Antecipando as discussões do 20º Seminário de Capacitação e Inovação da RNP (SCI), os grupos de segurança ligados à rede acadêmica brasileira participaram do 9º Encontro de CSIRTs Acadêmicos (EnCSIRTS), promovido pelo Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP no domingo, dia 19/10.
Criado em 2006, o EnCSIRTs tem como objetivo promover a aproximação entres os grupos de segurança acadêmicos. “Atualmente, temos 11 CSIRTs acadêmicos. O CAIS tem o desafio de promover a cultura de segurança em mais de 1000 instituições”, disse a gerente da área, Liliana Solha.
A equipe que ela lidera apresentou duas novas ferramentas, que estarão à disposição dos CSIRTs: o Testador de Vulnerabilidades e o Sistema de Gestão de Incidentes de Segurança (SGIS). O primeiro traz uma interface que reúne scripts que permitem a realização de testes de vulnerabilidades. “Você coloca o IP da sua instituição, seleciona o teste que quer fazer e pronto. Todos os dados estão em um lugar só”, explicou o analista de Segurança da Informação, Alan Santos.
Já o SGIS visa atender todas as instituições usuárias na gestão dos incidentes de segurança da rede acadêmica, a Ipê. “Esse sistema deve ter acesso restrito aos profissionais que atuam no tratamento de incidentes. Teremos processos de auditoria e validação de acessos dos usuários”, antecipou o coordenador de Segurança da Informação, Edilson Ferreira Lima.
No desenvolvimento do sistema foi realizado um piloto com sete instituições clientes da RNP e Pontos de Presença (PoPs). “Alguns dos critérios para a escolha foram o número e o índice de incidentes resolvidos. Pegamos os melhores e os piores cenários. Levamos tudo isso em consideração, para implementar e desenvolver a ferramenta”, detalhou o analista de segurança da informação, Rildo Antonio de Souza.
O SGIS apresenta dados como incidentes, índice dede resolução, IPs com maior atividade maliciosa (“top 10 IPs”) e histórico de ranking. “Até o final da semana que vem, será liberado o acesso em produção para todos os PoPs. O sistema vai passar pela validação dos gestores de TI, para concessão de acessos a todos os usuários até 1º/12. Por isso, contamos com o apoio de vocês, usuários do sistema, respeitando a cadeia de confiança, e sempre informando-nos o que pode ser melhorado”, pediu Edilson.
Os CSIRTs acadêmicos
O diretor de Segurança da Informação e Governança da TIC da Universidade Federal do Rio de Janeiro (UFRJ), Vinicius Fernandes, mostrou a estrutura do CSIRT da instituição e suas conquistas. “Criado em 2009, o Conselho Gestor de TIC foi um marco da gestão de TI da UFRJ, porque é um colegiado consultivo que determina a estratégia da gestão de TIC e o plano diretor em geral”.
Com relação à criação da Política de Segurança da Informação da universidade, Vinicius disse que a estratégia foi criar um documento “mais brando”. “Ao invés de ‘proíbo’, colocamos ‘não recomendo utilizar’, com isso a política foi aprovada no final de 2010”, relatou ele, que destacou como maior dificuldade para montar uma equipe de segurança o recrutamento.
O professor da Universidade Federal de Minas Gerais (UFMG), Diógenes Cecilio da Silva Júnior, fez coro. “Falta pessoal de TI. Recentemente, tivemos concurso, mas havia dez anos que não contratávamos para a nossa área”, contou.
Rafael Gomes e Italo Valcy, colaboradores do CERT.Bahia (Grupo de Resposta a Incidentes de Segurança – Bahia/Brasil) relataram que trabalham em regime de dedicação parcial, e que o grupo de segurança local só existe graças à parceria estabelecida entre a TI da Universidade Federal da Bahia (UFBA) e o PoP-BA. “Raros clientes reconhecem a segurança da informação como algo importante. Por isso, o que o CAIS e a RNP puderem fazer para pressionar os dirigentes vai ser bom para todo mundo”, defendeu Rafael.
A exposição sobre as vantagens de investir em segurança da informação não se limitou à academia. Para o analista de Segurança da Informação da Companhia Energética de Minas Gerais (CEMIG), José Lopes de Oliveira Jr., estruturar um CSIRT em uma estrutura industrial confere resiliência, “porque possibilita a reação a eventos inesperados”. Ele também citou como ganhos o desempenho ambiental, dada a ajuda na diminuição da emissão de carbono, e a eficiência operacional, já que engloba iniciativas como gerenciamento de picos de demanda.