Publicação
Estratégia de cibersegurança
| Resumo: | No mundo de hoje, a cibersegurança, ou segurança digital, é cada vez mais relevante à medida que a tecnologia avança, o que é constatável por regulares notícias de ataques informáticos a infraestruturas de organizações que afetam muitas vezes os serviços das empresas e podem até resultar em consequências gravíssimas a nível económico e financeiro. Mesmo em Portugal, nota-se que o número de ataques informáticos a empresas ou grandes corporações têm aumentado e deixado um rasto de destruição em muitas delas, o que pode levar até à falência da empresa, fruto da má reputação adquirida por esta, o que deixa por vezes a empresa para trás relativamente à sua concorrência que apresenta melhores garantias em segurança. Deste modo, esta dissertação de mestrado tem o principal intuito de mostrar a importância das empresas definirem e implementarem um plano de cibersegurança, pelo que é desenvolvida uma estratégia de cibersegurança capaz de mitigar ou eliminar potenciais consequências graves à infraestrutura de uma organização oriundas de incidentes de cibersegurança. Numa primeira fase, é analisado um conjunto de documentos relacionados ao tema em questão fundamentais para uma segunda fase onde são descritos um conjunto de 7 passos para ajudar as empresas a criarem um plano que reflita as medidas que estão e as que serão implementadas no âmbito da cibersegurança. Para isso, é seguida a NIST Cybersecurity Framework v1.1 (NIST CSF) como a base da estratégia, o Cybersecurity Capability Maturity Model (C2M2) v2.0 como ferramenta de autoavaliação e os CIS Controls v8.0 como controlos adicionais para reforço da cibersegurança, além de outras fontes relevantes na área, tais como os standards desenvolvidos pelo International Organization for Standardization (ISO). Numa terceira fase, a Estratégia de Cibersegurança é aplicada a uma empresa portuguesa que atua na área dos serviços de confiança, o que constitui uma evidência de que a estratégia definida pode ser aplicada em qualquer organização em Portugal. Assim, seguindo todos os princípios-base da cibersegurança, através da análise documental de boas práticas, legislação, frameworks e standards de cibersegurança, é desenvolvida uma estratégia de cibersegurança dedicada às organizações, que teve aplicação prática num caso concreto e pode ser seguida por qualquer organização que tenha a intenção de reforçar a sua infraestrutura digital em cibersegurança. O objetivo final é que a cibersegurança fique formalizada na organização com planos/políticas que contenham o nível desejado em cibersegurança (“Perfil-Alvo”) e se consiga gerir os riscos através da implementação de ações para combater as lacunas identificadas na empresa. |
|---|---|
| Autores principais: | Faria, Nelson Correia |
| Assunto: | Cibersegurança Estratégia de cibersegurança Ataques informáticos Legislação/“Standards”/Boas práticas Riscos de cibersegurança “Perfil-Alvo” Plano de cibersegurança Lacunas Implementação de ações NIST CSF v1.1 C2M2 v2.0 CIS Controls v8.0 ISO Cybersecurity Cybersecurity strategy Cyberattacks Legislation/Standards/Best practices Cybersecurity risks “Target Profile” Cybersecurity plan Gaps Implementation of actions Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| Ano: | 2022 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade do Minho |
| Idioma: | português |
| Origem: | RepositóriUM - Universidade do Minho |
| Resumo: | No mundo de hoje, a cibersegurança, ou segurança digital, é cada vez mais relevante à medida que a tecnologia avança, o que é constatável por regulares notícias de ataques informáticos a infraestruturas de organizações que afetam muitas vezes os serviços das empresas e podem até resultar em consequências gravíssimas a nível económico e financeiro. Mesmo em Portugal, nota-se que o número de ataques informáticos a empresas ou grandes corporações têm aumentado e deixado um rasto de destruição em muitas delas, o que pode levar até à falência da empresa, fruto da má reputação adquirida por esta, o que deixa por vezes a empresa para trás relativamente à sua concorrência que apresenta melhores garantias em segurança. Deste modo, esta dissertação de mestrado tem o principal intuito de mostrar a importância das empresas definirem e implementarem um plano de cibersegurança, pelo que é desenvolvida uma estratégia de cibersegurança capaz de mitigar ou eliminar potenciais consequências graves à infraestrutura de uma organização oriundas de incidentes de cibersegurança. Numa primeira fase, é analisado um conjunto de documentos relacionados ao tema em questão fundamentais para uma segunda fase onde são descritos um conjunto de 7 passos para ajudar as empresas a criarem um plano que reflita as medidas que estão e as que serão implementadas no âmbito da cibersegurança. Para isso, é seguida a NIST Cybersecurity Framework v1.1 (NIST CSF) como a base da estratégia, o Cybersecurity Capability Maturity Model (C2M2) v2.0 como ferramenta de autoavaliação e os CIS Controls v8.0 como controlos adicionais para reforço da cibersegurança, além de outras fontes relevantes na área, tais como os standards desenvolvidos pelo International Organization for Standardization (ISO). Numa terceira fase, a Estratégia de Cibersegurança é aplicada a uma empresa portuguesa que atua na área dos serviços de confiança, o que constitui uma evidência de que a estratégia definida pode ser aplicada em qualquer organização em Portugal. Assim, seguindo todos os princípios-base da cibersegurança, através da análise documental de boas práticas, legislação, frameworks e standards de cibersegurança, é desenvolvida uma estratégia de cibersegurança dedicada às organizações, que teve aplicação prática num caso concreto e pode ser seguida por qualquer organização que tenha a intenção de reforçar a sua infraestrutura digital em cibersegurança. O objetivo final é que a cibersegurança fique formalizada na organização com planos/políticas que contenham o nível desejado em cibersegurança (“Perfil-Alvo”) e se consiga gerir os riscos através da implementação de ações para combater as lacunas identificadas na empresa. |
|---|