Value focused assessment of cyber risks to gain benefits from security investments

Nunes, Sérgio Rodrigues

http://hdl.handle.net/10400.5/15874

Utilize este identificador para referenciar este registo.

Nome:	Descrição:	Tamanho:	Formato:
TD-SRN-2018.pdf		1.29 MB	Adobe PDF	Ver/Abrir
TD-SRN-2018 Apendix.pdf	Anexo	356.45 KB	Adobe PDF	Ver/Abrir

Contacte-nos

Autores

Nunes, Sérgio Rodrigues

Orientador(es)

Dhillon, Gurpreet Singh

Caldeira, Mário

Resumo(s)

Com a multiplicação de dispositivos tecnológicos e com as suas complexas interacções, os ciber riscos não param de crescer. As entidades supervisoras estabelecem novos requisitos para forçar organizações a gerir os ciber riscos. Mesmo com estas crescentes ameaças e requisitos, decisões para a mitigação de ciber riscos continuam a não ser bem aceites pelas partes interessadas e os benefícios dos investimentos em segurança permanecem imperceptíveis para a gestão de topo. Esta investigação analisa o ciclo de vida da gestão de ciber risco identificando objectivos de mitigação de ciber risco, capturados de especialistas da área, prioritizando esses objectivos para criar um modelo de decisão para auxiliar gestores de risco tendo em conta vários cenários reais, desenvolvendo um conjunto de princípios de gestão de risco que possibilitam o estabelecimento de uma base para a estratégia de ciber risco aplicável e adaptável às organizações e finalmente a avaliação dos benefícios dos investimentos em segurança para mitigação dos ciber riscos seguindo uma abordagem de melhoria contínua. Duas frameworks teóricas são integradas para endereçar o ciclo de vida completo da gestão de ciber risco: o pensamento focado em valor guia o processo de decisão e a gestão de benefícios assegura que os benefícios para o negócio são realizados durante a implementação do projecto, depois de tomada a decisão para investir numa solução de segurança para mitigação do ciber risco.

With the multiplication of technological devices and their multiple complex interactions, the cyber risks keep increasing. Supervision entities establish new compliance requirements to force organizations to manage cyber risks. Despite these growing threats and requirements, decisions in cyber risk minimization continue not to be accepted by stakeholders and the business benefits of security investments remain unnoticed to top management. This research analyzes the cyber risk management lifecycle by identifying cyber risk mitigation objectives captured from subject matter experts, prioritizing those objectives in a cyber risk management decision model to help risk managers in the decision process by taking into account multiple real scenarios, developing the baseline of cyber risk management principles to form a cyber risk strategy applicable and adaptable to current organizations and finally evaluating the business benefits of security investments to mitigate cyber risks in a continuous improvement approach. Two theoretical frameworks are combined to address the full cyber risk management lifecycle: value focused thinking guides the decision process and benefits management ensures that business benefits are realized during project implementation, after the decision is taken to invest in a security solution to mitigate cyber risk.

Descrição

Doutoramento em Gestão

Palavras-chave

ciber risco gestão de risco investimentos em segurança VFT gestão de benefícios cyber risk risk management security investments value focused thinking benefits management

URI

http://hdl.handle.net/10400.5/15874

Citação

Nunes, Sérgio Rodrigues (2018). "Value focused assessment of cyber risks to gain benefits from security investments". Tese de Doutoramento, Universidade de Lisboa. Instituto Superior de Economia e Gestão.

Editora

Instituto Superior de Economia e Gestão

Coleções

BISEG - Teses de Doutoramento / Ph.D. Thesis
DG - Teses de Doutoramento / Ph.D. Thesis

Ver registo completo