ISMaaS

Abstract

Atualmente com o evoluir da tecnologia são cada vez mais comuns ataques a empresas e a exploração de vulnerabilidades em todo o tipo de serviços. Com este crescendo de perigos todo o tipo de empresas está em risco de poder perder dados vitais ao seu negócio ou dados confidências dos seus empregados e clientes. Surge então a necessidade de criar barreiras defensivas contra os atacantes. Diversas entidades fazem da sua função e objetivo a criação de métodos de defesa contra todo o tipo de ataques. Quer seja pela criação de normas, regulamentos, leis ou distribuindo serviços de proteção. Esta dissertação focasse essencialmente nos documentos criados. Uma vez criadas as leis uma empresa é então obrigada a cumpri-las, podendo optar pelo seguimento de qualquer norma. Tanto as leis como as normas muitas vezes são documentos bastante extensos e complexos por isso o seu cumprimento pode ser algo bastante complicado para uma empresa, mesmo tratando-se apenas de um documento. Quando existe a necessidade de cumprir com mais do que um documento deste tipo existe uma grande probabilidade de se perder bastante tempo a verificar controlos repetidos. A presente dissertação teve como objetivo a criação de uma plataforma de auxílio a auditorias de múltiplos documentos. Isto foi feito criando uma matriz de relacionamento entre diversos documentos. Este relacionamento é verificado através de uma escala de similaridade capaz de indicar qual o tipo de relação entre cada controlo do documento. A matriz tornou-se na base de uma API, capaz de ser integrada em qualquer sistema. Da API é possível extrair informações relativas aos documentos, como todos os seus controlos, os seus processos de auditoria e também a similaridade entre outro qualquer documento presente na plataforma. Para demonstrar o funcionamento desta foram agilizados os processos de auditoria de dois documentos A ISO:IEC 27001 e o Quadro Nacional de Referência para a Ciber segurança. Cada controlo era identificado com uma cor representando um grau de similaridade com um controlo já verificado do outro documento. A criação de um processo de Gap Analysis é também algo possível de ser feito recorrendo à matriz. Este processo foi também implementado e consiste na análise de dois documentos ficando a saber quantos e quais os controlos comuns entre eles. Esta pode ser utilizada na fase planeamento de introdução a um novo documento, podendo assim prever o trabalho necessário para garantir a conformidade de um documento.

Currently with the evolution of technology, attacks on companies and the exploitation of vulnerabilities in all types of services are increasingly common. With these growing threats all types of companies are at risk of losing vital data to their business or confidential data of their employees and customers. The need then arises to create defensive barriers against attackers. Several entities make their function and objective the creation of defense methods against all types of attacks. Whether by creating standards, regulations, laws or distributing protection services. This dissertation focused essentially on the documents created. Once the laws are created, a company is then obliged to comply with them, being able to choose to follow any rule. Both laws and regulations are often very extensive and complex documents, so compliance with them can be quite complicated for a company, even if it is just a document. When there is a need to comply with more than one guidelines of this type there is a high probability of wasting a lot of time checking repeated checks. This dissertation aimed to create a platform to assist multiple document audits and compliance implementation. This was done by creating a relationship matrix between several documents. This relationship is verified using a similarity scale capable of indicating the type of relationship between each document control. The matrix became the basis of an API, capable of being integrated into any system. From the API it is possible to extract information related to documents, such as all of its controls, its audit processes and also the similarity between any other document present on the platform. In order to demonstrate its functioning, the audit processes of two documents ISO:IEC 27001 and the "Quadro Nacional de Referência para a Cibersegurança" were streamlined. Each control was identified with a color representing a degree of similarity with a control already verified in the other document. The creation of a Gap Analysis process is also something that can be done using the matrix. This process was also implemented and consists of analyzing two documents and finding out how many and which controls are common to each other. This can be used in the planning phase of introducing a new document, thus being able to predict for the necessary work to guarantee the conformity of a document.