MANUAL PRÁTICO PARA PME - CIBERSEGURANÇA, SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Soares, Miguel Ângelo Saragoça

http://hdl.handle.net/10400.8/9552

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
MCIF_Miguel_Soares_signed.pdf		3.55 MB	Adobe PDF	Download

Send Feedback

Authors

Soares, Miguel Ângelo Saragoça

Advisor(s)

Antunes, Mário João Gonçalves

Maximiano, Marisa da Silva

Gomes, Ricardo Jorge Pereira

Abstract(s)

Os ciberataques sofridos pelas empresas portuguesas decorrem em crescendo e os impactos são visíveis e nefastos. Os desafios da cibersegurança são imensos e o espaço público encontra-se inundado com inúmeras soluções tecnológicas, documentação técnica e manuais de boas práticas de múltiplos fabricantes e organismos, que estão, no entanto, tendencialmente descontextualizados da realidade das Micro, Pequena e Média Empresa (PME). Esta dissertação visa criar um manual prático e direto, constituído por ações e entregáveis, que norteia as PME e permite-lhes edificar um Sistema de Gestão de Segurança e Privacidade da Informação (SGSPI), robusto e resiliente ao cibercrime, e consequentemente, capacitar a organização no cumprimento dos seus objetivos de negócio. Esta dissertação pretende ainda contribuir para a construção de uma verdadeira estratégia e programa de governança de Tecnologia da Informação (TI) direcionada para as PME. É apresentada a metodologia de mapeamento e conceção do portfólio de controlos relacionados com a cibersegurança, segurança da informação, privacidade e proteção de dados pessoais, servindo de motor à perquirição de inúmeras orientações e melhores práticas, normas e regulamentos que perfazem o referencial. O resultado expressa-se num conjunto alargado de artefactos, prontos a serem adotados diretamente pelas PME e que lhes asseverará os mecanismos de controlo e equilíbrios necessários, a mitigar as falhas e brechas de segurança e privacidade da informação. As normas mais comummente adotadas (e.g., International Organization for Standardization/ International Electrotechnical Commission (ISO/IEC) 27001, ISO/IEC 27002), são em larga medida generalistas e pouco assertivas face à realidade das PME. Esta dissertação pretende colmatar tal lacuna através do recurso a documentação (e.g., Controlos Críticos do Computer Emergency Response Team (CERT) Nova Zelândia (NZ)), que permite construir controlos de maior pragmatismo e com impacto evidente para esta tipologia de empresas.