Área do cabeçalho
gov.br
Portal da UFC Acesso a informação da UFC Ouvidoria
Brasão da Universidade Federal do Ceará

Universidade Federal do Ceará
Coordenadoria de Infraestrutura e Segurança da Informação – CISI

Área do conteúdo

EBIOS

Sobre o EBIOS

O método EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – Expressão de Necessidades e Identificação de Objetivos de Segurança) é uma ferramenta completa de gerenciamento de risco de Sistemas de Segurança da Informação que está em conformidade com o RGS (Référentiel Général de Sécurité – Referencial Geral de Segurança) e às normas recentes ISO 27001, 27005 e 31000.

A ferramenta EBIOS foi desenvolvida em 1995 pela ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information – Agência Nacional da Segurança dos Sistemas de Informação), órgão do governo francês. O método é regularmente revisado e permite avaliar e tratar os riscos relativos à segurança dos sistemas de informação SSI.

Ela vem acompanhada de uma base de conhecimento coerente com normas internacionais ISO/IEC 31.000, ISO/IEC 27.005 e ISO/IEC 27.001, contando com com exemplos concretos que permitem projetar cenários de riscos pertinentes para a sua organização. Ela compreende estudos de caso que permitem a aprendizagem do método, sendo uma ferramenta indispensável para a segurança da informação:

  • por construir seu referencial SSI;
  • gerenciar riscos de uma organização;
  • implementar um sistema de gerenciamento da segurança da informação;
  • elaborar doutrina, estratégia, política, plano de ações ou tabela de avaliação de SSI.

Para integrar a SSI nos projetos ou nos sistemas existente, seja em qual nível de progresso:

  • documento de segurança;
  • especificações ;
  • FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité – Ficha de Expressão Racional dos Objetivos de Segurança);
  • perfila de proteção (PP);
  • alvos de segurança etc.

EBIOS e a UFC

A Coordenadoria de Infraestrutura e Segurança da Informação – CISI através da Superintendência de Tecnologia da Informação da UFC avaliou as opções de ferramentas que agilizem o processo de gestão de risco de Segurança da Informação e reduzam a sua complexidade. Após um período de consulta e avaliação elegemos a ferramenta EBIOS como a que mais se encaixa em nossa realidade institucional e , a mesma tem sido escolhida por atingir alguns critérios importantes como:

  • ser uma metodologia completa e consolidada no mercado a mais de 20 anos;
  • ser bem documentada;
  • pedagogicamente amigável;
  • ter uma ferramenta acompanha;
  • ter código livre;
  • ter nível de flexibilidade para se adaptar a diversos cenários;
  • ser bem avaliada em testes comparativos de ferramentas de gestão risco.

Desde então temos implementado seu uso na UFC e mantido planos colaborar com o projeto, principalmente na parte de tradução, suporte e fomento à implementação gestão de risco na Administração Pública Federal – APF. Por ser uma ferramenta de origem francesa a principal dificuldade para implementar a seguindo o uso do EBIOS está nos problemas de acessibilidade à sua documentação.

Explorando o uso do EBIOS foi possível avaliar que há um nível razoável de compatibilidade com o Framework de Gestão de Riscos do SISP e a possibilidade de construção de modelos customizados de gestão de risco de acordo com a necessidade. Futuramente os resultados e toda a documentação do projeto estará disponível na página do projeto EBIOS da UFC.

Metas do projeto EBIOS na UFC

O projeto de uso do EBIOS na UFC tem caráter primordialmente educacional e formativo voltada para desenvolver a cultura de gestão de riscos na UFC. Para tanto, vimos que o potencial da ferramenta EBIOS pode proporcionar um conjunto vasto de ações neste sentido.

Pretendemos fazer o suporte da tradução da ferramenta e da documentação do método para a língua portuguesa. Pela dificuldade de suporte do Adobe AIR ser dificultado em demais sistemas operacionais, surgiu a necessidade de adaptarmos o código-fonte para funcionar de forma nativa em sistemas UNIX-like sem preocupação inicial de desenvolver novas funcionalidades no software.

Em caso de novas alterações no código fonte original faremos o possível para acompanhar a mesma linha de desenvolvimento do projeto original e continuar oferecendo a versão do EBIOS para Linux. Em caso de abertura de colaboração mútua com o governo francês colaboraremos transferindo nossa produção para o seu repositório original Addulact do EBIOS.

  • Tradução da interface da versão para Adobe AIR (completo);
  • Correção de compatibilidade do EBIOS para o Adobe AIR no Linux (completo);
  • Divulgar projeto para colaboração – README – inglês, português e francês (parcialmente completo);
  • Construção do modelo do SISP para o EBIOS (em estudo de viabilidade);
  • Tradução da documentação do projeto EBIOS para o Português Brasileiro (iniciado);
  • Desenvolver cursos e formações com a ferramenta para disseminação da prática da gestão de risco em toda a UFC (a iniciar);
  • Divulgar documentação resultante do projeto EBIOS na UFC (iniciado);
  • Migração do código fonte do EBIOS para tecnologias não-proprietárias (em estudo de viabilidade);
  • Portabilidade do EBIOS para linguagem nativa em sistemas UNIX-like (em estudo de viabilidade).
Exibir subpáginas.
Logotipo da Superintendência de Tecnologia da Informação
Acessar Ir para o topo