Skip navigation
Universidade de Brasília
Use este identificador para citar ou linkar para este item: http://repositorio.unb.br/handle/10482/53499
Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
2025_TassioCorreiaDaSilva_DISSERT.pdf898,41 kBAdobe PDFVisualizar/Abrir
Título: 3SW : um modelo adaptado do CIS Controls v8.1 para mitigação de ameaças a servidores Web
Autor(es): Silva, Tássio Correia da
Orientador(es): Mendes, Fabiana Freitas
Assunto: Segurança da informação
Servidores da Web
Administração pública
Segurança cibernética
Data de publicação: 22-dez-2025
Data de defesa: 26-ago-2025
Referência: SILVA, Tássio Correia da. 3SW: um modelo adaptado do CIS Controls v8.1 para mitigação de ameaças a servidores Web. 2025. 103 f., il. Dissertação (Mestrado Profissional em Engenharia Elétrica) — Universidade de Brasília, Brasília, 2025.
Resumo: A crescente dependência tecnológica e expansão dos serviços digitais, aliada ao aumento expressivo das ameaças cibernéticas, exige que a Administração Pública eleve sua maturidade em segurança da informação, especialmente em relação aos ativos críticos, como os servidores web. Dessa forma, há a necessidade de reduzir riscos imediatos e fortalecer a segurança cibernética por meio de ações práticas, aplicáveis e priorizadas. Esta dissertação propõe o modelo 3SW (Subconjunto de Salvaguardas para Servidores Web), um conjunto específico de medidas de segurança derivadas do CIS Controls v8.1, voltado à proteção de servidores web em ambientes institucionais. A metodologia da pesquisa para a construção do 3SW baseou-se em uma adaptação da análise de conteúdo proposta por Bardin, estruturada em três fases: Pré-análise, Aplicação de Critérios e Análise dos Resultados. A partir de critérios qualitativos, foram selecionadas 93 medidas de segurança distribuídas em 17 dos 18 controles do CIS Controls v8.1, com foco exclusivo em servidores web. O modelo foi então validado por meio de um estudo de caso. Inicialmente foi realizado um diagnóstico na organização no qual o modelo seria aplicado utilizando-se de análise documental e entrevistas. O modelo 3SW foi então aplicado ao Sistema Alpaca, enquanto o modelo de referência WAH (Web Application Hacking do Commmunity Defense Model) foi utilizado no Sistema Lhama. Finalmente, os resultados obtidos foram comparados com objetivo de concluir sobre a efetividade do 3SW. O diagnóstico apontou que, embora o CIS Controls já fosse adotado na organização por meio do Programa de Privacidade e Segurança da Informação (PPSI), sua aplicação generalista não atendia com precisão as demandas dos servidores web. Dentre as limitações observadas estão a ausência de foco por ativo e a baixa granularidade nas escalas de avaliação. A comparação dos resultados de aplicação dos modelos nos dois sistemas indicou que o modelo 3SW alcançou 82% de efetividade (76 de 93 medidas implementadas) e 97% de cobertura de mitigações ativas (baseadas no MITRE ATT&CK). Já o modelo WAH alcançou 74% de efetividade e 95% de cobertura. Além disso, o 3SW apresentou maior completude por controle (59% dos controles com implementação total, contra 38% do WAH), demonstrando seu alinhamento técnico aos servidores web e a realidade operacional do órgão público que participou do estudo de caso. O 3SW representa uma proposta aplicável, com potencial de impacto direto na segurança cibernética da Administração Pública, atuando de forma sinérgica ao já existente PPSI. Além disso, por sua abordagem metodológica rigorosa, resultados práticos e relevância institucional, espera-se que esta pesquisa contribua para o debate acadêmico e técnico em torno da aplicação contextualizada de frameworks de segurança e da proteção de ativos estratégicos em ambientes públicos.
Abstract: The increasing dependence on technology and the expansion of digital services, combined with a significant rise in cyber threats, require that Public Administration improve its information security maturity, particularly concerning critical assets such as web servers. Therefore, it is essential to reduce immediate risks and strengthen cybersecurity through practical, applicable, and prioritized actions. This thesis introduces the 3SW model (Subset of Safeguards for Web Servers), a specific set of security measures derived from the CIS Controls v8.1, designed to protect web servers in institutional environments. The research methodology for developing the 3SW was based on an adaptation of the content analysis proposed by Bardin, structured in three phases: Pre-analysis, Application of Criteria, and Analysis of Results. Using qualitative criteria, 93 security measures were selected, distributed across 17 of the 18 controls in CIS Controls v8.1, with a focus on web servers. The model was then validated through a case study. First, we conducted a diagnosis in the organization where the model would be implemented using document analysis and interviews. The 3SW model was subsequently applied to the Alpaca System, while the reference model WAH (Web Application Hacking from the Community Defense Model) was used in the Llama System. Finally, the results were compared to determine the effectiveness of the 3SW model. The diagnosis revealed that although the CIS Controls were already implemented within the organization through the Privacy and Information Security Program (PPSI), their general application did not fully address the specific needs of web servers. Some observed limitations included lack of focus on web servers and low granularity in the evaluation scales. The comparison of the application results of the models in the two systems indicated that the 3SW model achieved 82% effectiveness (76 of 93 measures implemented) and 97% coverage of active mitigations (based on MITRE ATT&CK). In contrast, the WAH model achieved 74% effectiveness and 95% coverage. Moreover, the 3SW demonstrated greater completeness per control, with 59% of controls fully implemented compared to 38% for the WAH model. This indicates that the 3SW model is better aligned with the technical needs of web servers and with the operational context of the public agency that participated in the case study. The 3SW represents a practical proposal that could significantly improve the cybersecurity of Public Administration, working synergistically with the existing PPSI. Additionally, due to its rigorous methodological approach, practical results, and institutional relevance, this research can contribute to the academic and technical discussions on the contextualized application of security frameworks and the protection of strategic assets in public environments.
Unidade Acadêmica: Faculdade de Tecnologia (FT)
Departamento de Engenharia Elétrica (FT ENE)
Informações adicionais: Dissertação (mestrado) — Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, Programa de Pós-Graduação em Engenharia Elétrica, 2025.
Programa de pós-graduação: Programa de Pós-Graduação em Engenharia Elétrica, Mestrado Profissional
Licença: A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data.
Aparece nas coleções:Teses, dissertações e produtos pós-doutorado

Mostrar registro completo do item Visualizar estatísticas



Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.