Uma Ontologia para Gestão de Segurança da Informação

This article presents some problems of knowledge management in management information security organizations and suggests ontologies as part of solving these problems. The article describes the construction of a specific ontology for information security using the methodology NeOn and discusses the use of this ontology in the management information security environment. Resumo. Este artigo apresenta alguns problemas de gestão do conhecimento em organizações de consultoria de gestão de segurança da informação e sugere ontologias como parte da solução destes problemas. O artigo descreve a construção de uma ontologia para gestão de segurança da informação utilizando a metodologia NeOn e discute o uso desta ontologia no cenário de gestão de segurança da informação. 1. Introdução A gestão de segurança da informação é realizada por consultores internos ou externos em uma organização com o objetivo de identificar o grau de segurança de um ambiente corporativo e propor controles tecnológicos ou administrativos para a redução dos riscos de incidentes de segurança da informação neste ambiente. Geralmente o conhecimento necessário para a realização de um projeto de gestão de segurança da informação está descrito em normas técnicas, como a ISO 27001 (conhecimento explícito), ou internalizado na mente dos consultores de segurança da informação (conhecimento tático), sendo que neste segundo caso a qualidade do projeto de gestão de segurança da informação depende da experiência e prática do consultor. Este fator torna-se um problema na medida em que empresas de consultoria em segurança da informação não conseguem manter a mesma qualidade de atendimento em todo o seu corpo de consultores, ou seja, um consultor com mais experiência ou conhecimentos específicos poderá desempenhar um trabalho diferenciado frente a outros consultores [Kim, 2007]. Considerando também o problema da dispersão de conhecimento (em diversas normas técnicas, políticas, boas práticas e na mente dos consultores) nas organizações de consultoria em gestão de segurança da informação, a construção de uma especificação explícita e formal para o gerenciamento deste conhecimento seria um grande avanço rumo à gestão do conhecimento nestas organizações.