A carregar...
Publicação
Decision support for selecting information security controls
| Nome: | Descrição: | Tamanho: | Formato: | |
|---|---|---|---|---|
| 1.08 MB | Adobe PDF |
Orientador(es)
Resumo(s)
A evolução da Humanidade permitiu várias mudanças quer a nível social, tecnológico e até mesmo organizacional. Com o aparecimento da Internet, as Tecnologias de Informação (TI) assumem um peso bastante significativo dentro de uma empresa porque se encontram inseridas em todos os departamentos da organização e detêm um papel muito importante quer em processos internos como externos. Para além disso, as Tecnologias de Informação têm vindo a criar novos processos de negócio e de partilha de informação que auxiliam a gestão de informação e a tomada de decisão. Com estas evoluções tecnológicas, surgiu assim por parte das organizações a necessidade de se utilizarem computadores com uma maior capacidade de processamento, de armazenamento e de consulta de operações, por forma a que o seu desempenho e funcionamento possam ir ao encontro das mudanças tecnológicas. Na Era globalizada e competitiva em que vivemos, as empresas e organizações tendem cada vez mais a valorizar a informação crítica da empresa, assim como os seus ativos, tendo como principal objetivo a manutenção e aperfeiçoamento de forma contínua dos seus processos de negócios. Assim, existe a necessidade de manter uma estrutura informática forte e também uma equipa competente e atualizada que consiga ir ao encontro dos objetivos propostos pela organização e responder às necessidades que possam surgir na segurança de informação. A valorização de informação, de ativos e de processos de negócio pode ser gerida com base em referências internacionais que permitam orientar diversos procedimentos na área de gestão de segurança de informação, tema esse que tem vindo a ganhar uma maior relevância quer junto de pequenas, como de grandes organizações. Devido a esse facto, estas referências internacionais têm aos poucos deixado de ser encaradas como simples Normas mas também como instrumentos diferenciadores e capazes de proporcionar confiabilidade no que diz respeito ao apoio à decisão para todos os stakeholders envolvidos no negócio. As novas tecnologias têm dado espaço para se implementarem vários mecanismos que suportem a tomada de decisão e contribuam para um bom desempenho de uma empresa. A utilização de sistemas de suporte à decisão pode auxiliar as organizações na redução de custos para filtrar informação que possa representar uma vantagem competitiva nos vários processos de negócio. Com isto, na presente dissertação é dado ênfase aos diversos sistemas que permitem auxiliar os gestores de uma organização na tomada de decisão. O trabalho desenvolvido relaciona-se com o Model-Driven, uma vez que é utilizado um modelo de otimização tendo em conta dois objetivos. Para além disso é ainda utilizado um conjunto de informações e parâmetros que serão definidos por parte do utilizador. A decisão de uma empresa sobre quais os controlos que esta deve adotar, por forma a que os requisitos que se pretendam implementar na segurança de tecnologias de informação sejam aqueles que tragam melhores resultados e benefícios à empresa, é um problema bastante recorrente nos dias de hoje, pelo facto de ser um processo moroso e complicado, com um orçamento previamente estipulado que se pretende que não seja elevado. Este trabalho propõe uma framework que permite auxiliar a tomada de decisão de uma organização na seleção de controlos para a mitigação de vulnerabilidades que possam comprometer o desempenho e o objetivo de diversos processos de negócio. A framework tem como base um conjunto de controlos de segurança, que se encontram sugeridos no presente portfólio e que podem ser de natureza variada, como por exemplo controlos de hardware, onde estão incluídos componentes como Firewalls ou controladores de acesso, e também por um conjunto de políticas, procedimentos e ações de formação. A framework implementada rege-se pelas normas internacionais ISO / IEC 27001:2013 e ISO / IEC 27002:2013 por forma a garantir uma correta proteção de informação e de dados de uma organização. A adoção da norma ISO/IEC 27001:2013 tem como principal objetivo garantir que os princípios que ela suporta são cumpridos, oferecendo assim aos vários Stakeholders de um negócio conforto no que diz respeito à Segurança de Informação. Dito isto, esta norma foi utilizada em vários domínios para estabelecer, manter e melhorar de forma contínua um Sistema de Gestão de Informação de uma organização. Por outro lado, a norma ISO/IEC 27002:2013 apresenta um conjunto de recomendações e práticas que devem ser adotadas na gestão da Segurança de Informação, conjunto esse que suporta a framework criada na escolha de controlos que devem ser implementados. A revisão bibliográfica realizada sobre as duas normas acima mencionadas, focou-se essencialmente nas cláusulas nove, doze e treze, que são respetivamente denominadas de Controlo de Acessos, Segurança de Operações e Segurança de Comunicações. Após ser estabelecida uma relação entre as duas normas e respetivas cláusulas, foi possível discriminar um conjunto de possíveis vulnerabilidades que possam ocorrer dentro de uma organização, assim como a definição de um conjunto de produtos de segurança informática que conseguem mitigar essas mesmas vulnerabilidades. Para isso, foram consideradas algumas empresas que comercializam produtos informáticos. Como base no que foi descrito anteriormente, foi desenvolvido um modelo que permite suportar a decisão para a escolha de controlos que mitiguem vulnerabilidades identificadas, tendo como base duas premissas: A otimização (minimização) de custos de investimento e a minimização da perda esperada (expected loss) caso haja um ataque bem-sucedido. A otimização de custos permite que seja efetuada automaticamente a escolha de produtos que tenham um custo de mercado mais baixo, mas que consigam realizar a mitigação de vulnerabilidades identificadas. Já a minimização do expected loss permite que a organização consiga definir e prever qual o impacto que determinada vulnerabilidade pode vir a ter sobre os ativos da empresa, após a implementação de um controlo de segurança. O modelo foi implementado numa ferramenta que permite a um utilizador a definição de diversos parâmetros e informações relevantes, por forma a que a solução vá de encontro às necessidades e objetivos de uma organização. A existência destas duas premissas permite que a ferramenta desenvolvida seja capaz de produzir um output, que se traduz num portfólio que consegue incluir a minimização de custo em relação aos produtos que são escolhidos na solução, ao mesmo tempo que minimiza o expected loss da organização. Este processo permite que o portfólio produzido seja personalizado dependendo das necessidades de cada empresa, e que leve a uma tomada de decisão conscienciosa por parte dos decisores de uma organização, com o objetivo de se garantir uma escolha correta de controlos de segurança de informação. Numa fase final, foram elaborados alguns case-scenarios com a utilização de diferentes valores nos parâmetros que dizem respeito à otimização de custos e à minimização do expected loss, onde foram utilizadas as mesmas vulnerabilidades em todos os cenários propostos. Concluindo, com isto, é possível comparar os resultados obtidos nos diferentes cenários e verificar possíveis oscilações nos resultados que ocorreram, quando é apresentada a solução juntamente com o portfólio de produtos de segurança informática escolhidos.
The evolution of mankind has allowed several technological changes, which result in computers with greater capacity to process, store and consult operations that correspond to the normal functioning of the organization. Thus, in the globalized and competitive world in which we live, organizations tend to value the critical information of the company as well as its assets in order to maintain and improve its business processes. Therefore, there is a need to maintain a structure with a competent team to respond to the needs that may exist as regards information security. This valuation of information and its assets can be managed using international references for the management of information security, a topic that has been gaining greater relevance to organizations over time, leaving these to be seen as a simple standard, but also as a support to the differentiating decision making. The correct use of an Information Security Management System (ISMS) is an instrument that can demonstrate to the customers and suppliers of an organization that the components of Information Security are verified and in order within the organization: Integrity, confidentiality and availability in data and systems. Choosing controls to meet IT security requirements, given a limited budget, is a time-consuming and complicated process that most organizations face today. The present work proposes the development of a framework that supports an organization's decision making regarding the mitigation of various vulnerabilities that could compromise the performance and objective of several business processes, based on two objectives: Investment optimization and minimization of the expected loss. The security controls that are suggested in this portfolio may be of a mixed nature, such as hardware controls, which include components such as Firewalls or access controllers, and a set of policies, procedures, and training actions. This framework was implemented with the support of the standards ISO/IEC 27001:2013 and ISO/IEC 27002:2013. ISO/IEC 27001: 2013 is used in various domains to establish, implement, maintain and improve an organization's information security management system. The main purpose of ISO/IEC 27002: 2013 is to allow the choice of controls that will mitigate the vulnerabilities that were identified and could be present into an organization environment. Based on what was described previously, a tool was developed to support the selection of a set of security products, through a portfolio. This portfolio corresponds to the optimized selection of security controls to be implemented in a certain scenario.
The evolution of mankind has allowed several technological changes, which result in computers with greater capacity to process, store and consult operations that correspond to the normal functioning of the organization. Thus, in the globalized and competitive world in which we live, organizations tend to value the critical information of the company as well as its assets in order to maintain and improve its business processes. Therefore, there is a need to maintain a structure with a competent team to respond to the needs that may exist as regards information security. This valuation of information and its assets can be managed using international references for the management of information security, a topic that has been gaining greater relevance to organizations over time, leaving these to be seen as a simple standard, but also as a support to the differentiating decision making. The correct use of an Information Security Management System (ISMS) is an instrument that can demonstrate to the customers and suppliers of an organization that the components of Information Security are verified and in order within the organization: Integrity, confidentiality and availability in data and systems. Choosing controls to meet IT security requirements, given a limited budget, is a time-consuming and complicated process that most organizations face today. The present work proposes the development of a framework that supports an organization's decision making regarding the mitigation of various vulnerabilities that could compromise the performance and objective of several business processes, based on two objectives: Investment optimization and minimization of the expected loss. The security controls that are suggested in this portfolio may be of a mixed nature, such as hardware controls, which include components such as Firewalls or access controllers, and a set of policies, procedures, and training actions. This framework was implemented with the support of the standards ISO/IEC 27001:2013 and ISO/IEC 27002:2013. ISO/IEC 27001: 2013 is used in various domains to establish, implement, maintain and improve an organization's information security management system. The main purpose of ISO/IEC 27002: 2013 is to allow the choice of controls that will mitigate the vulnerabilities that were identified and could be present into an organization environment. Based on what was described previously, a tool was developed to support the selection of a set of security products, through a portfolio. This portfolio corresponds to the optimized selection of security controls to be implemented in a certain scenario.
Descrição
Tese de mestrado, Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
Palavras-chave
Sistema de Gestão em Segurança de Informação Risco Vulnerabilidades Segurança Apoio à decisão ISO/IEC 27001:2013 ISO/IEC 27002:2013 Teses de mestrado - 2018