Uma metodologia para avaliar a maturidade das configurações de segurança em ambientes de data center: uma estrutura sistemática com multiperspectiva

LIMA, Milton Vinicius Morais de

20 July 2017

Submitted by Fernanda Rodrigues de Lima (fernanda.rlima@ufpe.br) on 2018-08-17T22:32:27Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-08-24T21:13:35Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) / Made available in DSpace on 2018-08-24T21:13:35Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) Previous issue date: 2017-07-20 / CAPES / As ameaças à segurança da informação podem ter um grande impacto nas finanças e na reputação da empresa. As metodologias tradicionais para avaliar a maturidade dos data centers investigam os parâmetros de segurança para determinar a conformidade dos data centers e as normas internacionais de segurança. Este trabalho propõe dois procedimentos de avaliação para capturar outras perspectivas de segurança em ambientes de data centers: (1) análise ponderada – pondera os controles de segurança, simultaneamente presentes em um número maior de normas; (2) análise contextual - é sensível ao nível de importância que a organização atribui a cada controle de segurança. Através da metodologia proposta, os engenheiros de segurança podem identificar problemas de segurança, caracterizar a maturidade da segurança e sugerir novas políticas para melhorar as configurações de segurança dos data centers. Este trabalho também inclui um estudo de caso para avaliar os benefícios da metodologia em cenários do mundo real. Os resultados demonstraram que a metodologia proposta avalia os elementos de segurança mais relevantes para a empresa, onde as abordagens tradicionais consideram todos os aspectos de segurança como igualmente importantes. / Threats to information security can have great impact on business finances and company’s reputation. Traditional methodologies for evaluating the maturity of data centers investigate security parameters to determine the compliance of data centers and international security norms. This work proposes two innovative evaluation procedures to capture other security perspectives on data center environments: (1) weighted analysis - it weights higher security controls simultaneously present in a higher number of norms; (2) contextual analysis – it is sensitive to the importance level that the organization assigns to each security control. Through the proposed methodology, security engineers can identify security issues, characterize the security maturity, and suggest new policies improve security configurations of data centers. This work also includes a case study to evaluate the benefits of the methodology in real-world scenarios. Results demonstrated that the proposed methodology evaluates higher the security elements more relevant for the company, where as traditional approaches consider all security aspects to be equally important.

Segurança da informação

Métricas de segurança

Uma proposta de desenvolvimento de métricas para a rede da Unipampa

Nascimento, Tiago Belmonte

25 July 2013

Submitted by Sandro Camargo (sandro.camargo@unipampa.edu.br) on 2015-05-09T19:15:36Z No. of bitstreams: 1 107110009.pdf: 1750995 bytes, checksum: 7c771ac4e6d9517bfe5c709731c3743e (MD5) / Made available in DSpace on 2015-05-09T19:15:36Z (GMT). No. of bitstreams: 1 107110009.pdf: 1750995 bytes, checksum: 7c771ac4e6d9517bfe5c709731c3743e (MD5) Previous issue date: 2013-07-25 / Um dos maiores desafios da implantação da Universidade Federal do Pampa como uma instituição pública de ensino superior no interior do Rio Grande do Sul é a estruturação de sua rede de dados. Devido às suas peculiaridades a rede de computadores da UNIPAMPA necessita de controles eficientes para garantir sua operação com estabilidade e segurança. Dessa forma, torna-se imprescindível o uso de sistemas confiáveis de comunicação que interliguem todas estas unidades descentralizadas. Em geral, a confiabilidade dos sistemas de comunicação pode ser melhorada em três grandes frentes de ação. 1) manipulação e codificação da informação, 2) melhoria de recursos como potência e banda nos canais de comunicação físicos 3) levantamento de métricas nos pontos de transmissão e recepção. A fim de colaborar neste processo, nosso trabalho consistiu na elaboração de uma proposta do uso de métricas na política de segurança desta rede, tornando mais eficiente a detecção de vulnerabilidades e a orientação de novas políticas de segurança e investimentos. As 10 métricas apresentadas e o método que foi utilizado para gerá-las podem ser aplicados em qualquer rede com características similares à rede da Unipampa. / One of the biggest challenges in the implementation of the University of Pampa as a public university in the countryside of the state of Rio Grande do Sul is the structure of its data network. Due to its peculiarities, the Unipampa's computer network needs efficient controls to ensure operations with stability and safety. Thus, it ecomes essential to use reliable communication systems that interconnect all these decentralized units. In general, the reliability of communication systems can be improved in three major areas of action. 1) anipulation and encoding of information, 2) improving resources such as power and bandwidth in communication physical channels 3) survey metrics at points of transmission and reception. Aiming to contribute in this process, our research consisted in elaborating a proposal of metric use in the security policy of this network, making the vulnerability detection more efficient as well as the orientation of new policies of safety and investment. The 10 metrics and presented method was used to generate them may be applied in any network with similar characteristics to the network of Unipampa.

CNPQ::ENGENHARIAS

Métricas de segurança

Redes de computadores

Segurança de redes

Security metrics

Computer networks

Network security

um modelo conceitual para especificação da gestão de riscos de segurança em sistemas de informação / A conceitual model for specification for security risk management of information systems

Kroll, Josiane

12 March 2010

Conselho Nacional de Desenvolvimento Científico e Tecnológico / The lack of an alignment among concepts that involve security risk management has caused the stalemate in the adoption of security risks management models for organizations. There are several standards and risk management methodologies, having a large set of concepts, defined in many ways. In order to get an alignment of concepts and establish a suitable vocabulary for risk management, the conceptual modeling was used within the realm of security risks management. By using the conceptual modeling it was possible to abstract concepts and obtain a conceitual model for the specification of security risks management, called GRiSSI - Gestão de Riscos de Segurança de Sistemas de Informação (Information Systems Security Risk Management). Some metrics were also proposed for the identified concepts in the conceitual model, to make further improvements and corrections in security processes. The proposed conceitual model was validated through the application audits and metrics for UML models. / A falta de alinhamento entre os conceitos que envolvem a gestão de riscos de segurança tem causado um impasse na adoção de modelos de gestão de riscos de segurança pelas organizações. Há diversas normas e metodologias de gestão de riscos e de segurança que possuem uma série de conceitos e são definidos de várias maneiras. Para obter o alinhamento desses conceitos e estabelecer um vocabulário próprio para a gestão de riscos, este trabalho utilizou a modelagem conceitual para o domínio da gestão de riscos de segurança. Com a modelagem conceitual foi possível abstrair esses conceitos e obter um modelo conceitual para a especificação da gestão de riscos de segurança, chamado GRiSSI (Gestão de Riscos de Segurança de Sistemas de Informação). Algumas métricas também foram propostas para os conceitos identificados no modelo conceitual, com o intuito de contribuir para promover melhorias e efetuar correções em processos de segurança. O modelo conceitual proposto foi validado por meio da verificação feita como a aplicação de auditorias e métricas para modelos UML.

Gestão de riscos de segurança

Métricas de segurança

Sistemas de informação

Modelagem conceitual

Security risk management

Security metrics

Information systems

Conceitual modeling