A_Security_Audit_Framework_to_Manage_Information_S en pt

Prévia do material em texto

Veja discussões, estatísticas e perfis de autor para esta publicação em: https://www.researchgate.net/publication/225917829
Uma estrutura de auditoria de segurança para gerenciar a segurança do sistema de informações
Documento de Conferência · Setembro de 2010
DOI: 10.1007 / 978-3-642-15717-2_2
CITAÇÕES
11
LEITURA
2.434
2 autores:
Alguns dos autores desta publicação também estão trabalhando nesses projetos relacionados:
Health Care Critical Knowledge Monitor SytemModel Ver projeto
e democracia Ver projeto
Teresa pereira
Instituto Politécnico de Viana do Castelo
54 PUBLICAÇÕES 432 CITAÇÕES
VER PERFIL
Henrique santos
Universidade do Minho
196 PUBLICAÇÕES 1.057 CITAÇÕES
VER PERFIL
Todo o conteúdo que segue esta página foi carregado por Henrique santos em 11 de março de 2014.
O usuário solicitou aprimoramento do arquivo baixado.
https://www.researchgate.net/publication/225917829_A_Security_Audit_Framework_to_Manage_Information_System_Security?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_2&_esc=publicationCoverPdf
https://www.researchgate.net/publication/225917829_A_Security_Audit_Framework_to_Manage_Information_System_Security?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_3&_esc=publicationCoverPdf
https://www.researchgate.net/project/Health-Care-Critical-Knowledge-Monitor-Sytem-Model?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_9&_esc=publicationCoverPdf
https://www.researchgate.net/project/e-democracy?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_9&_esc=publicationCoverPdf
https://www.researchgate.net/?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_1&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_4&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_5&_esc=publicationCoverPdf
https://www.researchgate.net/institution/Instituto_Politecnico_de_Viana_do_Castelo?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_6&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_7&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_4&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_5&_esc=publicationCoverPdf
https://www.researchgate.net/institution/University-of-Minho?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_6&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_7&_esc=publicationCoverPdf
https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_10&_esc=publicationCoverPdf
Uma estrutura de segurança para auditar e gerenciar a segurança do sistema de informação
Teresa Susana Mendes Pereira
Departamento de Informática
Escola Superior de Estudos Empresariais 
Instituto Politécnico de Viana do Castelo
Valença, Portugal
Email: tpereira@esce.ipvc.pt
Henrique santos
Departamento de Sistema de Informação
Escola de engenharia
Universidade do Minho
Guimarã˜es, Portugal
Email: hsantos@dsi.uminho.pt
Abstrato —Auditar a segurança dos sistemas de informação é difícil
e torna-se fundamental para garantir o dia a dia das atividades 
operacionais das organizações, bem como para promover a concorrência 
e criar novas oportunidades de negócio. Uma estrutura de segurança 
conceitual para gerenciar e auditar a segurança do sistema de 
informação é proposta e discutida O framework proposto é baseado em 
uma abordagem de modelo conceitual, com base na ISO / IEC_JCT1 padrões, 
para ajudar as organizações a gerenciar melhor sua segurança de 
sistemas de informação.
Palavras-chave- Gestão de auditoria de segurança, segurança de sistema de 
informação, ontologia e modelo conceitual.
Eu eu NTRODUÇÃO
As operações de agilidade e acessibilidade promovidas pelas tecnologias de informação e 
comunicação, em particular a Internet e os novos serviços habilitados para a Internet, fazem 
com que as organizações se tornem fortemente dependentes do desempenho dos seus 
sistemas de informação. Por outro lado, a evolução da comunicação sem fio e o rápido 
crescimento e disponibilidade de novos serviços para facilitar a acessibilidade, como, por 
exemplo, os novos serviços de computação em nuvem, vêm ganhando popularidade não 
apenas pelas organizações, mas também por usuários genéricos. . Embora essas novas 
soluções ofereçam um serviço melhor com iniciativas tecnológicas promissoras a baixo custo 
operacional, elas também trazem um conjunto de riscos novos e inesperados [5]. 
Consequentemente, novas formas de proteção de segurança tornam-se cruciais e os 
procedimentos de segurança existentes podem precisar ser revisados. Uma estratégia é 
realizar auditorias regulares de segurança do sistema de informação, para avaliar o 
desempenho do gerenciamento de segurança da informação e analisar se as práticas de 
segurança existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de 
informação é conduzida para avaliar a eficácia da capacidade de uma organização de 
proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem 
investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual 
desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar 
suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo 
conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos 
no domínio da segurança da informação, de fi nido de acordo com o avaliar o desempenho 
do gerenciamento de informações de segurança e analisar se as práticas de segurança 
existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de informação 
é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus 
ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada 
para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida 
para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas 
vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o avaliar o desempenho do gerenciamento de informações desegurança e analisar se as práticas de segurança existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o
padrão de segurança estabelecido ISO / IEC_JTCI1 1 [ 4].
O artigo está estruturado da seguinte forma: na seção II será 
apresentada uma visão geral dos conceitos de gestão de segurança; 
a seção III apresenta o modelo conceitual proposto, que contém os 
conceitos semânticos especi fi cados no domínio segurança da 
informação, e seus relacionamentos, hierarquicamente estruturados 
em uma ontologia; a seção IV apresenta a proposta de framework 
para gerenciar e auditar a segurança de sistemas de informação, 
com base na estrutura da ontologia; conclusões e trabalhos futuros 
são apresentados na seção V.
II. S ECURIDADE M ANAGEMENT
A gestão da segurança dos sistemas de informação preocupa cada vez mais as 
organizações, devido à dependência crescente das organizações da tecnologia para 
conduzir os seus negócios, para criar uma vantagem competitiva e obter um maior 
ROI. As organizações dependem significativamente da tecnologia, como a Internet, 
para operações comerciais e transações comerciais seguras [6]. No entanto, as 
organizações devem considerar como vão ter sucesso no ambiente de risco em 
constante mudança, uma vez que os controles técnicos por si só não são mais 
garantidos, mas dependem principalmente de outros requisitos de segurança como 
legislação, cultura ou meio ambiente [6]. Atualmente a segurança é um princípio 
fundamental para o desempenho dos negócios das organizações. Como resultado, as 
organizações precisam desenvolver estratégias de gerenciamento de segurança em 
resposta aos requisitos de segurança da informação em evolução. Uma estratégia de 
segurança adequada exige um processo rigoroso, semelhante a qualquer outro 
processo de negócio, onde cada agente interagindo com recursos críticos precisa 
estar atento e participar da gestão da segurança, tanto adotando comportamentos 
seguros quanto avaliando continuamente o desempenho do controle de segurança 
[1].
A auditoria regular da segurança do sistema de informação é uma abordagem 
para avaliar as práticas e operações dos sistemas de informação da organização. Um 
processo de auditoria permitirá obter evidências da eficiência das políticas de 
segurança dos sistemas de informação das organizações para manter a integridade, 
confidencialidade e disponibilidade dos ativos, a segurança típica das organizações.
1 Organização Internacional de Normalização (ISO) / Comissão Eletrotécnica 
Internacional (IEC), Comitê Técnico Conjunto (JTC 1)
2010 IEEE / WIC / ACM Conferência Internacional sobre Web Intelligence e Intelligent Agent Technology
978-0-7695-4191-4 / 10 $ 26,00 © 2010 IEEE 
DOI 10.1109 / WI-IAT.2010.244
29
Objetivos. Existem alguns modelos ou frameworks para apoiar a 
auditoria de segurança, na maioria das vezes baseados em 
interpretações mais ou menos liberais dos conceitos fundamentais 
de segurança [5]. É importante ressaltar que existem diretrizes para 
auditoria de segurança, fornecidas por autoridades reconhecidas. 
Os exemplos mais relevantes são a autoridade da Associação de 
Auditoria e Controle de Segurança da Informação (ISACA 2) que 
fornece diretrizes para auditoria de segurança e melhores práticas 
de segurança para auditoria de informações, sistemas e processos. 
Eles estipulam auditorias de sistemas de computador e diretrizes de 
controle, como os objetivos de controle da informação e tecnologia 
relacionada (CoBIT 3) desenvolvido pelo IT Governance Institute. 
Alternativamente, existem os Diretrizes para auditoria de sistemas 
de gestão de segurança da informação, lançado em 2007 por
ISO / IEC e a lista de verificação ISO 17799 [2] desenvolvida pela 
SANS 4 ( Administração do Sistema, Rede e Segurança). Esses padrões 
definem com precisão os procedimentos principais, mas são 
limitados quanto às relações estritas ou fl uxos de processo 
necessários para realizar uma tarefa de segurança, como uma 
auditoria. Para suprir essa lacuna, é apresentado um framework de 
apoio à auditoria de segurança de sistemas de informação, com 
base em um modelo conceitual.
III. P ROPOSED C ONCEPTUAL M ODEL
O framework proposto é baseado na ontologia conceitual, 
que modela os conceitos fundamentais de ataques, 
ameaças e vulnerabilidades, e suas relações com outros 
conceitos de segurança. O modelo conceitual de fi nido 
compreende 8 conceitos e 16 relacionamentos, com base 
nos padrões de segurança ISO / IEC_JCT1, conforme ilustrado 
na figura 1. Esses conceitos são descritos a seguir:
Incidente - Um único ou uma série de indesejáveis ou
eventos inesperados que podem ter probabilidade 
significativa de comprometer a segurança do sistema de 
informações.
(Segurança) Evento - Uma ocorrência identificada de um
conjunto particular de circunstâncias que alteraram o 
status da segurança do sistema de informações. Ativo - 
qualquer recurso que tenha valor e importância
portância para a organização, que inclui 
infraestruturas de informação, programas, 
redes e comunicações, software, sistemas 
operativos, dados e pessoas.
CIA - As propriedades da informação a serem asseguradas,
a saber: confidencialidade, integridade e disponibilidade; 
além dessasprincipais propriedades de segurança, e 
dependendo do contexto, outras propriedades de 
segurança podem precisar ser abordadas, tais como: 
autenticidade, responsabilidade e confiabilidade.
2 http://www.isaca.org/
3 http://www.itgi.org/
4 http://www.sans.org
AmeaçaAtaque
Procedimentos
Ao controle
materializado
detectEvent
detectIncident
reduza ameaça
Evento
Incidente
De ativos
CIA
efeito
proteger
madeFromEvent
hasSecurityProperty
areEffectedBy
perda de
na direção
protectAsset
Política Orientações Salvaguarda
subclasse
Propriedade
Relação
protectCIA
Vulnerabilidade
temexplorar
Figura 1. Conceitos e relacionamentos definidos na estrutura conceitual, 
adaptado de [9]
Ameaça - Representa os tipos de perigos contra
um determinado conjunto de propriedades 
(propriedades de segurança). Os atributos definidos 
neste conceito seguem a abordagem P fl eeger (P fl 
eeger 2007), que incluem as ações ou posição de um 
invasor para realizar uma interceptação, fabricação, 
modificação e interrupção sobre um recurso.
Ataque - Uma sequência de ações executadas por alguns
agente (automático ou manual) que explora qualquer 
vulnerabilidade e produz um ou mais eventos de 
segurança.
Controle - Um mecanismo usado para detectar um incidente
ou um evento, para proteger um ativo e suas 
propriedades de segurança, para reduzir uma ameaça 
e para detectar ou prevenir os efeitos de um ataque. 
Vulnerabilidade - Representa qualquer fraqueza do
sistema.
Em suma, o racional por trás da ontologia é estruturado da 
seguinte forma: um incidente é feito de - madeFromEvent
- eventos; a ocorrência de um evento pode levar à perda de
- perda de - um conjunto de propriedades de segurança (CIA); um ativo 
tem propriedades de segurança - hasSecurityProperties - e cada um
30
Det
ecta
r / P
 rev
entA
ttac
k
pode ser afetado por uma ameaça; por outro lado, uma ameaça pode afeto 
uma ou mais propriedades de segurança; e, finalmente, um ativo tem vulnerabilidades. 
Uma ameaça é materializado por um ataque, enquanto os ataques explorar 
uma ou mais vulnerabilidades; um ataque também é acionado na direção um 
ativo. Além disso, a implementação de mecanismos de controle ajudam a reduzir
ameaças, para detectar e evita um ataque, para proteger propriedades de 
segurança, para proteger ativos e vulnerabilidades, bem como
detectar eventos, a fim de proteger ativos [7]. A descrição 
desses conceitos e seus relacionamentos, apresentados na 
ontologia, foi formalizada por meio da utilização da linguagem 
padrão W3C para modelagem de ontologias Web Ontology 
Language (OWL). Esta linguagem da web foi desenvolvida pelo 
Web Ontology Working Group como parte da W3C Semantic 
Web Activity [11]. Apesar do OWL não ter sido projetado para 
expressar especificamente questões de segurança, ele foi 
selecionado por ser uma recomendação do W3C desde fevereiro 
de 2004 e por sua expressividade com interpretabilidade 
superior por máquina. O OWL é baseado no Resource 
Description Framework (RDF) e no Resource Description 
Framework Schema (RDFS). Na verdade, o vocabulário OWL é 
uma extensão do RDF e usa a sintaxe RDF / XML. A formalização 
desta ontologia em OWL será um passo adiante para promover 
sua interoperabilidade entre diferentes sistemas de segurança 
da informação. Na próxima seção, será apresentado o 
framework proposto, que segue a estrutura hierárquica dos 
conceitos semânticos representados na ontologia de fi nida, e 
tenta fornecer uma maneira fácil de entender a interface do 
usuário para que todos os usuários de uma organização 
possam participar da segurança auditoria como tarefas.
4. P ROPOSED S ECURIDADE F RAMEWORK PARA M UMA IDADE
E UMA UDIT eu NFORMAÇÃO S YSTEM S ECURIDADE
O estabelecimento de ISO / IEC_JTC1 os padrões promoveram a 
padronização dos conceitos semânticos definidos no domínio da 
segurança da informação. O correto entendimento e identificação desses 
conceitos são o principal requisito a ser considerado na execução de uma 
avaliação adequada da eficácia da segurança do sistema de informação, 
e ainda para identificar e caracterizar um incidente de segurança 
ocorrido, bem como estimar seus impactos. A estrutura conceitual 
proposta pretende auxiliar a organização, em primeiro lugar, para 
determinar com precisão o que deve ser protegido (os ativos) e suas 
fragilidades (vulnerabilidades) envolvidas em sua atividade diária. Em 
segundo lugar, para avaliar quais vulnerabilidades podem ser exploradas 
por um ataque, bem como as ameaças que podem ser materializadas em 
um ataque. Por fim, avalie a eficiência e eficácia da política e dos 
controles implementados, a fim de avaliar se eles estão sendo 
implementados corretamente ou se precisam de algum ajuste [7]. A 
Figura 2 ilustra a estrutura conceitual proposta, apresentando esses três 
conceitos nucleares: ataque, ameaça e ativos. O auditor pode selecionar 
o conceito a partir do qual pretende iniciar o processo de auditoria e 
prosseguir para o direcionado
Figura 2. Estrutura desenvolvida
conceitos relacionados. Cada conceito contém uma lista de elementos que estão 
ligados aos demais conceitos, conforme a estrutura hierárquica dos conceitos 
semânticos, de fi nidos na ontologia. Esses três conceitos foram incluídos no 
front-end da estrutura, ao invés dos demais, devido à natureza da operação de 
auditoria que o auditor pretende realizar. Tradicionalmente, uma auditoria de 
segurança é realizada após a ocorrência de um incidente (reativo seguido por uma 
auditoria corretiva), ou seja, quando um ativo é comprometido. Neste caso, é 
solicitada uma auditoria para determinar a origem do ataque e como ocorreu o 
incidente, procedendo-se com os mecanismos corretivos adequados. No entanto, 
uma auditoria de segurança não se trata apenas de investigar violações de 
segurança, mas sim de mitigar ameaças reconhecidas, a fim de garantir: (1) a 
conformidade de segurança; (2) a segurança de ativos críticos; (3) os controles certos 
estão no lugar certo. Nesta última visão, uma auditoria de segurança é realizada no 
contexto do processo de gerenciamento de riscos de segurança e visa produzir ou 
avaliar uma política de segurança. Por ser conduzido pelos principais conceitos e seus 
relacionamentos definidos por uma ontologia, o framework proposto pretende 
auxiliar as organizações a compreender, preparar e realizar auditorias de segurança, 
por si mesmas. Essa estrutura não se concentra exclusivamente nos controles 
técnicos envolvidos com a segurança da informação, mas impõe procedimentos e 
práticas para ajudar as organizações a manterem níveis consistentemente altos de 
informações úteis e de boa qualidade sobre seus sistemas de segurança da 
informação. Dentro da ontologia, cada conceito é mapeado para assuntos reais. Por 
exemplo, um ataque de código malicioso está conectado / vinculado aos ativos 
afetados, à vulnerabilidade que ele explora e às propriedades de segurança que 
foram comprometidas. Apesar da grande quantidade de informações disponíveis 
para completar uma ontologia básica, aceitamos que cada organização desenvolverá 
sua visão única de conscientização de segurança. O framework é modular em relação 
a este aspecto, permitindo evoluir a ontologia adicionando os assuntos relevantes. 
Dessa forma, o auditor pode prosseguir com permitindo a evolução da ontologia 
adicionando os assuntos relevantes. Dessa forma, o auditor pode prosseguir com 
permitindo a evolução da ontologia adicionando os assuntos relevantes. Dessa 
forma, o auditor pode prosseguir com
31
o exame das vulnerabilidades relevantes nos ativos que possam 
comprometer a segurança do sistema de informação, dentro da 
organização; ou o auditor pode acompanhar as análises de 
novas ameaças que podem ser materializadas em um ataque.
Adicionalmente, o framework proposto inclui as funções 
típicas de ferramentas semelhantes, possibilitando um 
conjunto de funcionalidades, como a possibilidade do 
auditor gerar um relatório com todas asetapas realizadas, 
bem como a data de registro da auditoria. De acordo com os 
resultados dos exames do auditor, ele também pode 
agendar a próxima auditoria. Além disso, se o auditor 
durante seu exame detectar um novo incidente, ou seja, um 
ataque que não consta na lista de ataques, o auditor deve 
relatar esse novo ataque com suas funcionalidades, que 
serão validadas pelo administrador do framework e, após 
isso, o administrador irá indexar o ataque à lista de ataques.
V. C ONCLUSÃO E F UTURA C ORK
Convém que auditorias regulares de segurança sejam realizadas 
não apenas como uma resposta reativa a um incidente ocorrido, 
mas também como auditorias proativas para avaliar se os controles 
e procedimentos de segurança adotados por uma organização são 
adequados para proteger seus ativos valiosos e críticos. A 
necessidade de estudo permanente de ataques, ameaças e 
vulnerabilidades de ativos em um sistema de informação é essencial 
devido à sua contínua evolução e aos impactos significativos em 
uma organização. O gerenciamento desses conceitos requer uma 
compreensão detalhada dos conceitos de segurança e de seus 
relacionamentos. Esse entendimento pode ajudar as organizações a 
implementar a combinação certa de controles de proteção para 
mitigar os riscos de segurança relacionados às vulnerabilidades dos 
ativos. O artigo discute a implementação de um modelo conceitual, 
para apoiar o auditor a compreender os requisitos de negócio na 
gestão da segurança de uma organização, nomeadamente para: (1) 
identificar adequadamente os ativos avaliados ou críticos; (2) 
identificar adequadamente as vulnerabilidades dos ativos; (3) 
identificar e mitigar ameaças potenciais; (4) avaliar os riscos; (5) 
avaliar a eficiência e eficácia das políticas de segurança e 
salvaguardas definidas e, portanto, analisar e implementar os 
ajustes necessários à política de segurança adotada.
Esta solução apresenta uma nova perspectiva para modelar 
informações, no domínio da segurança, uma vez que é baseada em 
um modelo conceitual com capacidades para descrever de forma 
rica os múltiplos recursos de segurança dentro de uma organização. 
Além disso, permite que uma organização evolua sua própria 
instanciação da ontologia de segurança, obedecendo a conceitos 
padrão, mas incorporando sua visão e risco assumido de exposição. 
Adicionalmente, a formalização desta ontologia em OWL será um 
importante recurso para promover sua interoperabilidade entre 
diferentes sistemas de segurança da informação, bem como sua
integração em outro sistema de representação de conhecimento no 
domínio da segurança.
Como trabalhos futuros pretendemos avaliar a aplicação do 
framework proposto e analisar se o sistema cumpre a evolução dos 
ataques à segurança do sistema de informação.
R EFERÊNCIAS
[1] Da Veiga, A. e Eloff, JHP, Um governador de segurança da informação -
quadro financeiro. Gestão de Sistemas de Informação 24, 361-
372, 2007.
[2] Gerenciamento de Segurança da Informação, Parte 2: Especificação para In-
sistemas de gerenciamento de segurança de formação AS / NZS 7799.2: 
2003 BS 7799.2: 2002 (2003), [on-line], SANS, http://www.sans.org/ score / 
checklists / ISO 17799 checklist.pdf.
[3] ISO / IEC FDIS 27000 Tecnologia da informação - Tecnologia de segurança
niques - Sistemas de gerenciamento de segurança da informação Visão 
geral e vocabulário, escritório de direitos autorais ISO. Genebra, Suíça 
(2009).
[4] ISO / IEC FDIS 27001 Tecnologia da Informação - Tecnologia de Segurança
niques - Sistemas de gestão de segurança da informação - 
Requisitos, escritório de direitos autorais ISO. Genebra, Suíça (2005).
[5] Onwubiko, C., 2009. Uma Estrutura de Auditoria de Segurança para Segurança
Gestão na empresa. Em Segurança Global, Proteção e 
Sustentabilidade. Dentro 5ª Conferência Internacional, ICGS3 2009, 
Londres, Reino Unido, 1-2 de setembro de 2009.
[6] Onwubiko, C., Lenaghan, AP, Challenges and complexities
de gerenciamento de segurança da informação. Int. J. Electronic 
Security and Digital Forensic, vol. 2, No. 3, pp.306-321.
[7] Pereira, Teresa, Santos, Henrique, 2009. An Ontology Based
Abordagem à segurança da informação. Comunicação em 
Informática e Ciência da Informação, Sartori, Fabio; Sicilia, 
Miguel-Angel; Manouselis, Nikos, Eds. 2009, XIII, 330 p., Capa 
mole. 3ª Conferência Internacional, Pesquisa de Metadados e 
Semântica (MTSR 2009). ISBN: 978-3-642-04589-9, pp. 183-
193. Springer 2009, Milão, Itália. 30 de setembro - outubro
2009
[8] P fl eeger, Charles, P., P fl eeger, Shari, L. (2007). Segurança em
Computing, 4ª ed., Prentice Hall PTR.
[9] Santos, HD, ISO / IEC 27001 A norma das normas em
Segurança da Informação, Publicação da Associação Portuguesa 
para a Qualidade, pp 11-19, Ano XXXV, N 1, ISSN 0870-6743, 
Primavera de 2006.
[10] Walker, David M., Jones, Ronald L. (2001). Gestão
Guia de Planejamento para Auditoria de Segurança de Sistemas de 
Informação, publicação especial da National State Auditors 
Association e do US General Accounting Office, 10 de dezembro,
2001, [on-line]. Disponível em: http://www.gao.gov/special. pubs 
/ mgmtpln.pdf.
[11] Smith, Michael K., Welty, Chris, McGuinness, Deborah L .:
OWL Web Ontology Language Guide, [on-line], recomendação 
W3C de 10 de fevereiro de 2004. Relatório técnico, W3C (2004). 
Disponível em: http://www.w3.org/TR/owl-guide/.
32
VViieai credowppuubblliiccaattiiosobren ssttaattss
https://www.researchgate.net/publication/225917829