Aplicação de modelagem de ameaças em segurança da informação nos processos de atualização de programas em endpoints

Abstract

O presente trabalho, pertencente a linha de pesquisa de Sistemas de Informação e Tecnologias Digitais e ao Projeto de Pesquisa Gestão de Tecnologia e Sistemas de Informação, tratando os temas da tecnologia e segurança da informação. Tem por objetivo identificar, descrever e avaliar os impactos da aplicação do método modelagem de ameaça, utilizando normas de gestão de risco, em computadores empresariais com auxílio de um sistema para monitoramento. A metodologia usada para conduzir o estudo foi baseada na Design Science Research Methodology que incorpora princípios, práticas e procedimentos necessários para o design, desenvolvimento, demonstração e avaliação do processo em questão em conjunto com um elemento da Canonical Action Research, viabilizando a melhora no processo. O método proposto para aplicação sugere a adoção de processos e de um sistema para atualização, controle e gestão do Sistema Operacional para redução das ameaças encontradas. A pesquisa foi realizada em uma empresa do ramo jurídico com mais de mil colaboradores que adotaram o modelo home office e identificou ameaças utilizando os métodos STRIDE e DREAD e as normas de segurança ISO e NIST. Verificou-se 14 tipos de ameaças que podem ser identificadas e mitigadas com a utilização do método de modelagem de ameaça. Os resultados das avaliações interna e externa foram obtidos por meio de entrevistas semiestruturadas com profissionais da área de tecnologia, que avaliaram o processo como relevante. Como implicação prática, o método e o sistema apresentado podem ser utilizados por áreas de tecnologia e correlatas visando a melhoria da segurança no ambiente. Como implicações teóricas, o trabalho contribui para a extensão da literatura preenchendo parte da lacuna relacionada a modelagem de ameaça e sua aplicação em endpoints e a proposta de um sistema para monitoramento.

This work belongs to the line of research on Information Systems and Digital Technologies and the Research Project on Technology Management and Information Systems, dealing with technology and information security issues. It aims to identify, describe and evaluate the impacts of applying the threat modeling method, using risk management standards, on business computers with the aid of a monitoring system. The methodology used to conduct the study was based on the Design Science Research Methodology, which incorporates principles, practices and procedures necessary for the design, development, demonstration and evaluation of the process in question, together with an element of Canonical Action Research, enabling the improvement in the process. The proposed method for application suggests the adoption of processes and a system for updating, controlling and managing the Operating System to reduce the threats encountered. The research was carried out in a legal company with more than a thousand employees who adopted the home office model and identified threats using the STRIDE and DREAD methods and the ISO and NIST security standards. There were 14 types of threats that can be identified and mitigated using the threat modeling method. The results of the internal and external evaluations were obtained through semi-structured interviews with technology professionals, who considered the process relevant. As a practical implication, the method and system presented can be used by technology and related areas that aim to improve safety in the environment. As theoretical implications, the work contributes to the extension of the literature, filling part of the gap related to threat modeling and its application in endpoints and the proposal of a monitoring system.