O maior desafio ao tentar desenvolver capacidades de Segurança e Defesa Cibernética não é técnico, comercial ou processual, e sim humano. Isto é verdade em todos os níveis, desde pequenas empresas, passando por grandes organizações públicas e privadas e incluindo países inteiros.
A diferenciação entre "Segurança" e "Defesa" tem sido definida pela esfera - civil ou militar - das ações de proteção, detecção ou reação executadas. Porém isto é muito dificultado em um cenário como a Internet, em que a dificuldade de atribuição de responsabilidade é imensa (ver final do post).
O problema é global. Ações de espionagem industrial direcionadas à informações estratégicas e infra-estruturas críticas são os acontecimentos mais comuns nesta esfera. Os Estados Unidos recentemente sugeriu oficialmente uma "pressão diplomática" juntamente com seus aliados na Ásia e Europa, para que os chineses assumam responsabilidade por ações que são contínuas - e documentadas em incidentes como GhostNet, Aurora, Shady Rat, Kneber, Night Dragon - entre outros.
Além disto o desafio político é muito grande - como coordenar iniciativas de resposta e troca de informações sobre ameaças entre forças armadas, empresas públicas e privadas (muitas destas coisas concessões de exploração de infraestruturas críticas..)
Uma coisa é certa: mais importante do que adquirir ou desenvolver qualquer tecnologia é conseguir treinar os recursos humanos necessários e priorizar a atenção nas ameaças reais de uma organização. Aos interessados, veja o que mais sobre este tema nestes dois artigos).
Um exemplo da complexidade de se preparar adequadamente para o tema "Segurança Cibernética"
é o documento Identity & Information Assurance Related Policies and Issuances (pdf) - trata-se de um excelente gráfico que organiza e aponta para os inúmeros textos de regulamentações e guias sobre Segurança da Informação no governo federal norteamericano.
Se depois de ver este gráfico você ainda não se convenceu da complexidade do assuinto, gostaria de citar um trecho dito pelo guru Dan Geer - que nos lembrou disto durante sua palestra na Source Boston de '08:
--
Security is perhaps the most difficult intellectual profession on the planet. The core knowledge base has reached the point where new recruits can no longer hope to be competent generalists, serial specialization is the only broad option available to them.
--
Para completar as referências sobre a complexidade e a necessidade de formação de mão de obra adequada para operar CiberSegurança e/ou CiberDefesa: A cerca de um ano, uma comissão responsável por assessorar a presidência norteamericana sobre o tema publicou um interessante documento entitulado "A Human Capital Crisis in CyberSecurity" (pdf)
Uma das conclusões do relatório é a seguinte: incluindo todos os profissionais de áreas governamentais (incluindo militares) e civis nos nos Estados Unidos, existem hoje apenas 1000 (mil) profissionais devidamente treinados e habilitados a trabalhar com "CyberSecurity" por lá. Para uma adequada preparação na área de Defesa Cibernética, o estudo indicou uma necessidade atual de 30.000 (30 mil) pessoas.
Enquanto isto, no Brasil:
Dentre as iniciativas feitas até o momento pelo Centro de Defesa Cibernética (CDCiber) - cujo núcleo está em organização deste Agosto deste ano, está a previsão de criação da Escola Nacional de Defesa Cibernética (pdf).
--
Objetivo: "conceber Instituição de Ensino de presença nacional, que tenha como foco formar e capacitar profissionais para exercerem funções específicas na manutenção da defesa cibernética, contribuindo com a segurança cibernética das infraestruturas críticas nacionais, por meio da inclusão da sociedade nas atividades do Setor Cibernético."
--
Ações Estratégicas: "criar a Escola Nacional de Defesa Cibernética (EsNaDCiber), fomentar a parceria entre a Escola e as instituições de ensino públicas e privadas, fomentar a parceria entre a Escola e entidades públicas e privadas, capacitar profissionais para atuarem na segurança e na defesa cibernética das infraestruturas críticas nacionais, incentivar a participação do MEC e do MCT no aprimoramento do projeto, identificar as melhores práticas no emprego das novas tecnologias de ensino, quantificar as demandas de pessoal a qualificar, identificar competências existentes para atuar no setor, identificar cursos já existentes que atendam às demandas prementes, implementar cursos de demanda premente, visando atender às necessidades de curto prazo, sugerir ao MEC a implementação de ações educacionais de fomento na área de segurança e defesa cibernética."
Existem diversas Universidades que potencialmente podem auxiliar este projeto relacionado à Segurança das Informações e Comunicações: Unb, Unicamp, USP, UFPel, UFSM, ITA, IME, UECE, UFPE - apenas para citar algumas das mais ativas no setor (* veja update abaixo para uma lista mais completa)
Além disto, diferentes órgãos de governo possuem material humano com expertise para auxiliar a iniciativa: Ministério da Defesa (Exército, Marinha, Aeronáutica), Presidência da República (Secretaria de Assuntos Estratégicos, Agência Brasileira de Inteligência, Gabinete de Segurança Institucional - DSIC/CTIR), Ministério da Justiça (Departamento de Polícia Federal, Procuradoria Geral da República), Ministério do Planejamento, Ministério da Educação (RNP), Ministério de Ciência e Tecnologia (Secretaria de Politica de Informática, Comitê Gestor da Internet no Brasil - CERT.BR).
Listando rapidamente (e não exaustivamente) apenas algumas das diferentes especialidades necessárias para formar um time de cibersegurança, é possível visualizar a dificuldade de contratação (e/ou coordenação) deste grupo de profissionais (aproveito para listar algumas referências profissionais e organizacionais brasileiras com experiência comprovada nas áreas listadas).
Análise de Malware e Engenharia Reversa (Febraban, GAS, Ronaldo Lima, Fábio Assolini, Pedro Bueno, Ranieri Romera, Guilherme Venere, Tiago Assumpção)
Análise de Risco (Módulo, Axur)
Análise de Vulnerabilidades em Hardware (CEPESC, ..)
Conscientização de Segurança (Anderson Ramos, Patrícia Peck, Modulo)
Correlação de Eventos de Segurança (Zanardo, Marcelo Souza, Janilson Correia, Daniel Cid - OSSEC)
Criptografia (Routo Terada, ABIN, Cryptus, eSEC)
Resposta a Incidentes (Jacomo Picolini, Klaus Jessen, Cristine Hoepers)
Forense Computacional (SEPINF, Techbiz, DataSecur, LegalTech, B2T, Tony Rodrigues, Marcelo Caiado)
Pentesting (Wendel Henrique, Rodrigo Rubira, Felipe Balestra, Joaquim Espinhara)
Segurança de Sistemas Embarcados (Alberto Fabiano, ...)
Segurança de Sistemas Operacionais (Fernando Cima, Jeronimo Zucco, Alexandre)
Segurança de Aplicações Web (Wagner Elias, Lucas Ferreira, Thiago Zaninotti)
Segurança de Sistemas SCADA (Marcelo Branquinho, ...)
Segurança de Rede (Aker, Breno Silva, ...)
Segurança de Redes Wireless (Nelson Murilo, ... )
PS: Estas lista de áreas e referências acadêmicas, governamentais e empresariais se iniciou a partir de referências pessoais e aguardo sugestões (especialmente para os tópicos com reticências ...) para atualizar a lista com nomes que os leitores podem incluir nos comentários, abaixo.
Aos interessados em se atualizar no assunto "Segurança e Defesa Cibernética), seguem 10 artigos - recheados de informações e links - publicados recentemente aqui no blog com assuntos relevantes à Segurança e Defesa Cibernética:
http://sseguranca.blogspot.com/2011/02/revista-info-fev2011-quando-bits-viram.html
http://sseguranca.blogspot.com/2011/07/i-jornada-de-trabalho-de-defesa.html
http://sseguranca.blogspot.com/2011/09/diginotar-cassl-e-netnames-dns-ataques.html
http://sseguranca.blogspot.com/2010/07/0day-lnk-infocon-amarelo-senha-default.html
http://sseguranca.blogspot.com/2011/05/empreiteira-militar-americana-atacada.html
http://sseguranca.blogspot.com/2011/04/aprendendo-com-o-ovo-do-cuco-cuckos-egg.html
http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
http://sseguranca.blogspot.com/2009/01/governo-obama-lista-cybersecurity-como.html
http://sseguranca.blogspot.com/2011/08/timeline-da-cobertura-de-ataques.html
Como contribuição, segue algum material sobre treinamento na área já publicado por aqui:
http://sseguranca.blogspot.com/2009/12/livros-de-seguranca-resposta-incidentes.html
http://sseguranca.blogspot.com/2009/03/material-de-treinamento-para-equipes-de.html
http://sseguranca.blogspot.com/2010/12/preparacao-de-equipes-na-area-de.html
[ Update 2011-10-11 ]
(*)
Através da COMSIC, o José Eduardo Brandão, do IPEA, colaborou com a lista de outras universidades ainda não citadas, a partir de um levantamente feito em dezembro de 2010:
Centro Universitário do Pará, Faculdade de Tecnologia e Ciências, Faculdade Estácio, Faculdade Paraíso do Ceará, Faculdades Integradas Rio Branco, FURB - Universidade Regional de Blumenau, IFES, IFPR, IFRS, IFSC, IME, Instituto Federal Catarinense Campus Videira, Instituto Federal de Goiás, Instituto Federal de Mato Grosso, IPEA, IPT, ITA, PUCPR, PUCRS, SENAC, SENAC/RS, UDESC, UECE, UENP, UESPI, UFABC, UFAM, UFBA, UFCG, UFF, UFMA, UFMG, UFMT, UFPI, UFPR, UFRGS, UFRN, UFRJ, UFPE, UFSC, UFSE, UFSM, UFU, UnB, UNESP, UniCEUB, Unibalsas, Unicamp, UNIFACS , UNIJORGE, UNIMEP/FATEC, Uninove, UNISINOS, Unisul, UNIVALI, Universidade Católica de Brasília, Universidade Cruzeiro do Sul, Universidade do Estado de Mato Grosso, Universidade Estadual de Maringá, USP e UTFPR.
A FONTE: http://sseguranca.blogspot.com/2011/10/seguranca-e-defesa-cibernetica-recursos.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Sseguranca+%28SSeguran%C3%A7a%29
Nenhum comentário:
Postar um comentário