Sergio Nunes - Academia.edu (original) (raw)
Papers by Sergio Nunes
CISTI, 2019
A governança de TI é um tema que tem estado no quotidiano das empresas. As organizações estão mai... more A governança de TI é um tema que tem estado no quotidiano das empresas. As organizações estão mais interessadas nesta área porque estão preocupadas em criar valor para os seus stakeholders e satisfazer as suas necessidades. A governança de TI é suportada por diversas frameworks que ajudam as organizações a atingirem os seus objetivos. O objetivo deste tema foi com base num estudo de caso compreender de forma detalhada o projeto de adoção do Cobit 5 numa organização do setor da saúde em Portugal. A empresa escolhida para o estudo de caso é a SPMS (Serviços Partilhados do Ministério da Saúde). Este projeto visa adotar o Cobit 5 para questões de governação e gestão dos Sistemas de Saúde com a finalidade de promover a melhoria contínua a nível do ecossistema de informação da saúde (eSIS) em que estão a ser implementadas um conjunto de iniciativas sendo que a gestão de risco e a segurança da informação são áreas mais críticas deste projeto e constituem a área principal na análise deste estudo. Abstract-IT governance is a theme that has been in every day's business. Organizations are more interested in this area because they are concerned with value creation for their stakeholders and meeting their needs. IT governance is supported by a number of frameworks that help organizations reach their goals. The objective of this topic was based on a study to understand in detail the project of adoption of the Cobit 5 in an organization of the health sector in Portugal. The company chosen for the case study is SPMS (Shared Services of the Ministry of Health). This project aims to adopt Cobit 5 for issues of governance and management of Health Systems in order to promote continuous improvement in the health information ecosystem (eSIS) in which a set of initiatives are being implemented and risk management and information security are the most critical areas of this project and constitute the main area under analysis of this study.. I. INTRODUÇÃO As organizações atualmente fazem todos os esforços para satisfazer as necessidades dos seus stakeholders. De acordo com [20], as organizações têm como finalidade garantir uma boa qualidade de serviço. E os sistemas de informações estão cada vez mais presentes nas atividades das empresas e permitem que as atividades das empresas sejam mais eficientes. Embora os sistemas de informação sejam importantes, é necessário saber como as organizações governam e gerem as suas tecnologias [20]. De acordo vários autores, existem várias frameworks que ajudam a gerir a maturidade das organizações [22], [17]. O Cobit 5 é atualmente a framework mais usada pelas organizações porque aborda questões de governação e gestão. O Cobit 5 permite criar valor através da otimização dos riscos e produção de benefícios e facilmente adapta-se às necessidades de qualquer organização [8]. Neste tema foi feito um estudo de caso na SPMS, com a finalidade de compreender as iniciativas que estão a ser adotadas tendo por base as boas práticas do Cobit 5. A questão de investigação que vai guiar este estudo é a seguinte: Como as organizações podem mitigar os riscos e falhas de TI, usando as boas práticas do Cobit 5 para a gestão de risco e segurança da informação? O motivo desta questão prende-se no facto de que o programa de adoção do
CIAWI, 2019
Numa realidade onde a evolução tecnológica é exponencial e a sociedade demonstra estar cada vez ... more Numa realidade onde a evolução tecnológica é exponencial e a sociedade demonstra estar cada vez mais dependente da tecnologia, as pessoas revelam que não estão suficientemente preparadas para toda esta evolução, pelo que não se sabem proteger da realidade associada ao crescente número de ciberataques e da sua sofisticação. Desta forma, o fator humano representa uma das maiores vulnerabilidades das organizações, pelo que é um dos principais alvos dos ciberataques. Nesse sentido, as organizações devem estar cada vez mais atentas à importância do fator humano na cibersegurança, assegurando que os seus colaboradores estão suficientemente sensibilizados e que têm o conhecimento necessário nesta área. Assim, de forma a tornarem-se mais resilientes, as organizações devem procurar construir uma cultura de cibersegurança sólida, onde as preocupações com a cibersegurança passam a ser parte integrante do quotidiano de todo o fator humano. Deste modo, torna-se imperativo compreender a forma como o fator humano se relaciona com a cibersegurança das organizações. PALAVRAS-CHAVE Cibersegurança, Fator Humano, Organizações, Cultura de Cibersegurança, Consciencialização em Cibersegurança. 1. INTRODUÇÃO A cibersegurança é definida como a capacidade de proteger ou defender a utilização do ciberespaço dos ciberataques (CNSS, 2015). Aprofundando um pouco mais o conceito, conclui-se que a cibersegurança é "um conjunto de ferramentas, políticas, diretrizes, abordagens de gestão de risco, formação, boas práticas e tecnologias que podem ser utilizadas para proteger o ciberespaço" (ITU, 2008). Esta não deve ser vista de forma individualizada, mas sim como um conjunto de sinergias entre os três fatores estruturais da organização: pessoas, processos e tecnologia (Raposo (2016) baseado em McCumber (2004)). Nesse sentido, a tecnologia só consegue proteger eficazmente uma organização se as pessoas tiverem conhecimento, competências, compreensão e aceitação necessários relativamente à tecnologia e à cibersegurança. Desta forma, o fator humano deverá ser uma das maiores preocupações das organizações até porque é indicado como o elo mais fraco no contexto da cibersegurança organizacional, por ser um alvo fácil de atingir pelos cibercriminosos e, por isso, a vítima mais comum dos ciberataques (Hadlington, 2017; Henshel et al., 2015; Mitnick & Simon, 2003; Ponemon Institute, 2016). Assim, dos três fatores estruturais da organização mencionados, o foco deste trabalho é direcionado para o fator "pessoas", mais concretamente para o "fator humano", ou seja, as atenções são incididas nos colaboradores que não são especializados em cibersegurança e que, simultaneamente, agem com boas intenções. Para além disso, este artigo foca-se no estudo do fator humano no contexto organizacional, sendo que não são feitas distinções entre tipos de organizações. Deste modo são consideradas organizações públicas e privadas, com e sem fins lucrativos e de grandes e pequenas dimensões. Esta escolha deve-se ao facto de todas elas terem pessoas inerentes à sua constituição e de todas serem consideradas potenciais alvos de ataque dos cibercriminosos (Proofprint, 2019). Desta forma, o objetivo principal deste trabalho é compreender qual a influência e importância que o fator humano tem na cibersegurança das organizações, através da identificação dos comportamentos e
CAPSI 2019, 2019
In an increasingly connected and digital world, information is seen as a business enabler and sou... more In an increasingly connected and digital world, information is seen as a business enabler and source of sustained competitive advantage. Thus, information security is becoming critical to protect these information assets, which is why organizations' information security strategy has been aligning with their strategic goals. This paper aims to study organizations' general information security environment, analyse the CISO's role in them and understand where they should be positioned on the organizational structure. Interviews were conducted on experienced information security consultants, information systems and information security directors, which allowed to conclude that organizations in Portugal still need to increase their maturity when it comes to information security, and that this may be due to the absence of an established security culture in the country. On the other hand, the CISO's role has been increasing in relevance, being considered that it should have a close and independent relationship with organizations' boards.
This paper researches the information security value in e-entrepreneurship by revising the litera... more This paper researches the information security value in e-entrepreneurship by revising the literature that establishes the entrepreneurial domain and by relating it with the development of technological resources that create value for the customer in an online business. It details multiple paradigms regarding consumer's values of information security, while relating them with common practices and previous researches in technological entrepreneurship. This research presents and discusses the benefits of information security standards in e-entrepreneurship. It details and discusses the ISO 27001 and PCI-DSS information security standards that can be used to differentiate security initiatives to achieve competitive advantage, while preserving information leadership as a critical resource for online business success. Based on the literature review, a theoretical research model is presented and research hypotheses are discussed. This model believes that information security affects information leadership and that information leadership, as a unique resource in e-business, contributes to e-entrepreneurship success. The adoption of information security standards affects customer's trust in e-business, which also benefits e-entrepreneurial strategy.
Information Systems (IS) risk management is a challenge to every organization, in that they are e... more Information Systems (IS) risk management is a challenge to every organization, in that they
are exposed to cyber-attacks that bypass physical barriers. Organizations increase online
business in order to remain competitive, but as a consequence their online exposure
becomes greater. However their risk management practices and governance are inadequate
in the face of increasing new threats and vulnerabilities. This paper presents a Multi-
Objective Decision Model for assessing Information Systems Risks. The decision model is
based on the values and perceptions of stakeholders. It uses the Value-Focused Thinking
approach, as opposed to the predominant Alternative-Focused Thinking. The objectives
serve as a basis for decision making in the context of Information Systems risk
management in complex managerial situations.
Many companies are deploying their business on the Internet using web applications while the ques... more Many companies are deploying their business on the Internet using web applications while the question of what is the risk to business operations of cyber-attacks remains unanswered. Risk awareness allows to identify and act upon the security risk of these applications. This paper analyzes different security frameworks commonly used by companies in order to evaluate the benefits of honeypots in responding to each framework's requirements and, consequently, mitigating the risk.
With the evolution of the Web 2.0, many companies are de-ploying their business on the Internet u... more With the evolution of the Web 2.0, many companies are de-ploying their business on the Internet using web applications. These ap-plications have security requirements, so there is inherent risk involved. Risk awareness provides information about how to act to mitigate this same risk. This paper presents an experiment with a collection of high interaction web honeypots running multiple applications and diverse op-erating systems in order to analyze the attackers' behavior. The use of virtualization environments along with honeypot monitoring tools pro-vide the necessary forensic information that helps to study the modus operandi of the attacker, gathering the latest exploits and malicious tools and to develop adequate safeguards that deal with the majority of attack-ing techniques. Using the detailed attacking information gathered with the web honeypots, the attacking behavior is classied across dierent attacking proles to analyze the necessary risk mitigation safeguards to deal with business losses. Dierent security frameworks commonly used by companies are analyzed to evaluate the benets of the honeypots security concepts in responding to each framework's requirements and consequently mitigating the risk.
This short paper details research in progress that presents a Multi-Objective Decision Model for ... more This short paper details research in progress that presents a Multi-Objective Decision Model for
assessing Information Systems Risks. The decision model is based on the values and perceptions of
stakeholders. It uses the Value-Focused Thinking approach, as opposed to the predominant
Alternative-Focused Thinking. The objectives serve as a basis for decision making in the context of
Information Systems risk management in complex managerial situations. In this paper the methodology
used is presented, discussed and illustrated and a multi-objective decision model for Information
Systems risks is developed.
Page 1. CARNEGIE MELLON UNIVERSITY INFORMATION NETWORKING INSTITUTE Web attack risk awareness wit... more Page 1. CARNEGIE MELLON UNIVERSITY INFORMATION NETWORKING INSTITUTE Web attack risk awareness with lessons learned from high interaction honeypots Sérgio Rodrigues Nunes Thesis Committee: Miguel Pupo ...
CISTI, 2019
A governança de TI é um tema que tem estado no quotidiano das empresas. As organizações estão mai... more A governança de TI é um tema que tem estado no quotidiano das empresas. As organizações estão mais interessadas nesta área porque estão preocupadas em criar valor para os seus stakeholders e satisfazer as suas necessidades. A governança de TI é suportada por diversas frameworks que ajudam as organizações a atingirem os seus objetivos. O objetivo deste tema foi com base num estudo de caso compreender de forma detalhada o projeto de adoção do Cobit 5 numa organização do setor da saúde em Portugal. A empresa escolhida para o estudo de caso é a SPMS (Serviços Partilhados do Ministério da Saúde). Este projeto visa adotar o Cobit 5 para questões de governação e gestão dos Sistemas de Saúde com a finalidade de promover a melhoria contínua a nível do ecossistema de informação da saúde (eSIS) em que estão a ser implementadas um conjunto de iniciativas sendo que a gestão de risco e a segurança da informação são áreas mais críticas deste projeto e constituem a área principal na análise deste estudo. Abstract-IT governance is a theme that has been in every day's business. Organizations are more interested in this area because they are concerned with value creation for their stakeholders and meeting their needs. IT governance is supported by a number of frameworks that help organizations reach their goals. The objective of this topic was based on a study to understand in detail the project of adoption of the Cobit 5 in an organization of the health sector in Portugal. The company chosen for the case study is SPMS (Shared Services of the Ministry of Health). This project aims to adopt Cobit 5 for issues of governance and management of Health Systems in order to promote continuous improvement in the health information ecosystem (eSIS) in which a set of initiatives are being implemented and risk management and information security are the most critical areas of this project and constitute the main area under analysis of this study.. I. INTRODUÇÃO As organizações atualmente fazem todos os esforços para satisfazer as necessidades dos seus stakeholders. De acordo com [20], as organizações têm como finalidade garantir uma boa qualidade de serviço. E os sistemas de informações estão cada vez mais presentes nas atividades das empresas e permitem que as atividades das empresas sejam mais eficientes. Embora os sistemas de informação sejam importantes, é necessário saber como as organizações governam e gerem as suas tecnologias [20]. De acordo vários autores, existem várias frameworks que ajudam a gerir a maturidade das organizações [22], [17]. O Cobit 5 é atualmente a framework mais usada pelas organizações porque aborda questões de governação e gestão. O Cobit 5 permite criar valor através da otimização dos riscos e produção de benefícios e facilmente adapta-se às necessidades de qualquer organização [8]. Neste tema foi feito um estudo de caso na SPMS, com a finalidade de compreender as iniciativas que estão a ser adotadas tendo por base as boas práticas do Cobit 5. A questão de investigação que vai guiar este estudo é a seguinte: Como as organizações podem mitigar os riscos e falhas de TI, usando as boas práticas do Cobit 5 para a gestão de risco e segurança da informação? O motivo desta questão prende-se no facto de que o programa de adoção do
CIAWI, 2019
Numa realidade onde a evolução tecnológica é exponencial e a sociedade demonstra estar cada vez ... more Numa realidade onde a evolução tecnológica é exponencial e a sociedade demonstra estar cada vez mais dependente da tecnologia, as pessoas revelam que não estão suficientemente preparadas para toda esta evolução, pelo que não se sabem proteger da realidade associada ao crescente número de ciberataques e da sua sofisticação. Desta forma, o fator humano representa uma das maiores vulnerabilidades das organizações, pelo que é um dos principais alvos dos ciberataques. Nesse sentido, as organizações devem estar cada vez mais atentas à importância do fator humano na cibersegurança, assegurando que os seus colaboradores estão suficientemente sensibilizados e que têm o conhecimento necessário nesta área. Assim, de forma a tornarem-se mais resilientes, as organizações devem procurar construir uma cultura de cibersegurança sólida, onde as preocupações com a cibersegurança passam a ser parte integrante do quotidiano de todo o fator humano. Deste modo, torna-se imperativo compreender a forma como o fator humano se relaciona com a cibersegurança das organizações. PALAVRAS-CHAVE Cibersegurança, Fator Humano, Organizações, Cultura de Cibersegurança, Consciencialização em Cibersegurança. 1. INTRODUÇÃO A cibersegurança é definida como a capacidade de proteger ou defender a utilização do ciberespaço dos ciberataques (CNSS, 2015). Aprofundando um pouco mais o conceito, conclui-se que a cibersegurança é "um conjunto de ferramentas, políticas, diretrizes, abordagens de gestão de risco, formação, boas práticas e tecnologias que podem ser utilizadas para proteger o ciberespaço" (ITU, 2008). Esta não deve ser vista de forma individualizada, mas sim como um conjunto de sinergias entre os três fatores estruturais da organização: pessoas, processos e tecnologia (Raposo (2016) baseado em McCumber (2004)). Nesse sentido, a tecnologia só consegue proteger eficazmente uma organização se as pessoas tiverem conhecimento, competências, compreensão e aceitação necessários relativamente à tecnologia e à cibersegurança. Desta forma, o fator humano deverá ser uma das maiores preocupações das organizações até porque é indicado como o elo mais fraco no contexto da cibersegurança organizacional, por ser um alvo fácil de atingir pelos cibercriminosos e, por isso, a vítima mais comum dos ciberataques (Hadlington, 2017; Henshel et al., 2015; Mitnick & Simon, 2003; Ponemon Institute, 2016). Assim, dos três fatores estruturais da organização mencionados, o foco deste trabalho é direcionado para o fator "pessoas", mais concretamente para o "fator humano", ou seja, as atenções são incididas nos colaboradores que não são especializados em cibersegurança e que, simultaneamente, agem com boas intenções. Para além disso, este artigo foca-se no estudo do fator humano no contexto organizacional, sendo que não são feitas distinções entre tipos de organizações. Deste modo são consideradas organizações públicas e privadas, com e sem fins lucrativos e de grandes e pequenas dimensões. Esta escolha deve-se ao facto de todas elas terem pessoas inerentes à sua constituição e de todas serem consideradas potenciais alvos de ataque dos cibercriminosos (Proofprint, 2019). Desta forma, o objetivo principal deste trabalho é compreender qual a influência e importância que o fator humano tem na cibersegurança das organizações, através da identificação dos comportamentos e
CAPSI 2019, 2019
In an increasingly connected and digital world, information is seen as a business enabler and sou... more In an increasingly connected and digital world, information is seen as a business enabler and source of sustained competitive advantage. Thus, information security is becoming critical to protect these information assets, which is why organizations' information security strategy has been aligning with their strategic goals. This paper aims to study organizations' general information security environment, analyse the CISO's role in them and understand where they should be positioned on the organizational structure. Interviews were conducted on experienced information security consultants, information systems and information security directors, which allowed to conclude that organizations in Portugal still need to increase their maturity when it comes to information security, and that this may be due to the absence of an established security culture in the country. On the other hand, the CISO's role has been increasing in relevance, being considered that it should have a close and independent relationship with organizations' boards.
This paper researches the information security value in e-entrepreneurship by revising the litera... more This paper researches the information security value in e-entrepreneurship by revising the literature that establishes the entrepreneurial domain and by relating it with the development of technological resources that create value for the customer in an online business. It details multiple paradigms regarding consumer's values of information security, while relating them with common practices and previous researches in technological entrepreneurship. This research presents and discusses the benefits of information security standards in e-entrepreneurship. It details and discusses the ISO 27001 and PCI-DSS information security standards that can be used to differentiate security initiatives to achieve competitive advantage, while preserving information leadership as a critical resource for online business success. Based on the literature review, a theoretical research model is presented and research hypotheses are discussed. This model believes that information security affects information leadership and that information leadership, as a unique resource in e-business, contributes to e-entrepreneurship success. The adoption of information security standards affects customer's trust in e-business, which also benefits e-entrepreneurial strategy.
Information Systems (IS) risk management is a challenge to every organization, in that they are e... more Information Systems (IS) risk management is a challenge to every organization, in that they
are exposed to cyber-attacks that bypass physical barriers. Organizations increase online
business in order to remain competitive, but as a consequence their online exposure
becomes greater. However their risk management practices and governance are inadequate
in the face of increasing new threats and vulnerabilities. This paper presents a Multi-
Objective Decision Model for assessing Information Systems Risks. The decision model is
based on the values and perceptions of stakeholders. It uses the Value-Focused Thinking
approach, as opposed to the predominant Alternative-Focused Thinking. The objectives
serve as a basis for decision making in the context of Information Systems risk
management in complex managerial situations.
Many companies are deploying their business on the Internet using web applications while the ques... more Many companies are deploying their business on the Internet using web applications while the question of what is the risk to business operations of cyber-attacks remains unanswered. Risk awareness allows to identify and act upon the security risk of these applications. This paper analyzes different security frameworks commonly used by companies in order to evaluate the benefits of honeypots in responding to each framework's requirements and, consequently, mitigating the risk.
With the evolution of the Web 2.0, many companies are de-ploying their business on the Internet u... more With the evolution of the Web 2.0, many companies are de-ploying their business on the Internet using web applications. These ap-plications have security requirements, so there is inherent risk involved. Risk awareness provides information about how to act to mitigate this same risk. This paper presents an experiment with a collection of high interaction web honeypots running multiple applications and diverse op-erating systems in order to analyze the attackers' behavior. The use of virtualization environments along with honeypot monitoring tools pro-vide the necessary forensic information that helps to study the modus operandi of the attacker, gathering the latest exploits and malicious tools and to develop adequate safeguards that deal with the majority of attack-ing techniques. Using the detailed attacking information gathered with the web honeypots, the attacking behavior is classied across dierent attacking proles to analyze the necessary risk mitigation safeguards to deal with business losses. Dierent security frameworks commonly used by companies are analyzed to evaluate the benets of the honeypots security concepts in responding to each framework's requirements and consequently mitigating the risk.
This short paper details research in progress that presents a Multi-Objective Decision Model for ... more This short paper details research in progress that presents a Multi-Objective Decision Model for
assessing Information Systems Risks. The decision model is based on the values and perceptions of
stakeholders. It uses the Value-Focused Thinking approach, as opposed to the predominant
Alternative-Focused Thinking. The objectives serve as a basis for decision making in the context of
Information Systems risk management in complex managerial situations. In this paper the methodology
used is presented, discussed and illustrated and a multi-objective decision model for Information
Systems risks is developed.
Page 1. CARNEGIE MELLON UNIVERSITY INFORMATION NETWORKING INSTITUTE Web attack risk awareness wit... more Page 1. CARNEGIE MELLON UNIVERSITY INFORMATION NETWORKING INSTITUTE Web attack risk awareness with lessons learned from high interaction honeypots Sérgio Rodrigues Nunes Thesis Committee: Miguel Pupo ...