dc.description.abstract | A quantidade de crimes cibernéticos, a perda em volume financeiro e a demanda por transparência exigida
pelo mercado e órgãos regulamentadores têm desafiado os gestores a realizar uma gestão de riscos de segurança da informação. Realizar uma gestão de riscos de segurança baseada em controles não é trivial,
uma vez que a quantidade de boas práticas contidas nos frameworks é grande, e os gestores se veem diante de um desafio de escolha e priorização destes. Utilizando de metodologias multicritério, os decisores
conseguem realizar a modelagem do problema, bem como realizar a priorização dos controles de segurança, conforme recomendado pela ISO 31010. Entretanto, os métodos multicritérios mais utilizados na
literatura apresentam como objetivo somente a precisão dos cálculos de priorização das alternativas, não
têm foco na construção do conhecimento e, muitas vezes, não conseguem envolver todas as partes interessadas, dificultando o processo de compreensão do problema. O MCDA-C é um método multicritério
com abordagem mista, qualitativa e quantitativa, com foco na construção do conhecimento, ouvindo todas as partes interessadas em diversos níveis organizacionais. Esse método traz como resultado os pontos
de desempenho, maximização e minimização dos controles de segurança da informação. Neste trabalho,
propõe-se a utilização do MCDA-C como um método que auxilia os gestores de segurança da informação
a priorizar os controles. O CSF NIST foi utilizado como framework de boas práticas para esse trabalho.
Por fim, o trabalho demonstra que o MCDA-C é capaz de compreender o problema em todos os níveis
organizacionais e construir o conhecimento de forma que os gestores consigam utilizá-lo onde os recursos
devem ser aplicados e priorizados. | |