Uma proposta para priorização de controles de segurança cibernética com o uso de um método multicritério

Abstract

A quantidade de crimes cibernéticos, a perda em volume financeiro e a demanda por transparência exigida pelo mercado e órgãos regulamentadores têm desafiado os gestores a realizar uma gestão de riscos de segurança da informação. Realizar uma gestão de riscos de segurança baseada em controles não é trivial, uma vez que a quantidade de boas práticas contidas nos frameworks é grande, e os gestores se veem diante de um desafio de escolha e priorização destes. Utilizando de metodologias multicritério, os decisores conseguem realizar a modelagem do problema, bem como realizar a priorização dos controles de segurança, conforme recomendado pela ISO 31010. Entretanto, os métodos multicritérios mais utilizados na literatura apresentam como objetivo somente a precisão dos cálculos de priorização das alternativas, não têm foco na construção do conhecimento e, muitas vezes, não conseguem envolver todas as partes interessadas, dificultando o processo de compreensão do problema. O MCDA-C é um método multicritério com abordagem mista, qualitativa e quantitativa, com foco na construção do conhecimento, ouvindo todas as partes interessadas em diversos níveis organizacionais. Esse método traz como resultado os pontos de desempenho, maximização e minimização dos controles de segurança da informação. Neste trabalho, propõe-se a utilização do MCDA-C como um método que auxilia os gestores de segurança da informação a priorizar os controles. O CSF NIST foi utilizado como framework de boas práticas para esse trabalho. Por fim, o trabalho demonstra que o MCDA-C é capaz de compreender o problema em todos os níveis organizacionais e construir o conhecimento de forma que os gestores consigam utilizá-lo onde os recursos devem ser aplicados e priorizados.