Please use this identifier to cite or link to this item:
https://hdl.handle.net/10316/110624| Title: | Metodologia para Avaliação de Maturidade de CiberSegurança em Infraestruturas de Serviços Críticos | Other Titles: | Methodology for Cybersecurity Maturity Assessment in Critical Services Infrastructures | Authors: | Antunes, Fernando Jorge da Silva | Orientador: | Cruz, Tiago José dos Santos Martins da | Keywords: | Infrastructures; Critical Services; Cybersecurity; Maturity Assessment; Infraestruturas; Serviços Críticos; Cibersegurança; Avaliação de Maturidade | Issue Date: | 14-Sep-2023 | Serial title, monograph or event: | Metodologia para Avaliação de Maturidade de CiberSegurança em Infraestruturas de Serviços Críticos | Place of publication or event: | DEI-FCTUC | Abstract: | The dependence on computational and infrastructure resources allowing for a quick, effective, and permanent response to society's needs has been growing and diversifying over the past years. In fact, the criticality of an infrastructure increases with the number of services and consumers that rely on it, with the associated risks also increasing proportionally, requiring greater visibility and control. This concern has grown over the past two decades, especially when these infrastructures began to leverage the open protocols and the internet as a means to expand their reach and effectiveness, becoming accessible from small devices with internet connections.The infrastructures that support essential services in various sectors of activity are thus required to be permanently available, moreover given their cross-domain utilization that often transcends national boundaries. This dependence necessarily translates into a concern that extends beyond the scope of the entities and organizations responsible for providing and maintaining these services. From this perspective, the involvement of bodies such as the European Commission has been notable, providing guidance to its member states to protect these infrastructures and creating specific legislation for this purpose, to be transposed for the local/national domains by each member state. In this way, each country is responsible for enforcing laws and monitor their applicability, thus ensuring that citizens are not deprived of these essential services, whose inhibition may impact a large number of people and interdependent services, potentially creating a ripple effect. With the rising tide of cyberattacks against critical infrastructures that the world has witnessed in recent years, as well as conflicts between countries that are themselves providers of essential services (but often have a strong history of involvement in cyberattacks against other nations), the need to enhance security and resilience in critical infrastructures is a mandatory and urgent requirement that must be safeguarded, considering the impact it would have if these infrastructures were compromised.Throughout this work, we will propose the development of a methodology that can assess the maturity level of critical service infrastructures by validating the effectiveness of key controls associated with specific cybersecurity domains. To achieve this goal, we will consider the most relevant domains for this type of infrastructure, especially those with a lower maturity level and a higher exposure to the risk of compromise, which would have a more significant impact on the normal functioning of the entire infrastructure. A dependência computacional e de infraestruturas que permitam responder de forma rápida, efetiva e permanente às necessidades da sociedade, têm vindo a crescer e a diversificar-se ao longo dos últimos anos. Estas infraestruturas suportam serviços que são utilizados nos mais variados sectores de atividade, obrigando-os a uma disponibilidade permanente, face à sua utilização transversal que muitas vezes trespassam a fronteira de cada país. Esta dependência traduz-se numa preocupação que transpõe as entidades e organizações responsáveis por disponibilizarem e manterem estes serviços. Têm sido notório o envolvimento de organismos como a Comissão Europeia, que estando atenta e visando dar orientações aos seus estados-membros para proteger estas infraestruturas, criou legislação especifica para o efeito, obrigando a cada estado-membro transponha e aplique esta legislação mediante a sua realidade. Desta forma, cada país fica responsável por fazer aplicar as leis e supervisionar a sua aplicabilidade, garantido assim que os seus cidadãos não ficam privados destes serviços. A sua inibição impactará um elevado número de pessoas e serviços que dependem diretamente deles, podendo rapidamente criar um efeito de contágio. A criticidade de uma infraestrutura aumenta devido ao número de serviços e consumidores que deles dependem, aumentam os riscos que lhes estão associados na mesma proporção, requerendo uma maior visibilidade e controlo. Esta preocupação aumentou nas últimas duas décadas, em que o acesso à internet foi massificado, essencialmente quando estas infraestruturas começaram elas próprias a tirar partido da internet como meio de aumentar a sua abrangência e eficácia, ficando acessíveis a partir de um pequeno dispositivo com ligação à internet. Com o cenário de ciberataques sobre infraestruturas críticas que o mundo tem assistido nos últimos anos, assim como o conflito em vários entre países que são eles próprios fornecedores de serviços essenciais, mas com forte historial de envolvimento em ciberataques a outros países, a necessidade de aumentar a segurança e resiliência nas infraestruturas críticas é um requisito obrigatório e urgente que deve ser salvaguardado, atendendo ao impacto que terá se essas infraestruturas foram comprometidas. Ao longo deste trabalho vamos propor o desenvolvimento de uma metodologia que consiga aferir o estado de maturidade nas infraestruturas de serviços críticos, através da validação da efetividade de controlos-chave, associados a domínios específicos da cibersegurança. Para atingir este objetivo, serão tidos em conta os domínios mais relevantes a considerar para esta tipologia de infraestruturas, sobretudo aqueles que tendo um menor nível de maturidade, e tendo uma maior exposição ao risco de serem comprometidos, vão causar um maior impacto ao normal funcionamento de toda a infraestrutura. |
Description: | Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia | URI: | https://hdl.handle.net/10316/110624 | Rights: | openAccess |
| Appears in Collections: | UC - Dissertações de Mestrado |
Files in This Item:
| File | Size | Format | |
|---|---|---|---|
| Fernando Antunes (2020181228) - MSI - Dissertação - Setembro 2023.pdf | 2.96 MB | Adobe PDF | View/Open |
This item is licensed under a Creative Commons License
