Modelo Balanced Scorecard para los controles críticos de seguridad informática según el Center for Internet Security (CIS)

In different sectors of human activities, organizations are adopting information technology (IT) more intensively, exposing sensitive and confidential information of employees and customers. This situation makes public and private entities to develop standards and regulations to protect these information assets, ensuring confidentiality, integrity and availability. As a result of the study, a Balanced Scorecard model that links the critical security controls of the CIS is formulated and supported by an office IT application as a preliminary tool that facilitates the presentation of the results. Such results highlight that the highest proportion (80%) of the preliminary application that occurred in five institutions agrees with the proposed model and its usefulness for monitoring and managing security controls.En diversos sectores de las actividades humanas, las organizaciones están adoptando con mayor intensidad las tecnologías de la información (TI). De este modo, exponen datos sensibles y confidenciales de empleados y clientes, lo cual genera que las entidades públicas y privadas desarrollen normas y regulaciones para proteger estos activos y asegurar su confidencialidad, integridad y disponibilidad. Como resultado del estudio se formula un modelo de Cuadro de Mando Integral que vincula a los controles críticos de seguridad del CIS, soportado además por un aplicativo de ofimática como una herramienta preliminar que facilite la presentación de resultados. Dichos resultados resaltan que sobre la aplicación preliminar que se dio en cinco instituciones, la mayor proporción (80 %) está de acuerdo con el modelo propuesto y su utilidad para el monitoreo y gestión de los controles de seguridad

A security review of local government using NIST CSF: a case study

Evaluating cyber security risk is a challenging task regardless of an organisation’s nature of business or size, however, an essential activity. This paper uses the National Institute of Standards and Technology (NIST) cyber security framework (CSF) to assess the cyber security posture of a local government organisation in Western Australia. Our approach enabled the quantification of risks for specific NIST CSF core functions and respective categories and allowed making recommendations to address the gaps discovered to attain the desired level of compliance. This has led the organisation to strategically target areas related to their people, processes, and technologies, thus mitigating current and future threats

Automaation tietoturvaratkaisu: Syvyyssuuntainen turvallisuussuunnittelu

Tämän kandidaatintyön tavoitteena on perehtyä syvyyssuuntaiseen turvallisuussuunnitteluun automaation tietoturvaratkaisuna kirjallisuuskatsauksen muodossa. Työn tarkoituksena on tutkia syvyyssuuntaisen turvallisuussuunnittelun rakennetta ja toteuttamista. Työssä on käytetty aineistona erilaisia kirjallisuus lähteitä. Työn alussa perehdytään automaatiojärjestelmän tietoturvavaatimuksiin ja reunaehtoihin sen toimivuuden kannalta. Syvyyssuuntaisella turvallisuussuunnittelulla pyritään löytämään ratkaisuja automaatiojärjestelmän tietoturvavaatimuksiin. Tietoturvaratkaisuja suunniteltaessa automaatiojärjestelmiin tulee ottaa huomioon niille ominaiset vaatimukset. Korkealla prioriteetilla on automaatiojärjestelmissä saatavuus ja ihmisille tai ympäristölle turvallinen operointi. Pitkät elinkaaret automaatiojärjestelmän komponenteissa ja ohjelmistoissa asettaa järjestelmään haavoittuvaisuuksia, mitkä täytyy huomioida riskianalyysissä. Ohjelmistopäivitykset tulee testata huolellisesti ennen niiden asentamista järjestelmään ja ohjelmistoja päivittäessä tulee olla tietoinen kaikista toimintojen ja ohjelmistojen välisistä riippuvuussuhteista. Komponentti päivitykset tulee ajoittaa suunniteltuihin huoltokatkoihin järjestelmässä, jotta vältytään ylimääräisistä tuotannon seisauksista. Automaatiojärjestelmissä tietoliikenteen luotettavuuden säilyttäminen on tärkeää, koska muuten menetetään tiedon hyödyllisyys ja järjestelmän ohjauksista tulee epävakaita. Tietoturvatoimenpiteitä lisättäessä tiedon saatavuuden ja reaaliaikaisuuden pitää pysyä ennallaan järjestelmässä. Syvyyssuuntainen turvallisuussuunnittelu perustuu tietoturvan kerroksellisuuteen, jossa eri turvaratkaisut muodostavat yhdessä toisiaan tukevan suojauksen. Kerroksien tarkoitus on luoda useita vastatoimia turvallisuuden parantamiseksi ja haavoittuvaisuuksien pienentämiseksi. Turvallisuussuunnittelun rakenne koostuu kolmesta osasta: teknisistä ratkaisuista, fyysisistä esteistä ja hallinnon käytänteistä. Organisaation riskienhallinnan tulee tunnistaa riskit ja niiden todennäköisyydet sekä määritellä kriittisimmät osat järjestelmästä. Organisaation tulee rajata tuotantoalueet fyysisin estein ja tuottaa kulunvalvontaa ja tilojen seurantaa tuotantoalueilla. Verkkoarkkitehtuuri tulee suunnitella jakamalla verkko luottamustasoihin. Tasojen välillä tulee olla luotettavuusrajoja ja kriittiset tasot järjestelmässä tulee segmentoida omiin osiinsa verkossa. Tietoturvan monitorointi ja kehittäminen tunnetuille ja tuleville uhille on edellytys sen jatkuvuudelle. Automaatiojärjestelmissä tulee olla jatkuvaa monitorointia ja uhkien havainnointia. Järjestelmän monitoroinnissa voidaan hyödyntää lokienhallintajärjestelmiä reaaliaikaisen tilannekuvan tuottamiseksi. Turvallisuussuunnittelussa kehitytään koko ajan paremmin tunnistamaan riskejä ja ennakoimaan niitä

Attack classification schema for smart city WSNs

Peer-reviewedUrban areas around the world are populating their streets with wireless sensor networks (WSNs) in order to feed incipient smart city IT systems with metropolitan data. In the future smart cities, WSN technology will have a massive presence in the streets, and the operation of municipal services will be based to a great extent on data gathered with this technology. However, from an information security point of view, WSNs can have failures and can be the target of many different types of attacks. Therefore, this raises concerns about the reliability of this technology in a smart city context. Traditionally, security measures in WSNs have been proposed to protect specific protocols in an environment with total control of a single network. This approach is not valid for smart cities, as multiple external providers deploy a plethora of WSNs with different security requirements. Hence, a new security perspective needs to be adopted to protect WSNs in smart cities. Considering security issues related to the deployment of WSNs as a main data source in smart cities, in this article, we propose an intrusion detection framework and an attack classification schema to assist smart city administrators to delimit the most plausible attacks and to point out the components and providers affected by incidents. We demonstrate the use of the classification schema providing a proof of concept based on a simulated selective forwarding attack affecting a parking and a sound WSN.Las zonas urbanas de todo el mundo están poblando sus calles con redes de sensores inalámbricos (WSN) para alimentar sistemas informáticos de incipientes ciudades inteligentes con datos metropolitanos. En las futuras ciudades inteligentes, la tecnología WSN tendrá una presencia masiva en las calles, y la operación de los servicios municipales se basará en gran medida en los datos recopilados con esta tecnología. Sin embargo, desde un punto de vista de seguridad de la información, las WSN pueden tener fallos y pueden ser el objetivo de muchos tipos diferentes de ataques. Por lo tanto, esto plantea preocupaciones sobre la fiabilidad de esta tecnología en un contexto de ciudad inteligente. Tradicionalmente, se han propuesto medidas de seguridad en WSNs para proteger protocolos específicos en un entorno con control total de una sola red. Este enfoque no es válido para ciudades inteligentes, ya que múltiples proveedores externos implementan una gran cantidad de WSN con diferentes requisitos de seguridad. Por lo tanto, se debe adoptar una nueva perspectiva de seguridad para proteger las WSNs en ciudades inteligentes. En este artículo proponemos un marco de detección de intrusiones y un esquema de clasificación de ataques para ayudar a los administradores de ciudades inteligentes a delimitar los ataques más plausibles y señalar los componentes y los proveedores afectados por incidentes. Demostramos el uso del esquema de clasificación proporcionando una prueba de concepto basada en un ataque simulado de reenvío selectivo que afecta a un estacionamiento y un sonido WSN.Les zones urbanes de tot el món estan poblant els seus carrers amb xarxes de sensors sense fils (WSN) per alimentar sistemes informàtics d'incipients ciutats intel·ligents amb dades metropolitans. A les futures ciutats intel·ligents, la tecnologia WSN tindrà una presència massiva als carrers, i l'operació dels serveis municipals es basarà en gran mesura en les dades recopilades amb aquesta tecnologia. No obstant això, des d'un punt de vista de seguretat de la informació, les WSN poden tenir errors i poden ser l'objectiu de molts tipus diferents d'atacs. Per tant, això planteja preocupacions sobre la fiabilitat d'aquesta tecnologia en un context de ciutat intel·ligent. Tradicionalment, s'han proposat mesures de seguretat en xarxes de sensors sense fils per protegir protocols específics en un entorn amb control total d'una sola xarxa. Aquest enfocament no és vàlid per a ciutats intel·ligents, ja que múltiples proveïdors externs implementen una gran quantitat de WSN amb diferents requisits de seguretat. Per tant, s'ha d'adoptar una nova perspectiva de seguretat per protegir les WSNs en ciutats intel·ligents. En aquest article proposem un marc de detecció d'intrusions i un esquema de classificació d'atacs per ajudar els administradors de ciutats intel·ligents a delimitar els atacs més plausibles i assenyalar els components i els proveïdors afectats per incidents. Demostrem l'ús de l'esquema de classificació proporcionant una prova de concepte basada en un atac simulat de reenviament selectiu que afecta un estacionament i un so WSN

Improving Information Security Situational Awareness and Event Management

Taloudelliset menetykset, jotka kohdistuvat tietojärjestelmien toimintakunnon ja vakauden horjumiseen vaativat proaktiivista työskentelyä ja nopeaa reagoimista muutoksiin ja ongelmatilanteisiin. Keskitetyn hallintajärjestelmän avulla on mahdollista automatisoida ja integroida eri tietoturvatyökalut samaan paikkaan, josta voidaan keskitetysti valvoa ja hallita ympäristöjä kokonaisuutena. Lokiviestit ja niiden hallinta ovat tärkeässä osassa tieturvallisuuden hallintaa. Niiden merkitys tulee kasvamaan, kun EU:n tietosuoja-asetus tulee sovellettavaksi 25.5.2018 määrittäen uusia velvoitteita rekisterinpitäjille. Tässä diplomityössä tutkittiin lokien käsittelyä, keskitetyn lokienhallinnan menetelmiä sekä ohjelmistoja, jotka mahdollistavat valvonnan toteutuksen ja ilmoituksien generoimisen ylläpitäjille. Tavoitteena oli löytää kokonaisuus, joka mahdollistaisi työkalut valvonnan ja lokiviestien käsittelyn toteutukseen. Diplomityön tutkimusstrategiana oli kokeellinen tutkimus, jonka avulla pyrittiin saavuttamaan määritetyt tavoitteet. Diplomityössä toteutettiin erillinen hallintaverkko, johon muutettiin olemassa olevien palvelimien sekä verkkolaitteiden hallintayhteydet. Hallintaverkon avulla päästiin palomuuraamaan sekä hallintayhteyksiä että diplomityössä toteutettuja Nagios-valvontajärjestelmää ja Splunk-keskitettyä lokienhallintajärjestelmää. Määritettyjen kohteiden ja toteutettujen järjestelmien avulla pyrittiin löytämään ympäristön toiminnan kannalta mielenkiintoisia lokiviestejä sekä lisäämään valvottavia kohteita. Tämän diplomityön tuloksena saavutettiin kokonaisuus, jonka avulla voidaan valvoa laitteiden toimintaa ja kerätä lokiviestejä keskitettyyn paikkaan, josta niiden visualisointi ja analysointi helpottuvat. Valvontanäkymät koettiin hyödyllisiksi ja niiden muunneltavuus antaa mahdollisuuksia jatkokehityksille. Saavutettu kokonaisuus sopii ympäristöön, jossa oman IT-henkilöstön resurssit ovat rajalliset

Automated ISMS control auditability

This thesis focuses on researching a possible reference model for automated ISMS’s (Information Security Management System) technical control auditability. The main objective was to develop a generic framework for automated compliance status monitoring of the ISO27001:2013 standard which could be re‐used in any ISMS system. The framework was tested with Proof of Concept (PoC) empirical research in a test infrastructure which simulates the framework target deployment environment. To fulfil the objective the thesis analysed first which ISO27001:2013 controls could be implemented using technical means and whether it would be possible to automate the measurement of the control compliance for these controls. After that different sources were used as input material to actually define how to fulfill, verify and measure the selected controls. The developed framework consists of three parts, Framework Selected Controls, Framework Architecture and guidance how to use the framework. It includes ISO27001:2013 controls which could be automatically audited, a methodology to do this and a framework how this could be fulfilled. The testing was performed using three different types of commercial tools to understand if they could fulfill a part of the developed framework. None of the tested tools was able to fulfill the framework as it is. Empirical research has showed the importance of the integrity assurance when reaching for automated security control compliance. This is the essential part and is somewhat lacking on the tested tools.Tässä opinnäytetyössä tutkitaan mahdollista viitekehysmallia tietoturvan hallintajärjestelmän (ISMS) teknisten kontrollien automaattisesta auditoitavuudesta. Päätavoitteena oli kehittää viitekehysmalli ISO27001:2013 standardin säännönmukaisuuden automaattisesta arvioinnista jota voitaisiin uudelleenkäyttää missä tahansa ISMS‐järjestelmässä. Viitekehysmalli testattiin empiirisellä tutkimuksella jossa ratkaisu pyrittiin todentamaan (Proof of concept). Tavoitteen saavuttamiseksi analysoitiin mitkä ISO27001:2013 kontrollit voitaisiin toteuttaa teknisesti ja olisiko niiden säännönmukaisuuden todennus tehtävissä automaattisesti. Useita eri lähteitä käytettiin hyväksi määriteltäessä miten kontrollit tulisi toteuttaa, todentaa ja miten niitten säännönmukaisuus voitaisiin mitata. Kehitetty viitekehys koostuu kolmesta osasta, viitekehykseen valituista kontrolleista, viitekehyksen arkkitehtuurista sekä käyttöohjeistuksesta ja se sisältää ISO27001:2013 kontrollit jotka voitaisiin automaattisesti auditoida, menetelmä tämän tekemiseen ja varsinaisen viitekehyksen automaattisen auditoitavuuden saavuttamiseen. Testauksessa käytettiin kolmea eri tyyppistä kaupallista työkalua jotta ymmärrettäisiin voisivatko ne toteuttaa osan kehitetystä viitekehyksestä. Mikään työkaluista ei pystynyt tähän suoraan. Empiirinen tutkimus on osoittanut eheyden varmistamisen tärkeyden tavoiteltaessa automaattista säännönmukaisuuden varmistamista. Tämä on olennainen osa joka näyttää puuttuvan testatuista työkaluista

Development and Validation of a Proof-of-Concept Prototype for Analytics-based Malicious Cybersecurity Insider Threat in a Real-Time Identification System

Insider threat has continued to be one of the most difficult cybersecurity threat vectors detectable by contemporary technologies. Most organizations apply standard technology-based practices to detect unusual network activity. While there have been significant advances in intrusion detection systems (IDS) as well as security incident and event management solutions (SIEM), these technologies fail to take into consideration the human aspects of personality and emotion in computer use and network activity, since insider threats are human-initiated. External influencers impact how an end-user interacts with both colleagues and organizational resources. Taking into consideration external influencers, such as personality, changes in organizational polices and structure, along with unusual technical activity analysis, would be an improvement over contemporary detection tools used for identifying at-risk employees. This would allow upper management or other organizational units to intervene before a malicious cybersecurity insider threat event occurs, or mitigate it quickly, once initiated. The main goal of this research study was to design, develop, and validate a proof-of-concept prototype for a malicious cybersecurity insider threat alerting system that will assist in the rapid detection and prediction of human-centric precursors to malicious cybersecurity insider threat activity. Disgruntled employees or end-users wishing to cause harm to the organization may do so by abusing the trust given to them in their access to available network and organizational resources. Reports on malicious insider threat actions indicated that insider threat attacks make up roughly 23% of all cybercrime incidents, resulting in $2.9 trillion in employee fraud losses globally. The damage and negative impact that insider threats cause was reported to be higher than that of outsider or other types of cybercrime incidents. Consequently, this study utilized weighted indicators to measure and correlate simulated user activity to possible precursors to malicious cybersecurity insider threat attacks. This study consisted of a mixed method approach utilizing an expert panel, developmental research, and quantitative data analysis using the developed tool on simulated data set. To assure validity and reliability of the indicators, a panel of subject matter experts (SMEs) reviewed the indicators and indicator categorizations that were collected from prior literature following the Delphi technique. The SMEs’ responses were incorporated into the development of a proof-of-concept prototype. Once the proof-of-concept prototype was completed and fully tested, an empirical simulation research study was conducted utilizing simulated user activity within a 16-month time frame. The results of the empirical simulation study were analyzed and presented. Recommendations resulting from the study also be provided

ISO/IEC 27001: An empirical multi-method research

The adoption of digital technologies, the emergence of platform-based business models, and the switch to smart working practices are increasing the number of potential entry points in firms’ networks and therefore their potential vulnerabilities. However, despite the relevance of the issue, the managerial debate on the topic is still scant and several research gaps exist. Under this premise, this doctoral thesis touches on the following aspects. First, by discussing the issue with senior executives and information security experts, it highlights the most relevant information security challenges in the context of Industry 4.0. In doing this, it also shows where current approaches fail short, and what emerging practices are gaining relevance. Second, by conducting a systematic literature review, the thesis provides a comprehensive synthesis of the academic body of knowledge on ISO/IEC 27001 (i.e., the most renowned international management standard for information security and the fourth most widespread ISO certification) as well as it formulates a theory-based research agenda to inspire future studies at the intersection between information systems and managerial disciplines. Third, by resorting to Grey models, it investigates the current and future diffusion patterns of ISO/IEC 27001 in the six most important countries in terms of issued certificates. Fourth, by performing an event study complemented by an ordinary least squares regression on a dataset of 143 US-listed companies, the dissertation sheds light on the performance implications of ISO/IEC 27001 adoption as well as the role of some contextual factors in affecting the outcomes of the adoption. Overall, this doctoral thesis provides several contributions to both theory and practice. From a theoretical point of view, it highlights the need for managerial disciplines to start addressing information security-related aspects. Moreover, it demonstrates that investments in information security pay off also from a financial perspective. From a practical point of view, it shows the increasingly central role that ISO/IEC 27001 is likely to have in the years to come and it provides managers with evidence on the possible performance effects associated to its adoption.The adoption of digital technologies, the emergence of platform-based business models, and the switch to smart working practices are increasing the number of potential entry points in firms’ networks and therefore their potential vulnerabilities. However, despite the relevance of the issue, the managerial debate on the topic is still scant and several research gaps exist. Under this premise, this doctoral thesis touches on the following aspects. First, by discussing the issue with senior executives and information security experts, it highlights the most relevant information security challenges in the context of Industry 4.0. In doing this, it also shows where current approaches fail short, and what emerging practices are gaining relevance. Second, by conducting a systematic literature review, the thesis provides a comprehensive synthesis of the academic body of knowledge on ISO/IEC 27001 (i.e., the most renowned international management standard for information security and the fourth most widespread ISO certification) as well as it formulates a theory-based research agenda to inspire future studies at the intersection between information systems and managerial disciplines. Third, by resorting to Grey models, it investigates the current and future diffusion patterns of ISO/IEC 27001 in the six most important countries in terms of issued certificates. Fourth, by performing an event study complemented by an ordinary least squares regression on a dataset of 143 US-listed companies, the dissertation sheds light on the performance implications of ISO/IEC 27001 adoption as well as the role of some contextual factors in affecting the outcomes of the adoption. Overall, this doctoral thesis provides several contributions to both theory and practice. From a theoretical point of view, it highlights the need for managerial disciplines to start addressing information security-related aspects. Moreover, it demonstrates that investments in information security pay off also from a financial perspective. From a practical point of view, it shows the increasingly central role that ISO/IEC 27001 is likely to have in the years to come and it provides managers with evidence on the possible performance effects associated to its adoption