ANEXO A
Extrato do Diagnóstico do Secretário de Tecnologia da Informação – em 2001
5.5 Segurança da Informação
Com o crescimento do uso da informática e telecomunicações, e sua integração com os negócios, foi mudado o paradigma de segurança da informação. Na época dos mainframes era necessário proteger os dados, que eram armazenados em uma unidade de disco dentro de um CPD e usados por terminais sem capacidade de processamento e armazenamento local, era a época da segurança de dados. Hoje o universo de ação e atuação é o mundo todo. Os ambientes são heterogêneos e apresentam mais riscos, existem novas ameaças e vulnerabilidades, e os negócios dependem cada vez mais da informação, que não está somente nos computadores da organização, mas trafegando por todo o mundo em várias mídias.
Segurança da informação é necessária, pois coloca a plataforma de tecnologia da informação sob controle, evitando perda de produtividade, aumentando a disponibilidade dos sistemas e protegendo as informações da organização contra vazamento, destruição e erros.
Como cada organização possui a sua própria plataforma de tecnologia da informação, que apresenta uma relação com os seus negócios e ambientes externo... as necessidades de segurança são únicas. Isso faz com que a segurança da informação precise ser sempre personalizada. Adquirir uma ferramenta sem avaliação prévia do ambiente, planejamento específico da solução e desenvolvimento de uma "política de segurança" pode significar a perda do investimento. Nem sempre uma ferramenta é adequada às necessidades de segurança da organização.
No âmbito do Exército, o assunto está sendo estudado pelo Estado-Maior do Exército. Estão em elaboração os seguintes documentos:
• Instruções Gerais de Segurança da Informação para o Exército Brasileiro;
• Instruções Reguladoras do Acesso e Utilização da Rede Mundial de Computadores (Internet) pelas Organizações Militares do Exército;
• Instruções Reguladoras para Gestão de Documento Eletrônico no Exército Brasileiro.
O primeiro documento tem por finalidade orientar as ações relacionadas à segurança da informação, necessárias ao cumprimento da missão do Exército Brasileiro. Estas IG estabelecerão regras gerais de segurança da informação, definirão responsabilidades para execução, fiscalização, manutenção e atualização das questões relativas à segurança da informação, orientarão as ações onde os aspectos de segurança da informação são relevantes; estabelecerão as orientações necessárias para adoção de medidas disciplinares e judiciais relativas às ações que atentem contra a segurança das informações no Exército Brasileiro e orientarão, em nível corporativo, o planejamento e execução das medidas de segurança da informação em consonância com o Sistema de Planejamento do Exército (SIPLEx).
O segundo, tem por finalidade propiciar ao público interno as informações necessárias ao correto acesso e utilização dos recursos da Internet em proveito do Exército. Estas IR definirão normas sobre gerenciamento de sítios Internet (“websites”) e elaboração de páginas eletrônicas (“home pages”) e estabelecerão normas de segurança para o uso da Internet pelas Organizações Militares do Exército Brasileiro.
O último documento, tem por finalidade definir normas sobre a gestão de documento eletrônico no Exército Brasileiro. Estas IR orientarão as ações necessárias para padronizar o documento eletrônico e racionalizar seu uso e indicarão os procedimentos a serem seguidos para reduzir a níveis aceitáveis os riscos relacionados à segurança das informações contidas nos documentos eletrônicos.
Para operacionalizar as orientações constantes dos documentos acima, foi criado no CDS um núcleo de criptologia, visando reunir recursos humanos capacitados para implementar as ações decorrentes. A criptologia compreende a criptografia e a criptoanálise.
Na área de criptografia, o CDS está desenvolvendo o Projeto de Infraestrutura de Chave Pública do Exército (ICP-Ex). Esta infraestrutura é composta de hardware, software, pessoas e procedimentos para prover autenticação, integridade e confidencialidade das informações no âmbito do Exército Brasileiro, por meio de criptografia assimétrica, utilizando-se certificados digitais emitidos por Autoridades Certificadoras.
O objetivo é possibilitar:
• assinatura digital de documentos eletrônicos (n.a.: a regulamentação da assinatura digital no âmbito do Exército deve ser posterior às definições das soluções a serem adotadas no Governo Federal e no Ministério da Defesa);
• autenticação de acesso a sistemas baseados em Web, incluindo confidencialidade e integridade das informações trafegadas entre clientes e servidores www;
• utilização de Redes Privativas Virtuais (VPN);
• adaptação dos sistemas corporativos para autenticação, confidencialidade e integridade no trânsito das informações.
Diante da falta de recursos humanos capacitados para desenvolver as soluções necessárias à implantação da ICP-Ex, estão sendo estudadas duas linhas de ação: adquirir software comercial de ICP ou efetivar um convênio de desenvolvimento conjunto com o CEPESC. A vantagem da primeira linha de ação resume-se no tempo mais curto para implantação de uma solução. Entretanto, apresenta uma série de desvantagens, considerando que as soluções disponíveis no mercado são proprietárias e não garantem a total segurança da informação.
A segunda linha de ação apresenta várias vantagens, sendo que a principal delas é a capacitação do pessoal envolvido no desenvolvimento. Participar do desenvolvimento significa aprender e dominar a inteligência do processo. Além do mais, o CEPESC é um órgão subordinado à ABIN.
Na área de criptoanálise estão sendo desenvolvidos estudos no sentido de capacitar pessoal para o desenvolvimento de algoritmos criptográficos próprios, de forma a evitar as vulnerabilidades aprendidas com a criptoanálise, e para operações de criptoanálise. No momento, os esforços estão direcionados na busca de informações nas áreas de processamento paralelo e técnicas de criptoanálise.
O núcleo de criptologia do CDS assume grande relevância no desenvolvimento da ICP-Ex, por dois motivos:
• capacitar pessoal em criptografia e criptoanálise, nas quais existe uma grande carência;
• possibilitar a implantação de documento eletrônico no âmbito do Exército.
Até esse ponto foram descritos os trabalhos em andamento voltados para que a segurança da informação no ambiente corporativo do Exército seja demonstrada por fatos, em particular no que se refere à criptologia. Entretanto, cabe relembrar que apenas os estudos sobre criptologia e as consequentes aplicações estão longe de resolver as questões envolvidas. A consequência natural desta advertência é a seguinte: o Exército precisa conceber, projetar e implementar uma infra- estrutura de segurança da informação que abranja as demais áreas que, em última análise, completarão o cinturão de proteção ao ambiente de informações da Instituição.
Estas áreas podem ser organizadas da seguinte maneira:
• documentação normativa de segurança: área das políticas de segurança e seus desdobramentos, designadas internamente por “Instruções Gerias” ou “Instruções Reguladoras”;
• metodologias para: analisar os riscos aos quais o ambiente corporativo de informações pode estar exposto; pesquisar e avaliar tecnologias de segurança; verificar a real proteção que um sistema de segurança possa estar proporcionando a um ambiente;
• mecanismos de contingência e contenção de ataques: concepção e implementação;
• sistemáticas de auditoria: concepção e aplicação;
• processos de aculturação do pessoal interno sobre segurança da informação;
• gerência da segurança da informação: área responsável por disciplinar a aplicação das demais, assim como, integrá-las.
Há fatos que corroboram a pertinência da preocupação com os elementos anteriormente citados. Dois exemplos são as legislações federais relacionadas ao tema e com impactos diretos sobre a estrutura de TI do EB: o decreto 3.505 de 13 de junho de 2000, que estabelece a política de segurança do Governo Federal; e o decreto 3587, de 5 de setembro de 2000, que estabelece normas para a infraestrutura de chaves públicas do Poder Executivo Federal. Naturalmente, o Exército deverá se enquadrar e manter a coerência com essas legislações. Para tal deve estar preparado, em particular, para lidar com as áreas mencionadas. Cabe ressaltar que o Exército, por meio de oficiais do CDS e STI participaram da confecção de ambas as legislações e, em particular, dos seus desdobramentos.
Em suma, é premente o crescimento da estrutura de segurança da informação na Secretaria, a fim de que a aplicação não esteja apoiada apenas em um pilar, ou seja, a criptologia. É importante que esse Órgão técnico-normativo esteja em sintonia com a realidade atual das grandes organizações que fazem uso da segurança da informação, sob pena de incorrer no risco de ter parte de seu cabedal informacional exposto a violações de segurança. (Gen Albuquerque, Secretário de TI)
AÇÕES DECORRENTES:
Após este diagnóstico aprovaram-se as IG 20-19, IG 10-51 e as IR 20-26, e as NORTI, o que contribuiu para iniciar a superação dos óbices apontados naquele documento.
O CITEx estabeleceu um Centro de Tratamento de Incidentes de Redes (CTIR).
O DCT aprovou as Portarias de n° 002 a 007, em Jan/Fev 2007, contendo diversas regulamentações sobre Segurança de Redes, Auditoria de Segurança, Análise de Riscos, Migração para Software Livre, Avaliação de Software e Utilização dos Meios de TI.
O CDS encontra-se testando o piloto do SPED2 (Sistema de Protocolo Eletrônico de Documentos), evolução do ProtWEB, que padronizará a gestão eletrônica de documentos em todas OM do EB.
O CIGE baixou, em 2002, diretriz do comandante explicitando, entre outras, as seguintes orientações:
“Estabelecer contratos de gestão entre as Divisões/Seções e o Cmdo/EM, contendo indicadores de desempenho para a OM que permitirão:
- priorizar o desenvolvimento da mentalidade de trabalho em equipe, o espírito de cooperação, a responsabilidade individual e a vontade de apresentar um trabalho com 100% de perfeição na primeira tentativa;
- estimular a consolidação do espírito de corpo entre as diferentes Div/Seç/SU deste Centro, por meio do estabelecimento de metas comuns e ações conjuntas;
- proporcionar a cada militar a noção exata da importância de sua atuação dentro de cada processo no qual tenha papel relevante;
- estabelecer sistemas de controles eficientes que possibilitem aumento de produtividade e racionalização de custos;
- delegar competências, atribuir responsabilidades, estabelecer prazos e prioridades, facilitando o controle sobre o andamento de diversos processos, seus pontos críticos, necessidades adicionais e dificuldades encontradas, gerando conhecimento a fim de fundamentar as tomadas de decisões futuras (realimentação);
- melhorar a divisão do trabalho entre os membros do CIGE, proporcionando ao comando maior número de oportunidades de observação e critérios objetivos para a avaliação do desempenho do pessoal;
- aumentar a segurança orgânica do Centro.”
O 2º Subchefe do Estado-Maior do Exército também referiu-se ao assunto no relatório nº 01-2003/2ª Sch/SI.3, de 28 Jul 02.
Como conclusão, julga-se, salvo melhor juízo, como imprescindível a adoção de medidas para a viabilização de trabalhos conjuntos entre as Forças, que levem à conjunção de esforços, à redução de dependência externa e a uma maior interoperabilidade entre os sistemas de informação de interesse da Defesa. Para esse fim, não só os projetos anteriormente referidos poderão ser considerados, mas também os objetivos e metas constantes do PLED-SI (Plano Específico de Desenvolvimento em Segurança da Informação), apresentado ao MD em 01 Fev 2002.
xxx
ANEXO B
Extrato dos relatórios do EME sobre Segurança da Informação/2003
1. Relatório no 01-2003/2ª SCh/SI.3, de 28 Jul 2003.
... sobre levantamento de Recursos Criptológicos e de Segurança de Informações existentes no Exército, bem como uma visão prospectiva sobre o assunto na Força.
c. Sobre a visão prospectiva da criptologia e segurança da informação
- Entende-se como necessária a integração entre as Forças, nos trabalhos de pesquisa e desenvolvimento nas áreas de criptologia e segurança da informação, objetivando trocas de conhecimentos e ganho de tempo na obtenção das soluções almejadas. Tal necessidade se evidencia quando um ambiente de operações combinadas é vislumbrado e o uso, pelas Forças, de sistemas de segurança incompatíveis torna-se um empecilho.
- A equipe de segurança de informações do Exército, embora empenhada nos seus projetos, conforme acima descrito, encontra-se em condições de participar da referida integração.
- Adicionalmente, o PLED-SI (Plano Específico de Desenvolvimento em Segurança da Informação), apresentado em 01 Fev 2002 por representante do EB no GT criado pela Portaria Nº 709/MD, de 14 Nov 2001, contém um conjunto de objetivos úteis no contexto considerado, sendo aqui enviado também como anexo ao Ofício que encaminha este Relatório.
CONCLUSÃO
Como conclusão, julga-se, salvo melhor juízo, como imprescindível a adoção de medidas para a viabilização de trabalhos conjuntos entre as Forças, que levem à conjunção de esforços, à redução de dependência externa e a uma maior interoperabilidade entre os sistemas de informação de interesse da Defesa. Para esse fim, não só os projetos anteriormente referidos poderão ser considerados, mas também os objetivos e metas constantes do Anexo B (n.a.: a esse doc.).
2. Relatório nº 02-2003/2ª SCh/SI.3, 21 Ago 2003.
b. Sobre os projetos em desenvolvimento
3) Aplicação de algoritmos criptográficos abertos (comercial e já patenteados) implementados em software:
a) Local: Instituto de Pesquisa e Desenvolvimento (IPD);
b) Utilizado para criptografar mensagens no Sistema de Processamento Automático de Mensagens Operacionais (PAMO) como parte do Sistema de Comando e Controle da Força Terrestre (SC2FTer);
c) Não há empresa envolvida;
d) A 1ª versão do PAMO já está concluída e poderá haver aplicação de algoritmo proprietário do EB em futuras versões; e
e) Os recursos necessários já estão incluídos no Projeto PAMO oriundos do EME/STI.
c. Sobre a visão prospectiva da criptologia e segurança da informação
- Atualmente a Força Aérea Brasileira promove simpósios anuais, no Centro Tecnológico da Aeronáutica (CTA), sobre o tema segurança da informática nos quais apresenta trabalhos e troca de conhecimentos relacionados à criptologia. Neste evento comparecem representantes da Marinha do Brasil e do EB. Também são realizados Encontros entre os Centros de Guerra Eletrônica das Forças, onde são tratados assuntos correlatos a segurança das comunicações. A integração entre as Forças no campo da criptologia, além de desejável, é necessária.
e. Outros dados julgados úteis
- Atualmente desenvolve-se na Universidade de São Paulo (USP - SP), projeto referente à computação paralela cujo produto poderá ser utilizado como ferramenta para a criptoanálise. O Exército já enviou engenheiros militares àquela instituição com objetivo de, através da realização de trabalho de tese, se especializarem no assunto.
- É necessário, no campo de Segurança da Informação, desenvolver estudos referentes aos fenômenos de radiações indesejáveis e sistemas operacionais confiáveis (utilização de códigos proprietários).
- A Indústria de Material Bélico do Brasil (IMBEL) não possui recursos humanos específicos para a área criptológica, utilizando-se do valioso apoio do IME para esta atividade.
- A FMCE tem longa tradição no desenvolvimento e na fabricação de equipamentos rádio para fins militares, vários deles com TRANSEC e COMSEC.
CONCLUSÃO
A adoção de medidas que possibilitem trabalhos conjuntos entre as Forças e o aproveitamento das potencialidades da FMCE e IMBEL poderá viabilizar futuros projetos de desenvolvimento no âmbito do Ministério da Defesa, que levem à redução de dependência externa e a uma maior interoperabilidade entre os sistemas de informação de interesse da Defesa.
xxx
ANEXO C
Extrato da Memória n° 010-A/4-04-SCT
1. ASSUNTO
...
Guerra Cibernética e Segurança da Informação.
3. FINALIDADE
Relatar a situação dos projetos, técnicas e tecnologias de Guerra Cibernética e Segurança da Informação no Exército.
4. DADOS DISPONÍVEIS
a. Conceitos em Guerra Cibernética e Segurança das Informações:
A guerra de informação tem sua vertente tática, normalmente chamada de guerra de comando e controle (Command and Control Warfare - C2W) ou guerra centrada em rede (Network-Centric Warfare – NCW), que estendem a capacidade de atuação da já conhecida guerra eletrônica (Electronic Warfare – EW) para além dos meios de comunicação, incluindo toda a infra- estrutura de comando e controle militar do inimigo, sobretudo aquela presente no campo de batalha (físico).
Há também a guerra estratégica de informação (Strategic Information Warfare), também chamada, por outros autores, de guerra de infraestrutura (Infrastructural Warfare), infoguerra (Infowar) ou guerra cibernética/ciberguerra (Cyberwar). Essa modalidade não deve ser confundida com a guerra de informação baseada em guerra de propaganda ou guerra psicológica.
Ao contrário, a guerra estratégica de informação é baseada em ações técnicas que buscam, através do uso da tecnologia da informação como arma ou como alvo, afetar, de alguma forma, o funcionamento dos sistemas de comando e controle da chamada infraestrutura crítica nacional de um oponente. Embora se afirme que a tecnologia da informação pode ser alvo de ataques convencionais, neste documento o foco da tecnologia da informação como alvo restringir-se-á aos ataques informacionais ou ciberataques (desferidos através do ciberespaço).
...
c. Vulnerabilidades existentes:
Em estudo recente conduzido por este ODS constatou-se que diversos sistemas de uso corporativo no Exército, relativos à gestão de pessoal e financeira, são vulneráveis a acessos por pessoas não autorizadas utilizando apenas técnicas e ferramentas livremente disponíveis na Internet. Alguns desses sistemas são operados pelo SERPRO e atendem a toda a administração pública federal. Nesses sistemas, verificou-se que é possível, no mínimo, a obtenção de informações confidenciais ou sensíveis.
Devido às restrições de ordem legal, não foram realizados testes visando à verificação da possibilidade de se alterar informações armazenadas nesses sistemas. Entretanto, em alguns desses sistemas, já é possível especular com razoável probabilidade de acerto que a alteração de dados é possível.
De forma análoga aos sistemas corporativos em uso no Exército, e pela experiência das vulnerabilidades encontradas em estudos semelhantes conduzidos pelo Departamento de Defesa norte-americano, acredita-se que diversos sistemas de comando e controle da infraestrutura crítica nacional sejam vulneráveis a operações de guerra cibernética.
Entre essas operações, pode-se imaginar como alvos:
▪ Sistemas de controle de vazão de grandes represas;
▪ Sistemas de controle de tráfego aéreo;
▪ Sistemas de controle de tráfego ferroviário ou metroviário;
▪ Sistemas de controle de redes de telecomunicações;
▪ Sistemas de controle de distribuição de energia elétrica;
▪ Sistemas de controle de distribuição de gás ou petróleo;
▪ Sistemas integrados de transações financeiras (bolsas de valores, câmaras de
compensação, ...)
Conforme o alvo e o objetivo a ser alcançado pelo oponente, o resultado de
operações de guerra cibernética pode ser desde distúrbios em algumas cidades, até a completa paralização econômica (e logística) de um país.
5. CONCLUSÕES
a. Existem algumas vulnerabilidades já conhecidas nos sistemas de uso corporativo do Exército e da administração pública federal;
b. Possivelmente existem diversas vulnerabilidades ora desconhecidas nesses sistemas e que precisam ser levantadas;
c. Há a necessidade de novos instrumentos legais que legitimem os trabalhos visando ao levantamento dessas vulnerabilidades;
d. Há a necessidade de levantamento das vulnerabilidades também dos sistemas de controle da chamada infraestrutura crítica nacional, a fim de corrigi-las;
e. É desejável que, a exemplo das atividades de sistemas estratégico de guerra eletrônica e de inteligência, que atuam coletando informações em tempo de paz [...], contribuindo para a superioridade informacional de nossas forças; e
f. A SCT dispõe de um planejamento para a realização das atividades para o atingimento desses objetivos que depende, entretanto, da obtenção dos recursos solicitados no PBCT.
Rio de Janeiro, RJ, 08 de abril de 2004.
Chefe da Assessoria 4
xxx
ANEXO D
Agências de Controle e Segurança
1. HISTÓRICO
Fundado em 27 de novembro de 1995, o Instituto Brasileiro de Governança Corporativa (IBGC)(www.ibgc.org.br) – uma sociedade civil de âmbito nacional, sem fins lucrativos – tem o propósito de "ser a principal referência nacional em governança corporativa; desenvolver e difundir os melhores conceitos e práticas no Brasil, contribuindo para o melhor desempenho das organizações e, consequentemente, para uma sociedade mais justa, responsável e transparente."
No Brasil, os conselheiros profissionais e independentes surgiram em resposta ao movimento pelas boas práticas de governança corporativa e à necessidade de as empresas modernizarem sua alta gestão, visando tornarem-se mais atraentes para o mercado. O fenômeno foi acelerado pelos processos de globalização, privatização e desregulamentação da economia, que resultaram em um ambiente corporativo mais competitivo.
Como resultado da necessidade de adoção das boas práticas de governança, foi publicado em 1999 o primeiro código sobre governança corporativa, elaborado pelo IBGC. O código trouxe inicialmente informações sobre o Conselho de Administração e sua conduta esperada. Em versões posteriores, os quatro princípios básicos da boa governança foram detalhados e aprofundados.
Apesar do aprofundamento dos debates sobre governança e da crescente pressão para a adoção das boas práticas de governança corporativa, o Brasil ainda se caracteriza pela alta concentração do controle acionário, pela baixa efetividade dos conselhos de administração e pela alta sobreposição entre propriedade e gestão. O que demonstra vasto campo para o conhecimento, ações e divulgação dos preceitos da governança corporativa.
A preocupação da governança corporativa é criar um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas.
Em 2005 a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) lançou documento contendo diretrizes de boa governança para empresas de controle estatal. Também foi realizada a oferta de ações da primeira companhia brasileira de capital amplamente disperso (Lojas Renner), uma inovação no modelo brasileiro de governança corporativa. O IBGC completou 10 anos e lançou o livro "Uma década de Governança Corporativa - História do IBGC, marcos e lições da experiência".
O Projeto de Integração e Gestão de Governo – SIEG que objetiva a melhoria da interoperabilidade entre os Sistemas Estruturadores (SGA – Sistema de Gestão Administrativa) e destes com os sistemas corporativos externos, via disponibilidade de eventos (mensageria) e objetos de interface da integração (interface de comunicação sistêmica) que, padronizados segundo a e-PING, pudessem amenizar os problemas do tráfego aleatório, repetitivo e redundante de dados de cadastros e tabelas entre os SGAs, significando uma redução considerada, estimada de mais de 75% dos custos, para operação das transações de extração de dados e apurações especiais demandadas ao SERPRO.
Em 2005, ocorreu a entrada do SIEG em produção com versão aberta em software pelo SERPRO. O SIEG encontra-se preparado, a partir de 2006, tornar-se a infraestrutura necessária para a criação da camada de serviços dos sistemas estruturadores de Governo.
As Páginas de Transparência Pública apresentam os dados referentes às despesas realizadas por todos os órgãos e entidades da Administração Direta e Indireta do Governo Federal (autarquias, fundações, empresas públicas e sociedades de economia mista), com informações sobre execução orçamentária, licitações, contratações, convênios, diárias e passagens.
As Páginas de Transparência Pública integram o rol de ações de governo voltadas para o incremento do controle social e complementam as informações disponíveis no Portal da Transparência.
A Controladoria Geral da União exerce o papel de atualizar periodicamente as Páginas de Transparência com os dados contidos nos sistemas do Governo Federal (SIAFI, SIASG, SIEST E SCDP) e com aqueles enviados eletronicamente pelos órgãos que não registram as informações nos sistemas. Orientado pela missão de promover cada vez mais a transparência dos gastos públicos, o Governo Federal tem atuado firmemente no sentido de incentivar o controle social para que as práticas da Administração Pública sejam pautadas pela legalidade e pela ética.
Figura 1: Articulação do Núcleo de Informação e Coordenação do Ponto br
2. NIC.br
Núcleo de Informação e Coordenação do Ponto br (NIC.br) é uma entidade civil, sem fins lucrativos, que desde dezembro de 2005 implementa as decisões e projetos do Comitê Gestor da Internet no Brasil (CGI). O CGI no Brasil coordena e integra todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados.
a. Objetivos:
• o registro e manutenção dos nomes de domínios que usam o <.br>, e a distribuição de endereços IPs, através do Registro.br;
• a promoção da infraestrutura para a interconexão direta entre as redes que compõem a Internet brasileira, através do PTT.br;
• divulgação de indicadores e estatísticas e informações estratégicas sobre o desenvolvimento da Internet brasileira, através do CETIC.br;
• o suporte técnico e operacional ao LACNIC, Registro de Endereços da Internet para a América Latina e Caribe;
• o tratamento e resposta a incidentes de segurança em computadores envolvendo redes conectadas à Internet brasileira, através do CERT.br.
Obs: Realizada reunião do NIC.br em 18 Jun 08, cuja ata encontra-se no site abaixo, contém as tendências interessantes da direção para a qual caminha a legislação normatizadora sobre Internet no Brasil:
http://www.cgi.br/acoes/2008/rea-2008-06.htm
O NIC.br é o braço executivo do CGI.br e responde pelo registro de nomes de domínio (Registro.br), pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), pela implantação e operação dos Pontos de Troca de Tráfego (PTT.br) e pelo Centro de Estudos sobre as Tecnologias da Informação e da Comunicação (CETIC.br), cujo objetivo é produzir e divulgar informações sobre a disponibilidade e o uso da Internet no país.
3. CERT.br
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) é o grupo de resposta a incidentes de segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. O CERT.br é responsável por receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à Internet no Brasil.
a. Sobre o CERT® Program
O CERT® é um centro de excelência em Segurança Internet, localizado no Software Engineering Institute (SEI), um Centro de Pesquisa e Desenvolvimento mantido pelo governo dos Estados Unidos da América e operado pela Carnegie Mellon® University.
O CERT Coordination Center® (CERT®/CC) foi criado em 1988, sendo o primeiro CSIRT a ser estabelecido no mundo. Com a expansão da Internet e com a sofisticação dos atacantes surgiram novas demandas, que levaram o CERT®/CC a ser apenas um dos componentes do CERT® Program.
b. Descrição dos Cursos
• Overview of Creating and Managing Computer Security Incident Response Teams
(Overview)
Este curso de um dia provê uma visão consolidada das informações contidas em outros dois cursos: Creating a CSIRT e Managing CSIRTs. Seu propósito principal é destacar as boas práticas de planejamento, implementação, operação e avaliação de um CSIRT. Será, também, explorado o relacionamento entre CSIRTs, gerenciamento de incidentes e gerenciamento de segurança, e discutido porque o sucesso do gerenciamento de incidentes requer visão e abordagem de negócios. Este tutorial foi projetado para oferecer, para gerentes e outros profissionais da área, uma visão geral das questões envolvidas na criação e operação de um CSIRT. Ele também apresenta uma visão introdutória sobre os CSIRTs para profissionais novos nesta área, que estejam interessados em aprender o que é um CSIRT e quais as atividades por ele desenvolvidas. Mais detalhes podem ser obtidos na página deste curso.
• Information Security for Technical Staff (ISTS)
Este curso de 5 dias provê aos participantes técnicas práticas para proteger recursos e ativos de uma organização, passando pelos conceitos e evoluindo para os aspectos práticos de implementação destas técnicas. O curso tem enfoque na compreensão e aplicação do conceito de survivability no gerenciamento efetivo de riscos, ameaças, políticas, configurações de sistemas, disponibilidade e pessoal. O curso também aborda tratamento de incidentes e fornece fundamentos técnicos para trabalhar com segurança de TCP/IP e criptografia. O curso envolve apresentações teóricas, exercícios hands-on com base em cenários, utilizando um laboratório com ambiente de rede, e discussões abertas, de modo a ajudar os participantes a compreenderem os problemas e estratégias para fazer a segurança de sistemas de informação e de redes. Mais detalhes podem ser obtidos na página deste curso.
• Fundamentals of Incident Handling (FIH)
Este curso de 5 dias, destinado ao pessoal técnico de Grupos de Segurança e Resposta a Incidentes, foi desenvolvido de modo a definir e esclarecer a natureza do trabalho que um incident handler realiza. Ele provê uma visão geral sobre o cenário do trabalho de tratamento de incidentes, incluindo os serviços prestados pelo CSIRT, as ameaças dos invasores e a natureza das atividades de resposta a incidentes. Mais detalhes podem ser obtidos na página deste curso.
• Advanced Incident Handling for Technical Staff (AIH)
Este curso de 5 dias baseia-se fortemente nas ferramentas e métodos discutidos no curso Fundamentals of Incident Handling e fornece passos que incident handlers podem seguir para responder a incidentes de segurança que envolvam acesso privilegiado a sistemas e redes. Através de exercícios interativos, discussões e exercícios em grupo os instrutores auxiliam os participantes a identificar e analisar um conjunto de incidentes e vulnerabilidades e, então, propor estratégias de resposta apropriadas. Os participantes também irão explorar outros aspectos do trabalho de um CSIRT, incluindo análise de artefatos, desenvolvimento de advisories, alertas e interação com administração superior. Mais detalhes podem ser obtidos na página deste curso.
c. Público Alvo
Estes cursos são destinados a profissionais atuantes em Grupos de Segurança e Resposta a Incidentes ou que estejam envolvidos com tratamento de incidentes de segurança.
d. Turmas 2008
As turmas para os cursos 2008 serão oferecidas em São Paulo–SP, nas seguintes datas:
• Overview of Creating and Managing Computer Security Incident Response Teams
Turma: 01 de agosto de 2008
Encerramento das inscrições: 04 de julho de 2008
• Fundamentals of Incident Handling
Turma: 04 a 08 de agosto de 2008
Encerramento das inscrições: 04 de julho de 2008
• Information Security for Technical Staff
Turma: 15 a 19 de setembro de 2008 Encerramento das inscrições: 15 de agosto de 2008
4. CTIC.br
Centro de Estudos sobre as Tecnologias da Informação e da Comunicação - é responsável pela produção de indicadores e estatísticas sobre a disponibilidade e uso da Internet no Brasil, divulgando análises e informações periódicas sobre o desenvolvimento da rede no país.
5. CEPTRO
O Centro de Estudos e Pesquisas em Tecnologia de Redes e Operações – é o órgão do NIC.br responsável pela execução de projetos aprovados pelo CGI.br e relacionados à Tecnologia de Redes e Operações na Internet. Cabe ao CEPTRO desenvolver estudos que permitam a inovação e a melhoria do nível de qualidade técnica no uso da Internet, bem como pesquisar tecnologias de redes que estimulem a disseminação da Internet no País, buscando constantemente oportunidades para agregar valor a bens e serviços vinculados à Internet.
a. O PTT.br é um ponto de troca de tráfego que fornece uma infraestrutura de conexão aos seus participantes distribuída em uma área metropolitana.
b. O NTP.br define um jeito para um grupo de computadores conversar entre si e acertar seus relógios, baseados em alguma fonte confiável de tempo, como os relógios atômicos do Observatório Nacional, que definem a Hora Legal Brasileira.
6. REGISTRO.br
Realiza o registro dos domínios para Internet “.br” no Brasil. Ver: http://registro.br/
7. CAIS
A Rede Nacional de Ensino e Pesquisa (RNP) atua na detecção, resolução e prevenção de incidentes de segurança na rede RNP2 através de seu Centro de Atendimento a Incidentes de Segurança (CAIS). Criado em 1997, o CAIS também divulga informações e alertas de segurança e participa de organismos internacionais na área.
xxx
Nenhum comentário:
Postar um comentário