A Rede Nacional de Ensino e Pesquisa (RNP) incorporou, neste ano, mais uma das boas práticas internacionais de gestão de identidade promovidas pela REFEDS (Research and Education FEDerations group) que congrega e debate padrões para todas as federações de identidade acadêmicas do mundo: o SIRTFI.
O SIRTFI (Security Incident Response Trust Framework to Federated Identity) é um framework que estabelece uma rede de confiança entre os membros das diversas redes federadas para o tratamento de incidentes de segurança, como a Comunidade Acadêmica Federada (CAFe). A autodeclaração ocorre após a instituição atender a uma série de requisitos de segurança desse framework.
O modelo SIRTFI é um conjunto de boas práticas e atributos que identificam uma organização como capaz de realizar a coordenação de uma resposta a incidentes de segurança entre organizações federadas. Ele eleva o nível de maturidade de segurança de uma federação, com a implementação de controles para garantir a confidencialidade das informações, controle dos logs e define medidas preventivas para proteger uma organização de ataques.
O trabalho para implementar as recomendações de segurança indicadas no modelo SIRTFI teve início na RNP em 2019, envolvendo áreas de TI, Serviços e de Segurança da Informação. Para o gerente de TI da RNP, Emmanuel Sanches, a adoção do framework SIRTFI para a CAFe estabelece melhorias em quatro dimensões: nas operações de segurança; na resposta a incidentes, no registro de logs e na definição de responsabilidades.
“Esta ação permitiu que o nosso time tenha melhor atuação frente a questões de segurança no serviço CAFe, o que contribui para uma maior estabilidade e disponibilidade. Também estabelece a RNP como primeiro membro da federação de provedores de identidade (IdP) a estar compliance com o padrão SIRTFI.O exemplo da RNP deverá estimular que outros membros promovam melhorias também”, avaliou o gestor de TI.
Já o diretor-adjunto de Cibersegurança da RNP, Emilio Nakamura, destaca que a gestão de identidades é essencial no mundo digital, o que exige um ambiente seguro entre as diferentes instituições que formam a federação de identidade, visando aumentar o nível de confiança nas interações.
“Nossa conformidade com a SIRTFI é um passo importante na construção de uma comunidade mais segura e reforça a colaboração com as instituições. Para a RNP, a obtenção do SIRTFI representa também que nossas entregas estão evoluindo cada vez mais nos aspectos de segurança, já que o framework é aplicado na organização como um todo. A RNP irá também apoiar as instituições a buscarem a conformidade”, informou Nakamura.
Para o gerente de serviços Jean Carlo Faustino, a conformidade da RNP com o SIRTFI, na condição de cliente da federação CAFe, representa mais um importante passo para o incremento da maturidade do serviço.
“Como foi destacado, o benefício não se aplica somente à CAFe, mas a toda a RNP em termos de segurança e maturidade de processos. Por isso, esta é uma conquista que precisava ser trabalhada e alcançada de forma colaborativa entre as equipes envolvidas. Estamos felizes por isso e também porque, ao realizarmos este processo, desde o início estávamos focados em não somente alcançar o compliance da RNP como também pavimentar, através da criação de templates específicos, o caminho para outras instituição da CAFe”, avaliou.