Estratégia de cibersegurança

Abstract

No mundo de hoje, a cibersegurança, ou segurança digital, é cada vez mais relevante à medida que a tecnologia avança, o que é constatável por regulares notícias de ataques informáticos a infraestruturas de organizações que afetam muitas vezes os serviços das empresas e podem até resultar em consequências gravíssimas a nível económico e financeiro. Mesmo em Portugal, nota-se que o número de ataques informáticos a empresas ou grandes corporações têm aumentado e deixado um rasto de destruição em muitas delas, o que pode levar até à falência da empresa, fruto da má reputação adquirida por esta, o que deixa por vezes a empresa para trás relativamente à sua concorrência que apresenta melhores garantias em segurança. Deste modo, esta dissertação de mestrado tem o principal intuito de mostrar a importância das empresas definirem e implementarem um plano de cibersegurança, pelo que é desenvolvida uma estratégia de cibersegurança capaz de mitigar ou eliminar potenciais consequências graves à infraestrutura de uma organização oriundas de incidentes de cibersegurança. Numa primeira fase, é analisado um conjunto de documentos relacionados ao tema em questão fundamentais para uma segunda fase onde são descritos um conjunto de 7 passos para ajudar as empresas a criarem um plano que reflita as medidas que estão e as que serão implementadas no âmbito da cibersegurança. Para isso, é seguida a NIST Cybersecurity Framework v1.1 (NIST CSF) como a base da estratégia, o Cybersecurity Capability Maturity Model (C2M2) v2.0 como ferramenta de autoavaliação e os CIS Controls v8.0 como controlos adicionais para reforço da cibersegurança, além de outras fontes relevantes na área, tais como os standards desenvolvidos pelo International Organization for Standardization (ISO). Numa terceira fase, a Estratégia de Cibersegurança é aplicada a uma empresa portuguesa que atua na área dos serviços de confiança, o que constitui uma evidência de que a estratégia definida pode ser aplicada em qualquer organização em Portugal. Assim, seguindo todos os princípios-base da cibersegurança, através da análise documental de boas práticas, legislação, frameworks e standards de cibersegurança, é desenvolvida uma estratégia de cibersegurança dedicada às organizações, que teve aplicação prática num caso concreto e pode ser seguida por qualquer organização que tenha a intenção de reforçar a sua infraestrutura digital em cibersegurança. O objetivo final é que a cibersegurança fique formalizada na organização com planos/políticas que contenham o nível desejado em cibersegurança (“Perfil-Alvo”) e se consiga gerir os riscos através da implementação de ações para combater as lacunas identificadas na empresa.

In today’s world, cybersecurity, or digital security, is increasingly relevant as technology advances, which can be seen in regular news reports of cyberattacks on organizations’ infrastructures that often affect the companies’ services and may even have very serious economic and financial consequences. Even in Portugal, the number of cyberattacks on companies or large corporations has increased and left a trail of destruction in many of them, which can even lead to the bankruptcy of the company, due to the bad reputation acquired by it, which sometimes leaves the company behind its competitors that have better guarantees in security. Thus, this master’s thesis has the main purpose of showing the importance of companies defining and implemen ting a cybersecurity plan, which is why a cybersecurity strategy capable of mitigating or eliminating potential serious consequences to the infrastructure of an organization arising from incidents of cybersecurity. In a first phase, a set of documents related to the topic in question is analyzed, which are fundamental for a second phase, where a set of 7 steps are described to help companies create a plan that reflects the measures that are and will be implemented within the scope of the cybersecurity. For this, the NIST Cybersecurity Framework v1.1 (NIST CSF) is followed as the basis of the strategy, the Cybersecurity Capability Maturity Model (C2M2) v2.0 as a self-assessment tool and the CIS Controls v8.0 as additional controls to reinforce cybersecurity, in addition to other relevant sources in the area, such as the standards developed by the International Organization for Standardization (ISO). In a third stage, the Cybersecurity Strategy is applied to a Portuguese company operating in the area of trust services, which is evidence that the defined strategy can be applied to any organization in Portugal. Therefore, following all the basic principles of cybersecurity, through document analysis of best practices, legislation, frameworks and cybersecurity standards, a cybersecurity strategy dedicated to organizations is developed, which had practical application in a specific case and can be followed by any organization that intends to strengthen its digital infrastructure in cybersecurity. The ultimate goal is that cybersecurity is formalized in the organization with plans/policies that contain the desired level of cybersecurity (“Target Profile”) and that risks are managed through the implementation of actions to combat the gaps identified in the company.