An assurance-based model to holistically assess the information security posture

EXECUTIVE SUMMARY : Evaluating Information Security Posture within an organization is becoming a very complex task. Currently, the evaluation and assessment of Information Security are commonly performed using frameworks, methodologies and standards which often consider the various aspects of security independently. Unfortunately this is ineffective because it does not take into consideration the necessity of having a global and systemic multidimensional approach to Information Security evaluation. At the same time the overall security level is globally considered to be only as strong as its weakest link. This thesis proposes a model aiming to holistically assess all dimensions of security in order to minimize the likelihood that a given threat will exploit the weakest link. A formalized structure taking into account all security elements is presented; this is based on a methodological evaluation framework in which Information Security is evaluated from a global perspective. This dissertation is divided into three parts. Part One: Information Security Evaluation issues consists of four chapters. Chapter 1 is an introduction to the purpose of this research purpose and the Model that will be proposed. In this chapter we raise some questions with respect to "traditional evaluation methods" as well as identifying the principal elements to be addressed in this direction. Then we introduce the baseline attributes of our model and set out the expected result of evaluations according to our model. Chapter 2 is focused on the definition of Information Security to be used as a reference point for our evaluation model. The inherent concepts of the contents of a holistic and baseline Information Security Program are defined. Based on this, the most common roots-of-trust in Information Security are identified. Chapter 3 focuses on an analysis of the difference and the relationship between the concepts of Information Risk and Security Management. Comparing these two concepts allows us to identify the most relevant elements to be included within our evaluation model, while clearing situating these two notions within a defined framework is of the utmost importance for the results that will be obtained from the evaluation process. Chapter 4 sets out our evaluation model and the way it addresses issues relating to the evaluation of Information Security. Within this Chapter the underlying concepts of assurance and trust are discussed. Based on these two concepts, the structure of the model is developed in order to provide an assurance related platform as well as three evaluation attributes: "assurance structure", "quality issues", and "requirements achievement". Issues relating to each of these evaluation attributes are analysed with reference to sources such as methodologies, standards and published research papers. Then the operation of the model is discussed. Assurance levels, quality levels and maturity levels are defined in order to perform the evaluation according to the model. Part Two: Implementation of the Information Security Assurance Assessment Model (ISAAM) according to the Information Security Domains consists of four chapters. This is the section where our evaluation model is put into a welldefined context with respect to the four pre-defined Information Security dimensions: the Organizational dimension, Functional dimension, Human dimension, and Legal dimension. Each Information Security dimension is discussed in a separate chapter. For each dimension, the following two-phase evaluation path is followed. The first phase concerns the identification of the elements which will constitute the basis of the evaluation: ? Identification of the key elements within the dimension; ? Identification of the Focus Areas for each dimension, consisting of the security issues identified for each dimension; ? Identification of the Specific Factors for each dimension, consisting of the security measures or control addressing the security issues identified for each dimension. The second phase concerns the evaluation of each Information Security dimension by: ? The implementation of the evaluation model, based on the elements identified for each dimension within the first phase, by identifying the security tasks, processes, procedures, and actions that should have been performed by the organization to reach the desired level of protection; ? The maturity model for each dimension as a basis for reliance on security. For each dimension we propose a generic maturity model that could be used by every organization in order to define its own security requirements. Part three of this dissertation contains the Final Remarks, Supporting Resources and Annexes. With reference to the objectives of our thesis, the Final Remarks briefly analyse whether these objectives were achieved and suggest directions for future related research. Supporting resources comprise the bibliographic resources that were used to elaborate and justify our approach. Annexes include all the relevant topics identified within the literature to illustrate certain aspects of our approach. Our Information Security evaluation model is based on and integrates different Information Security best practices, standards, methodologies and research expertise which can be combined in order to define an reliable categorization of Information Security. After the definition of terms and requirements, an evaluation process should be performed in order to obtain evidence that the Information Security within the organization in question is adequately managed. We have specifically integrated into our model the most useful elements of these sources of information in order to provide a generic model able to be implemented in all kinds of organizations. The value added by our evaluation model is that it is easy to implement and operate and answers concrete needs in terms of reliance upon an efficient and dynamic evaluation tool through a coherent evaluation system. On that basis, our model could be implemented internally within organizations, allowing them to govern better their Information Security. RÉSUMÉ : Contexte général de la thèse L'évaluation de la sécurité en général, et plus particulièrement, celle de la sécurité de l'information, est devenue pour les organisations non seulement une mission cruciale à réaliser, mais aussi de plus en plus complexe. A l'heure actuelle, cette évaluation se base principalement sur des méthodologies, des bonnes pratiques, des normes ou des standards qui appréhendent séparément les différents aspects qui composent la sécurité de l'information. Nous pensons que cette manière d'évaluer la sécurité est inefficiente, car elle ne tient pas compte de l'interaction des différentes dimensions et composantes de la sécurité entre elles, bien qu'il soit admis depuis longtemps que le niveau de sécurité globale d'une organisation est toujours celui du maillon le plus faible de la chaîne sécuritaire. Nous avons identifié le besoin d'une approche globale, intégrée, systémique et multidimensionnelle de l'évaluation de la sécurité de l'information. En effet, et c'est le point de départ de notre thèse, nous démontrons que seule une prise en compte globale de la sécurité permettra de répondre aux exigences de sécurité optimale ainsi qu'aux besoins de protection spécifiques d'une organisation. Ainsi, notre thèse propose un nouveau paradigme d'évaluation de la sécurité afin de satisfaire aux besoins d'efficacité et d'efficience d'une organisation donnée. Nous proposons alors un modèle qui vise à évaluer d'une manière holistique toutes les dimensions de la sécurité, afin de minimiser la probabilité qu'une menace potentielle puisse exploiter des vulnérabilités et engendrer des dommages directs ou indirects. Ce modèle se base sur une structure formalisée qui prend en compte tous les éléments d'un système ou programme de sécurité. Ainsi, nous proposons un cadre méthodologique d'évaluation qui considère la sécurité de l'information à partir d'une perspective globale. Structure de la thèse et thèmes abordés Notre document est structuré en trois parties. La première intitulée : « La problématique de l'évaluation de la sécurité de l'information » est composée de quatre chapitres. Le chapitre 1 introduit l'objet de la recherche ainsi que les concepts de base du modèle d'évaluation proposé. La maniéré traditionnelle de l'évaluation de la sécurité fait l'objet d'une analyse critique pour identifier les éléments principaux et invariants à prendre en compte dans notre approche holistique. Les éléments de base de notre modèle d'évaluation ainsi que son fonctionnement attendu sont ensuite présentés pour pouvoir tracer les résultats attendus de ce modèle. Le chapitre 2 se focalise sur la définition de la notion de Sécurité de l'Information. Il ne s'agit pas d'une redéfinition de la notion de la sécurité, mais d'une mise en perspectives des dimensions, critères, indicateurs à utiliser comme base de référence, afin de déterminer l'objet de l'évaluation qui sera utilisé tout au long de notre travail. Les concepts inhérents de ce qui constitue le caractère holistique de la sécurité ainsi que les éléments constitutifs d'un niveau de référence de sécurité sont définis en conséquence. Ceci permet d'identifier ceux que nous avons dénommés « les racines de confiance ». Le chapitre 3 présente et analyse la différence et les relations qui existent entre les processus de la Gestion des Risques et de la Gestion de la Sécurité, afin d'identifier les éléments constitutifs du cadre de protection à inclure dans notre modèle d'évaluation. Le chapitre 4 est consacré à la présentation de notre modèle d'évaluation Information Security Assurance Assessment Model (ISAAM) et la manière dont il répond aux exigences de l'évaluation telle que nous les avons préalablement présentées. Dans ce chapitre les concepts sous-jacents relatifs aux notions d'assurance et de confiance sont analysés. En se basant sur ces deux concepts, la structure du modèle d'évaluation est développée pour obtenir une plateforme qui offre un certain niveau de garantie en s'appuyant sur trois attributs d'évaluation, à savoir : « la structure de confiance », « la qualité du processus », et « la réalisation des exigences et des objectifs ». Les problématiques liées à chacun de ces attributs d'évaluation sont analysées en se basant sur l'état de l'art de la recherche et de la littérature, sur les différentes méthodes existantes ainsi que sur les normes et les standards les plus courants dans le domaine de la sécurité. Sur cette base, trois différents niveaux d'évaluation sont construits, à savoir : le niveau d'assurance, le niveau de qualité et le niveau de maturité qui constituent la base de l'évaluation de l'état global de la sécurité d'une organisation. La deuxième partie: « L'application du Modèle d'évaluation de l'assurance de la sécurité de l'information par domaine de sécurité » est elle aussi composée de quatre chapitres. Le modèle d'évaluation déjà construit et analysé est, dans cette partie, mis dans un contexte spécifique selon les quatre dimensions prédéfinies de sécurité qui sont: la dimension Organisationnelle, la dimension Fonctionnelle, la dimension Humaine, et la dimension Légale. Chacune de ces dimensions et son évaluation spécifique fait l'objet d'un chapitre distinct. Pour chacune des dimensions, une évaluation en deux phases est construite comme suit. La première phase concerne l'identification des éléments qui constituent la base de l'évaluation: ? Identification des éléments clés de l'évaluation ; ? Identification des « Focus Area » pour chaque dimension qui représentent les problématiques se trouvant dans la dimension ; ? Identification des « Specific Factors » pour chaque Focus Area qui représentent les mesures de sécurité et de contrôle qui contribuent à résoudre ou à diminuer les impacts des risques. La deuxième phase concerne l'évaluation de chaque dimension précédemment présentées. Elle est constituée d'une part, de l'implémentation du modèle général d'évaluation à la dimension concernée en : ? Se basant sur les éléments spécifiés lors de la première phase ; ? Identifiant les taches sécuritaires spécifiques, les processus, les procédures qui auraient dû être effectués pour atteindre le niveau de protection souhaité. D'autre part, l'évaluation de chaque dimension est complétée par la proposition d'un modèle de maturité spécifique à chaque dimension, qui est à considérer comme une base de référence pour le niveau global de sécurité. Pour chaque dimension nous proposons un modèle de maturité générique qui peut être utilisé par chaque organisation, afin de spécifier ses propres exigences en matière de sécurité. Cela constitue une innovation dans le domaine de l'évaluation, que nous justifions pour chaque dimension et dont nous mettons systématiquement en avant la plus value apportée. La troisième partie de notre document est relative à la validation globale de notre proposition et contient en guise de conclusion, une mise en perspective critique de notre travail et des remarques finales. Cette dernière partie est complétée par une bibliographie et des annexes. Notre modèle d'évaluation de la sécurité intègre et se base sur de nombreuses sources d'expertise, telles que les bonnes pratiques, les normes, les standards, les méthodes et l'expertise de la recherche scientifique du domaine. Notre proposition constructive répond à un véritable problème non encore résolu, auquel doivent faire face toutes les organisations, indépendamment de la taille et du profil. Cela permettrait à ces dernières de spécifier leurs exigences particulières en matière du niveau de sécurité à satisfaire, d'instancier un processus d'évaluation spécifique à leurs besoins afin qu'elles puissent s'assurer que leur sécurité de l'information soit gérée d'une manière appropriée, offrant ainsi un certain niveau de confiance dans le degré de protection fourni. Nous avons intégré dans notre modèle le meilleur du savoir faire, de l'expérience et de l'expertise disponible actuellement au niveau international, dans le but de fournir un modèle d'évaluation simple, générique et applicable à un grand nombre d'organisations publiques ou privées. La valeur ajoutée de notre modèle d'évaluation réside précisément dans le fait qu'il est suffisamment générique et facile à implémenter tout en apportant des réponses sur les besoins concrets des organisations. Ainsi notre proposition constitue un outil d'évaluation fiable, efficient et dynamique découlant d'une approche d'évaluation cohérente. De ce fait, notre système d'évaluation peut être implémenté à l'interne par l'entreprise elle-même, sans recourir à des ressources supplémentaires et lui donne également ainsi la possibilité de mieux gouverner sa sécurité de l'information.

Diffusion of Smart Meters in Central East Europe

The present study deals with innovation diffusion as the central component of innovation process and takes smart meters as a concrete example from the electric power industry. Smart meters are seen as key enablers of the industry-wide shift towards smart grids and are recognized by the European Union as means of reaching its environmental and energy goals. However, the spread of smart meters through the market, especially in Central East Europe (CEE), is not corresponding to the expectations and identified benefits. The current work synthesizes available data for the under-researched geographical region of CEE and clarifies the process of smart meter diffusion and drivers behind it. In addition to innovation theories the methods applied are rate of adoption and thematic analysis. The results prove the large gap between optimal and actual diffusion as well as the lagging position of CEE in comparison to the EU’s market leaders. The smart metering market is driven from bottom-up and the majority of CEE countries have already carried out or started the initial activities. Therefore, in coming years more intensive smart meters deployment will be seen.

People or machines? Assessing the impacts of smart meters and load controllers in Italian office spaces

Government initiatives in several developed and developing countries to roll-out smart meters call for research on the sustainability impacts of these devices. In principle smart meters bring about higher control over energy theft and lower consumption, but require a high level of engagement by end-users. An alternative consists of load controllers, which control the load according to pre-set parameters. To date, research has focused on the impacts of these two alternatives separately. This study compares the sustainability impacts of smart meters and load controllers in an occupied office building in Italy. The assessment is carried out on three different floors of the same building. Findings show that demand reductions associated with a smart meter device are 5.2% higher than demand reductions associated with the load controller.

O papel dos consumidores residencias no ambiente das redes inteligentes: medidores eletrônicos de energia

Pós-graduação em Engenharia Mecânica - FEG

A Design Methodology for Computer Security Testing

The field of "computer security" is often considered something in between Art and Science. This is partly due to the lack of widely agreed and standardized methodologies to evaluate the degree of the security of a system. This dissertation intends to contribute to this area by investigating the most common security testing strategies applied nowadays and by proposing an enhanced methodology that may be effectively applied to different threat scenarios with the same degree of effectiveness. Security testing methodologies are the first step towards standardized security evaluation processes and understanding of how the security threats evolve over time. This dissertation analyzes some of the most used identifying differences and commonalities, useful to compare them and assess their quality. The dissertation then proposes a new enhanced methodology built by keeping the best of every analyzed methodology. The designed methodology is tested over different systems with very effective results, which is the main evidence that it could really be applied in practical cases. Most of the dissertation discusses and proves how the presented testing methodology could be applied to such different systems and even to evade security measures by inverting goals and scopes. Real cases are often hard to find in methodology' documents, in contrary this dissertation wants to show real and practical cases offering technical details about how to apply it. Electronic voting systems are the first field test considered, and Pvote and Scantegrity are the two tested electronic voting systems. The usability and effectiveness of the designed methodology for electronic voting systems is proved thanks to this field cases analysis. Furthermore reputation and anti virus engines have also be analyzed with similar results. The dissertation concludes by presenting some general guidelines to build a coordination-based approach of electronic voting systems to improve the security without decreasing the system modularity.

Evaluation of Human Exposure to Magnetic Fields Generated by Electric Power Systems in Complex Configurations

The international growing concern for the human exposure to magnetic fields generated by electric power lines has unavoidably led to imposing legal limits. Respecting these limits, implies being able to calculate easily and accurately the generated magnetic field also in complex configurations. Twisting of phase conductors is such a case. The consolidated exact and approximated theory regarding a single-circuit twisted three-phase power cable line has been reported along with the proposal of an innovative simplified formula obtained by means of an heuristic procedure. This formula, although being dramatically simpler, is proven to be a good approximation of the analytical formula and at the same time much more accurate than the approximated formula found in literature. The double-circuit twisted three-phase power cable line case has been studied following different approaches of increasing complexity and accuracy. In this framework, the effectiveness of the above-mentioned innovative formula is also examined. The experimental verification of the correctness of the twisted double-circuit theoretical analysis has permitted its extension to multiple-circuit twisted three-phase power cable lines. In addition, appropriate 2D and, in particularly, 3D numerical codes for simulating real existing overhead power lines for the calculation of the magnetic field in their vicinity have been created. Finally, an innovative ‘smart’ measurement and evaluation system of the magnetic field is being proposed, described and validated, which deals with the experimentally-based evaluation of the total magnetic field B generated by multiple sources in complex three-dimensional arrangements, carried out on the basis of the measurement of the three Cartesian field components and their correlation with the field currents via multilinear regression techniques. The ultimate goal is verifying that magnetic induction intensity is within the prescribed limits.

Short-term Load Forecasting Using Neural Network For Future Smart Grid Application

Short-term load forecasting of power system has been a classic problem for a long time. Not merely it has been researched extensively and intensively, but also a variety of forecasting methods has been raised. This thesis outlines some aspects and functions of smart meter. It also presents different policies and current statuses as well as future projects and objectives of SG development in several countries. Then the thesis compares main aspects about latest products of smart meter from different companies. Lastly, three types of prediction models are established in MATLAB to emulate the functions of smart grid in the short-term load forecasting, and then their results are compared and analyzed in terms of accuracy. For this thesis, more variables such as dew point temperature are used in the Neural Network model to achieve more accuracy for better short-term load forecasting results.

EDP InovCity pilot study proposal: A set-top box interface

A Work Project, presented as part of the requirements for the Award of a Masters Degree in Management from the NOVA – School of Business and Economics

Going with the wind: The time for time-of-use tariffs

A Work Project, presented as part of the requirements for the Award of a Masters Degree in Management from the NOVA – School of Business and Economics

Avaliação do potencial de poupança de energia elétrica em residências através de monitorização inteligente

Dissertação para obtenção do Grau de Mestre em Engenharia do Ambiente, perfil de Gestão e Sistemas Ambientais

EDP inovcity pilot study proposal: A set-top box interface

In this work I propose an additional test to be implemented in EDP’s residential electricity use feedback trials, under InovCity’s project scope. The proposed product to be tested consists of an interface between the smart meter and the television, through a set-top box. I provide a theoretical framework of the importance of feedback, an analysis of results from past studies involving smart metering, and a detailed description of my proposal. The results of a self-developed questionnaire related to the proposal and segmentation issues are also analyzed. Finally, general conclusions are drawn and potential future improvements and challenges are presented.

Älykkäiden energiamittareiden mahdollistamat palvelut

Sähkönmittaus suoritetaan enenevissä määrin älykkäiden energiamittareiden avulla niin Suomessa kuin muuallakin maailmassa. Älykkäät energiamittarit mahdollistavat huomattavasti monipuolisemman mittaustiedon saannin kuin tavanomaisilla mittareilla saatavan pelkän kulutetun energian määrän. Mittauksesta vastuussa olevalle taholle syntyy kuluja mittareiden asennuksesta uusien tehokkaampien tietojärjestelmien ylläpitoon siirryttäessä uuteen älykkäämpään mittausjärjestelmään. Kulujen kattamiseksi olisi hyödyllistä, jos monipuolisempaa mittaustietoa voitaisiin käyttää laajemmin kuin pelkästään asiakkaiden laskutukseen. Tästä johtuen mittaustiedon tehokasta hyödyntämistä varten tulee kehittää uusia palveluja esimerkiksi raportoinnin, mittaustietojen analysoinnin sekä kysyntäjouston saralla. Tässä työssä esitellään älykkäisiin energiamittareihin liittyvää tekniikkaa ja syitä miksi älykkäämpiin sähkönmittausjärjestelmiin ollaan siirtymässä. Mittaroinnin nykytilannetta käydään läpi niin Suomen kuin eräiden muidenkin Euroopan maiden osalta. Työssä esitetään myös muutamia käytännön palvelumahdollisuuksia ja pohditaan millaiseksi sähkönmittausjärjestelmät tulevaisuudessa muotoutuvat.

Etäluentamittareiden tuomat tuotteistamismahdollisuudet sähkönmyyjille

Diplomityön tavoitteena oli selvittää etäluentamittareiden mahdollistamia tuotteita ja palveluita sekä niiden toteutettavuutta Mäntsälän Sähkö Oy:ssä. Työssä perehdytään yksityisasiakkaille suunnattuihin palveluihin, joita mittaritekniikka mahdollistaa. Mittarit tulee olla asennettuna 80%:lle verkkoyhtiön sähkönkäyttöpaikoista vuoteen 2014 mennessä. Mäntsälän Sähköllä mittareiden vaihtoprojektin alkamisen vuoksi haluttiin selvittää mahdollisten uusien tuotteiden toteutettavuutta. Työssä esitellään Mäntsälän Sähkö Oy:lle tulevan mittarijärjestelmän. Mittarijärjestelmä käyttää eri tietoliikennetapoja, jotka ovat GPRS, RS485 ja radio. Työ sisältää internet-paneelina suoritetun asiakaskyselyn, jossa selvitettiin asiakkaiden tarpeita ja mielipiteitä mahdollisten uusien tuotteiden osalta. Työssä käsiteltäviä tuotteita ovat kuormanohjaus, kysynnän hintajousto, spot-hinnoittelu, laskutus sekä raportointipalvelu. Kulutuksen hintajousto, kuormanohjaus ja spot-hinnoittelu toimivat toisiaan tukevina tuotteina. Tasasuuruista laskutusta voisi tarjota toteutuneen kulutuksen mukaisen laskutuksen ohessa lisäpalveluna. Raportointipalvelu internetissä on hyvä tapa toimittaa asiakkaalle lain velvoittamat tiedot.

Aurinkosähkön taloudellinen kannattavuus erikoiskohteessa

Aurinkosähköjärjestelmät ovat yleistyneet viime vuosien aikana niin kotitalouksissa kuin julkisissa rakennuksissakin aurinkopaneeleiden suopean hintakehityksen myötä. Tässä kandidaatintyössä tarkastellaan aurinkosähköjärjestelmän kannattavuutta erikoiskohteessa Lapissa Tervolan kunnan alueella sijaitsevalla huoltoasemalla. Työssä aurinkosähköntuotannon ajoittumista kulutuksen suhteen lähdetään selvittämään vertailemalla simuloinnin avulla saatuja tuotantoennusteita huoltoaseman sähkönkulutusprofiiliin. Sähkönkulutusprofiilin tiedot perustuvat etäluettavan mittarin tuntikulutus mittauksiin. Investoinnin kannattavuutta tarkastellaan takaisinmaksuajan mukaan simuloinnista saatujen tuotantoennusteiden ja muiden takaisinmaksuaikaan vaikuttavien parametrien avulla. Lopuksi takaisinmaksuaikaa tarkastellaan vielä herkkyysanalyysien avulla.

Graph-based algorithms for comparison and prediction of household-level energy use profiles

We present an efficient graph-based algorithm for quantifying the similarity of household-level energy use profiles, using a notion of similarity that allows for small time–shifts when comparing profiles. Experimental results on a real smart meter data set demonstrate that in cases of practical interest our technique is far faster than the existing method for computing the same similarity measure. Having a fast algorithm for measuring profile similarity improves the efficiency of tasks such as clustering of customers and cross-validation of forecasting methods using historical data. Furthermore, we apply a generalisation of our algorithm to produce substantially better household-level energy use forecasts from historical smart meter data.