Defesa de Dissertação de Mestrado de Pedro Alfradique Lohmann, em 21/08/23, às 09:00h, por videoconferência. Link para defesa: https://us02web.zoom.us/j/82319554689?pwd=KzVQNEFyL3dEV01Lc1Yxa2ZaaVVWUT09
Aplicações de Ferramentas de Modelagem de Ameaças ao Gerenciamento de Riscos de Segurança e Privacidade
Resumo:
Modelagem de ameaças busca identificar sistematicamente potenciais ameaças a sistemas, ainda em fase de desenvolvimento, elicitando quais elementos podem ser utilizados como vetores de ataque e estabelecendo planos de ação para sua mitigação. Em outra esfera, a gestão de riscos busca controlar diferentes ameaças, sugerindo ferramentas para acompanhamento e monitoramento dos riscos identificados durante a fase de análise. O objetivo deste estudo é entender como o universo de modelagem de ameaças e gestão de riscos se conectam, apresentando um mapeamento entre os diferentes assuntos, em uma visão tanto de segurança da informação, como de privacidade. O estudo mostrou que as práticas de modelagem de ameaças estão diretamente relacionadas à gestão de riscos, com exceção das fases de monitoramento, quando o escopo envolve aplicações. Foi possível entender que as práticas de modelagem de ameaças fornecem profundidade à gestão de riscos, levando-se em conta que permitem uma realização mais detalhada e precisa sobre o cenário e os respectivos riscos a serem gerenciados.
Abstract:
Threat modeling aims to systematically examine and reduce potential threats to systems that are still under development, identifying which elements can serve as attack vectors. In a different domain, risk management strives to systematically handle different threats, recommending tools for tracking and overseeing the risks detected during the analysis phase. The purpose of this study is to comprehend how the realms of threat modeling and risk management are connected, presenting a mapping among both topics, from the perspectives of information security and privacy. The study revealed that threat modeling practices are directly linked to risk management, except for the monitoring stages, when the scope covers applications. It was feasible to understand that threat modeling practices promote more accuracy to risk management, considering that they enable a more thorough and precise assessment of the situation and the corresponding risks to be addressed.
Banca examinadora:
Prof. Raphael Carlos Santos Machado, UFF – Presidente
Prof. José Viterbo Filho, UFF
Dr. Wilson de Souza Melo Junior, INMETRO