Implementing a Framework for Continuous Improvement in Cybersecurity

Detalhes bibliográficos
Autor(a) principal: Costa, Pedro Miguel Osório Ferreira da
Data de Publicação: 2022
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10316/102134
Resumo: Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
id RCAP_59ef37625d7fe6ddedc6fb80984a063e
oai_identifier_str oai:estudogeral.uc.pt:10316/102134
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Implementing a Framework for Continuous Improvement in CybersecurityImplementação de uma Framework para melhoria contínua em cibersegurançaCibersegurançaControlos de segurançaSecurity by DesignConsciencialização dos utilizadoresGestão de RiscoCybersecuritySecurity ControlsSecurity by DesignUser AwarenessRisk ManagementDissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e TecnologiaSaint-Gobain is a French multinational company, founded in 1665, present in 75 countrieswith over 166,000 employees. It designs, produces and distributes materials and solutionsthat are fundamental to the well-being of each and every one of us. These solutions canbe found in buildings, transports and many industrial applications.As other large multinationals, such as Maersk or Merck, in 2017, Saint-Gobain, suffereda cyberattack due to the NotPetya ransomware, causing a significant disruption in thedaily operations of its subsidiaries around the world. Since then and until the end of 2020,a strong and resilient cyber-defence plan has been followed with the main objective to better prepare the group’s infrastructure for future cyberattacks. In 2021, after the last external audit, it was concluded by the auditors that the group has now a stable level of security. In many aspects, better prepared compared to similar companies. As a result, the group decided to move from a “Build” phase to a "Run" phase, following a set of controls inspired by the CIS Critical Controls version 8. This allowed the group to strengthen their security level and adapt their posture to evolving threats, materialised by the Cybersecurity Continuous Improvement Plan (CCIP).In this internship we defined a strategy that allowed us to follow the CCIP and in parallel develop in-depth some of the objectives that this CCIP addresses. For this, we defined a main objective which is to implement a control framework for continuous improvement and two others that derive from the main one.The main contributions towards these objectives were to familiarise with the subject andthe state of the art regarding control frameworks, identifying the key requirements toundertake this internship and analysing the existing methodologies used by Saint-Gobain.Implement and monitor the controls defined for our perimeter, analysing and remediatingthe gaps found, thus obtaining the evidence for each of these controls in order to verifytheir compliance with the policies defined by the group.Follow a "Security by Design" methodology in all Information Technology andOperational Technology projects, identifying the main associated risks, as well asfollowing the best practices from the very beginning of a project.Develop and establish a Security Awareness Program that include all the relevant aspectsthat could help the reduction of unsecure behaviours by users with a special focus onphishing campaigns and user awareness sessions. Last but not least, a compilation of allthe main recommendations and good practices learnt during this internship, which anysmall and medium company can follow.A Saint-Gobain é uma empresa multinacional francesa, fundada em 1665, presente em75 países com mais de 166.000 funcionários. Concebe, produz e distribui materiais esoluções que são fundamentais para o bem-estar de cada um de nós. Estas soluções podemser encontradas em edifícios, transportes e muitas aplicações industriais.Como outras grandes multinacionais, como a Maersk ou a Merck, em 2017, Saint-Gobain,sofreu um ataque cibernético devido ao ransomware NotPetya, causando uma perturbaçãosignificativa nas operações diárias das suas filiais em todo o mundo. Desde então e até ao final de 2020, foi seguido um plano de ciberdefesa forte e resistente com o objetivoprincipal de melhor preparar a infraestrutura do grupo para futuros ciberataques. Em2021, após a última auditoria externa, os auditores concluíram que o grupo tem agora umnível de segurança estável. Em muitos aspetos, melhor preparado em comparação comempresas similares. Como resultado, o grupo decidiu passar de uma fase "Build" parauma fase "Run", seguindo um conjunto de controlos inspirados nos CIS Critical SecurityControls na sua oitava versão. Isto permitiu ao grupo reforçar o seu nível de segurança eadaptar a sua postura à evolução das ameaças, materializada pelo Plano de MelhoriaContínua da Cibersegurança (CCIP).Neste estágio definimos uma estratégia que nos permitiu seguir o CCIP e, paralelamente,desenvolver em profundidade alguns dos objetivos ele contempla. Para tal, definimos umobjetivo principal que é o de implementar uma framework de controlos para a melhoriacontínua e dois outros que derivam do principal.As principais contribuições para estes objetivos consistiram na familiarização com o temae o estado da arte no que diz respeito às frameworks de controlos, a identificação dosrequisitos-chave para realizar este estágio e a análise das metodologias existentesutilizadas pela Saint-Gobain.Implementar e monitorizar os controlos definidos para o nosso perímetro de atuação,analisando e remediando as lacunas encontradas, obtendo assim as evidências para cadaum desses controlos a fim de verificar a sua conformidade com as políticas definidas pelogrupo.Seguir uma metodologia de "Security by Design" em todos os projetos nas áreas dasTecnologias da Informação (IT) e Tecnologias Operacionais (OT), identificando osprincipais riscos associados, bem como seguir as melhores práticas desde a fase inicial de um projeto.Desenvolver e estabelecer um Programa de Sensibilização para a Segurança que incluatodos os aspetos relevantes que possam ajudar a reduzir comportamentos inseguros porparte dos utilizadores, com especial ênfase em campanhas de phishing e sessões desensibilização aos utilizadores. Por último, mas não menos importante, uma compilaçãode todas as principais recomendações e boas práticas aprendidas durante este estágio, quequalquer pequena e média empresa pode seguir.2022-07-182024-07-17T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesishttp://hdl.handle.net/10316/102134http://hdl.handle.net/10316/102134TID:203062590engCosta, Pedro Miguel Osório Ferreira dainfo:eu-repo/semantics/embargoedAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-10-27T11:08:32Zoai:estudogeral.uc.pt:10316/102134Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:19:11.602161Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Implementing a Framework for Continuous Improvement in Cybersecurity
Implementação de uma Framework para melhoria contínua em cibersegurança
title Implementing a Framework for Continuous Improvement in Cybersecurity
spellingShingle Implementing a Framework for Continuous Improvement in Cybersecurity
Costa, Pedro Miguel Osório Ferreira da
Cibersegurança
Controlos de segurança
Security by Design
Consciencialização dos utilizadores
Gestão de Risco
Cybersecurity
Security Controls
Security by Design
User Awareness
Risk Management
title_short Implementing a Framework for Continuous Improvement in Cybersecurity
title_full Implementing a Framework for Continuous Improvement in Cybersecurity
title_fullStr Implementing a Framework for Continuous Improvement in Cybersecurity
title_full_unstemmed Implementing a Framework for Continuous Improvement in Cybersecurity
title_sort Implementing a Framework for Continuous Improvement in Cybersecurity
author Costa, Pedro Miguel Osório Ferreira da
author_facet Costa, Pedro Miguel Osório Ferreira da
author_role author
dc.contributor.author.fl_str_mv Costa, Pedro Miguel Osório Ferreira da
dc.subject.por.fl_str_mv Cibersegurança
Controlos de segurança
Security by Design
Consciencialização dos utilizadores
Gestão de Risco
Cybersecurity
Security Controls
Security by Design
User Awareness
Risk Management
topic Cibersegurança
Controlos de segurança
Security by Design
Consciencialização dos utilizadores
Gestão de Risco
Cybersecurity
Security Controls
Security by Design
User Awareness
Risk Management
description Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
publishDate 2022
dc.date.none.fl_str_mv 2022-07-18
2024-07-17T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10316/102134
http://hdl.handle.net/10316/102134
TID:203062590
url http://hdl.handle.net/10316/102134
identifier_str_mv TID:203062590
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/embargoedAccess
eu_rights_str_mv embargoedAccess
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134086277627904