, 3rd Edition. Course Technology Ptr, 2010.
Goodwin, Paul, and George Wright. Decision analysis for management judgment, 4th Edition. Wiley, 2009.
 

Outros elementos de estudo

Compilação de artigos científicos.

- ISO 27005 Information Technology, Security Techniques, Information Security Risk Managementhttp://www.27000.org/iso-27005.htm
NP ISO 27001: 2013 (Norma Portuguesa) Information Technology, Security techniques, Information security management systems
NP ISO 31000: 2013 (Norma Portuguesa) Risk Management, Principles and Guidelineshttp://www.iso.org/iso/home/standards/iso31000.htm
Enisa (2012) Introduction to Return on Security Investment, European Network and Information Security Agency.www.enisa.europa.eu 

Ross, R. S. et al. (2012). Guide for Conducting Risk Assessments (NIST SP-800-30rev1). The National Institute of Standards and Technology (NIST), Gaithersburg.http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf
- Gary Stoneburner, Alice Goguen and Alexis Feringa (2002) Risk Management-Guide for Information Technology Systems, NIST Special Publication 800-30, Recommendations of the National Institute of Standards and Technology
 

Métodos de Ensino

Aulas teóricas: exposição dos temas do curso.
Aulas teórico-práticas: exposição de material com mais detalhes, e permitir um conhecimento mais profundo e prático sobre esses temas. Apresentações dos alunos.
Sessões práticas incluídas nas aulas TP: têm por objectivo permitir ao aluno usar as ferramentas informáticas que serão introduzidas para os vários tópicos e trabalhar nos projectos.
 

Métodos de Avaliação

Projectos a apresentar nas aulas TP - apresentação e discussão de artigos, temas teóricos ou case studies.

Exame Final.

Participação nas aulas TP.

 

Língua de ensino

Português ou Inglês.