Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Master's Thesis |
| Scope | Discipline-based scholarship |
| Title | A System for Cost-Efficient Cybersecurity Planning, Compliance, and Investment Prioritization |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Language |
|
| Institution | University of Zurich |
| Faculty | Faculty of Business, Economics and Informatics |
| Date | 2023 |
| Abstract Text | While the digital era provides many advantages, it also comes with significant risks related to cybersecurity. Organizations must be proactive in reducing the risks involved with conducting business in a connected and complex digital world. However, despite the abundance of available resources on cybersecurity guidelines, frameworks, and certifications, Small and Medium-sized Enterprises (SMEs) still struggle to understand their unique cybersecurity requirements and develop tailored cybersecurity strategies. Most notably, existing resources are often too abstract, geared towards larger and more mature organizations, or lack practical guidance. Moreover, they often focus on technical aspects and neglect essential dimensions of cybersecurity, such as the economic and societal dimensions. This is especially apparent in case of cybersecurity certifications. To address these gaps, this Master Thesis introduces three key contributions. Firstly, the CyberTEA methodology is extended to provide SMEs with practical cybersecurity guidelines and allow them to verify compliance with a set of baseline cybersecurity requirements, all while getting formally acknowledged for that. This, in turn, ensures a more holistic approach that incorporates technical, economic, and societal aspects. This methodology is further validated by mapping it against the components of the NIST Cybersecurity Framework (CSF). Secondly, a novel lightweight cybersecurity certification scheme called CERTSec is proposed to offer SMEs an invaluable entry point into the complex world of cybersecurity. This three-tiered certification scheme takes into account key dimensions of cybersecurity and allows businesses to continuously enhance their cybersecurity posture. CERTSec also underscores the importance of annual reassessments within an ever-evolving threat landscape. The final contribution of this work lies in the development of a prototype that automates processes within the proposed certification scheme. Three technical requirements have been selected and automated, making the prototype able to (i) determine whether Websites establish secure connections, (ii) perform network reachability analysis, and (iii) conduct comprehensive vulnerability analyses on the networks, technologies and software provided. Evaluations have been conducted to highlight the feasibility of key features used for the automation of the certification scheme processes. The results suggest that it is possible to conduct automation for risk analysis without significant impacts (in terms of resource consumption and overall time spent) on the entire process. Furthermore, a detailed case study is shown to demonstrate the feasibility and application of CERTSec for SMEs. |
| Zusammenfassung | Das digitale Zeitalter bietet zwar viele Vorteile, birgt aber auch erhebliche Risiken im Bereich der Cybersicherheit. Unternehmen müssen proaktiv vorgehen, um die Risiken zu verringern, die mit der Abwicklung von Geschäften in einer vernetzten und komplexen digitalen Welt verbunden sind. Trotz der Fülle an verfügbaren Ressourcen zu Cybersicherheitsrichtlinien, -rahmen und -zertifizierungen fällt es kleinen und mittleren Unternehmen (KMU) immer noch schwer, ihre speziellen Cybersicherheitsanforderungen zu verstehen und massgeschneiderte Cybersicherheitsstrategien zu entwickeln. Vor allem sind die vorhandenen Ressourcen oft zu abstrakt, auf grössere und reifere Unternehmen ausgerichtet oder es fehlen praktische Anleitungen. Ausserdem konzentrieren sie sich häufig ausschliesslich auf technische Aspekte und vernachlässigen wesentliche Dimensionen der Cybersicherheit, wie die wirtschaftliche und gesellschaftliche Dimension. Dies ist besonders bei Zertifizierungen im Bereich der Cybersicherheit zu beobachten. Um diese Lücken zu schliessen, stellt diese Masterarbeit drei Schlüsselbeiträge vor. Als erstes wird die CyberTEA-Methode erweitert, um KMU praktische Leitlinien für die Cybersicherheit bereitzustellen und ihnen die Möglichkeit zu geben, die Einhaltung einer Reihe von grundlegenden Cybersicherheitsanforderungen zu überprüfen und sich dafür offiziell anerkennen zu lassen. Dies wiederum gewährleistet einen ganzheitlicheren Ansatz, der technische, wirtschaftliche und gesellschaftliche Aspekte einbezieht. Diese Methodik wird weiter validiert, indem sie mit den Komponenten des NIST Cybersecurity Framework (CSF) abgeglichen wird. Zweitens wird ein neuartiges, leichtgewichtiges Zertifizierungssystem für Cybersicherheit namens CERTSec vorgeschlagen, um KMU einen wertvollen Einstieg in die komplexe Welt der Cybersicherheit zu bieten. Dieses dreistufige Zertifizierungssystem berücksichtigt wichtige Dimensionen der Cybersicherheit und ermöglicht es Unternehmen, ihre Cybersicherheitslage kontinuierlich zu verbessern. CERTSec unterstreicht auch die Bedeutung jährlicher Neuprüfungen in einer sich ständig weiterentwickelnden Bedrohungslandschaft. Der letzte Beitrag dieser Arbeit liegt in der Entwicklung eines Prototyps, der Prozesse innerhalb des vorgeschlagenen Zertifizierungssystems automatisiert. Drei technische Anforderungen wurden ausgewählt und automatisiert, so dass der Prototyp in der Lage ist, (i) festzustellen, ob Websites sichere Verbindungen herstellen, (ii) Netzwerkerreichbarkeitsanalysen durchzuführen und (iii) umfassende Schwachstellenanalysen für die bereitgestellten Netzwerke, Technologien und Software durchzuführen. Es wurden Evaluierungen durchgeführt, um die Durchführbarkeit von Schlüsselfunktionen für die Automatisierung der Prozesse des Zertifizierungssystems aufzuzeigen. Die Ergebnisse deuten darauf hin, dass die Automatisierung für Risikoanalysen ohne signifikante Auswirkungen (in Bezug auf Ressourcenverbrauch und Gesamtzeitaufwand) auf den gesamten Prozess durchgeführt werden kann. Darüber hinaus wird anhand einer detaillierten Fallstudie die Machbarkeit und Anwendung von CERTSec für KMU aufgezeigt. |
| PDF File |
Download
|
| Export |
BibTeX
|