Prof. Dr. Carlos Hideo Arima - CEETEPS
Profa. Dra. Liria Matsumoto Sato - UNIVERSIDADE DE SÃO PAULO - USP
Prof. Dr. Napoleão Verardi Galegale - CEETEPS
CERQUEIRA
JUNIOR, A. S. Análise sobre a aplicação da modelagem
de ameaças em ataques cibernéticos do tipo APT (Advanced Persistent Threats)
em uma organização pública. 88 f. Dissertação (Mestrado Profissional em
Gestão e Desenvolvimento da Educação Profissional). Centro Estadual de Educação
Tecnológica Paula Souza, São Paulo, 2024.
O presente trabalho
tem por objetivo analisar a aplicação de um processo específico para modelagem
de ameaças para análise e prevenção de ataques cibernéticos do tipo Advanced
Persistent Threats (APT), em serviços públicos digitais, mantidos por uma organização
pública brasileira. A metodologia aplicada nesta pesquisa foi baseada na Design
Science Research (DSR), com o apoio de métodos como a pesquisa-ação e
entrevistas individuais. Ao todo, 12 especialistas em cibersegurança foram
consultados para avaliação do método MCT-RB (Modelling Cyber Threats using a
Risk-Based approach) e seu processo de negócio aplicado em um serviço público
digital, disponível na internet. Os resultados obtidos permitem observar que a
aplicação de uma modelagem de ameaças, específica para APTs, pode apoiar
organizações a efetuar o gerenciamento do risco cibernético para prevenção de
ameaças cibernéticas, que as tarefas relacionadas ao gerenciamento de risco
devem ser observadas e conduzidas pelo gestor do serviço púbico digital responsável,
que o método proposto pode ser aplicado para habilitação de um novo serviço ou
tecnologia a ser implementada em organizações que adotam a transformação
digital em seus produtos e serviços, e que o processo desenvolvido para modelar
ameaças pode ser formalizado em processos operacionais de cibersegurança como
gestão de vulnerabilidades, gestão de atualizações de segurança, testes de
intrusão, processos de detecção e bloqueio de ameaças como o SOC (Security
Operations Center), respostas a incidentes de segurança e ações de
conscientização aos usuários. Além disso, a modelagem proposta pode apoiar
organizações durante a habilitação ou renovação da certificação ISO 27001.
Sistemas de Informação e Tecnologias Digitais e Gestão Estratégica de
Tecnologia da Informação.