Dissertação

{pt_PT=Role of the Chief Information Security Officer} {} EVALUATED

{pt=COBIT 5 for Information Security, fornece uma orientação para os profissionais de segurança da informação, que inclui o Chief Information Security Officer (CISO). Além disso, eleva a Arquitetura Empresarial (AE) como área processual relevante, com o intuito de criar e manter os facilitadores de governação e gestão dos Sistemas de Informação. A informação é um dos ativos mais importantes organizações, por isso a necessidade de protegê-la tem vindo a aumentar. A segurança da informação tem ganho cada vez mais importância nas organizações, elevando a importância do papel do CISO. A eficácia e eficiência da segurança de informação poderão ser afetadas negativamente por uma implementação deficiente do CISO. Para facilitar a implementação do papel do CISO, propomos um método para implementar este papel nas organizações, utilizando o COBIT 5 for Information Security em ArchiMate. Ao seguir o método, as empresas podem implementar o papel do CISO e otimizar o valor entregue pela segurança de informação. Durante a investigação, nomeadamente na implementação da solução, um conjunto de inconsistências entre as responsabilidades do CISO foram identificadas, atendendo à análise das matrizes de responsabilidades do COBIT 5 Enabling Processes e as responsabilidades listadas no COBIT 5 for Information Security. Estas inconsistências podem conduzir a uma incorreta implementação do CISO nas organizações que desejam seguir a framework COBIT 5, levando a uma inefetiva governação dos Sistemas de Informação. A solução proposta foi demonstrada numa empresa pública. A tese foi avaliada através de um caso real, a fim de aplicar o método proposto na prática., en=COBIT 5 for Information Security, provides guidance to information security professionals by adding information security-specific’s contents, which includes Chief Information Security Officer (CISO). Furthermore, raises Enterprise Architecture (EA) as relevant procedural area, in order to create and maintain governance and management’s enablers. Information is one of the most important assets in organizations, so the need to protect it is increasing. Indeed, information security has gained more importance in the organizations, which leads to the CISO’s role. Gaps in the implementation of the CISO’s role may hinder the effectiveness and efficiency of information security. To facilitate the achievement of an adequate implementation of CISO’s role, we propose a method to implement this role in the organizations, using COBIT 5 for Information Security in ArchiMate. By following the method, enterprises can define and implement properly the CISO’s role and may optimize the value delivered by information security. During the investigation, in particularly when implementing the solution, it was possible to identify a particular set of inconsistencies between the roles’ assignments, in particular the CISO, which are defined in the assignments matrix charts of COBIT 5 Enabling Processes, and the roles addressed by COBIT 5 for Information Security. These inconsistencies can lead to an incorrect role’ implementation of the organizations that want to follow the COBIT 5 framework, leading to an ineffective information technology (IT) governance. The solution proposal was demonstrated in a government owned company. Moreover, thesis was evaluated through a field study in order to apply the proposed method in practice.}
{pt=CISO, COBIT 5, information security, IT Governance, Enterprise Architecture, ArchiMate., en=CISO, COBIT 5, information security, IT Governance, Enterprise Architecture, ArchiMate.}

Junho 27, 2016, 16:0

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

André Ferreira Ferrão Couto e Vasconcelos

Departamento de Engenharia Informática (DEI)

Professor Auxiliar

ORIENTADOR

Miguel Leitão Bignolas Mira da Silva

Departamento de Engenharia Informática (DEI)

Professor Associado