terça-feira, 25 de outubro de 2011

Segurança e Defesa Cibernética: Recursos Humanos

Sandro Süffert*

O maior desafio ao tentar desenvolver capacidades de Segurança e Defesa Cibernética não é técnico, comercial ou processual, e sim humano. Isto é verdade em todos os níveis, desde pequenas empresas, passando por grandes organizações públicas e privadas, incluindo países inteiros.

A diferenciação entre "Segurança" e "Defesa" tem sido definida pela esfera - civil ou militar - das ações  de proteção, detecção ou reação executadas. Porém isto se dificulta em um cenário como a Internet, em que a dificuldade de atribuição de responsabilidade é imensa (ver final do post).

O problema é global. Ações de espionagem industrial direcionadas a informações estratégicas e infraestruturas críticas são os acontecimentos mais comuns nesta esfera. Os Estados Unidos recentemente sugeriu oficialmente uma "pressão diplomática" juntamente com seus aliados na Ásia e Europa, para que os chineses assumam responsabilidade por ações que são contínuas - e documentadas em incidentes como GhostNet, Aurora, Shady Rat, Kneber, Night Dragon - entre outros.

Além disso, o desafio político é muito grande: como coordenar iniciativas de resposta e troca de informações sobre ameaças entre forças armadas, empresas públicas e privadas (muitas envolvendo concessões de exploração de infraestruturas críticas)?

Uma coisa é certa: mais importante do que adquirir ou desenvolver qualquer tecnologia é conseguir treinar os recursos humanos necessários e priorizar a atenção nas ameaças reais de uma organização (aos interessados, leia mais sobre este tema nestes dois artigos).

Um exemplo da complexidade de se preparar adequadamente para o tema "Segurança Cibernética"
é o documento Identity & Information Assurance Related Policies and Issuances (pdf). Trata-se de um excelente gráfico que organiza e aponta para os inúmeros textos de regulamentações e guias sobre Segurança da Informação no governo federal norte-americano.

Se depois de ver este gráfico você ainda não se convencer da complexidade do assunto, gostaria de citar um trecho dito pelo guru Dan Geer - que nos lembrou disso durante sua palestra na Source Boston de '08:

"Security is perhaps the most difficult intellectual profession on the planet.  The core knowledge base has reached the point where new recruits can no longer hope to be competent generalists, serial specialization is the only broad option available to them."

Para completar as referências sobre a complexidade e a necessidade de formação de mão de obra adequada para operar CiberSegurança e/ou CiberDefesa: há cerca de um ano, uma comissão responsável por assessorar a presidência norte-americana sobre o tema publicou um interessante documento intitulado "A Human Capital Crisis in CyberSecurity" (pdf).

Uma das conclusões do relatório é a seguinte: incluindo todos os profissionais de áreas governamentais (incluindo militares) e civis nos nos Estados Unidos, existem hoje apenas 1.000 (mil) profissionais devidamente treinados e habilitados a trabalhar com "CyberSecurity" por lá. Para uma adequada preparação na área de Defesa Cibernética, o estudo indicou uma necessidade atual de 30 mil pessoas.

Enquanto isto, no Brasil...

Dentre as iniciativas feitas até o momento pelo Centro de Defesa Cibernética (CDCiber) - cujo núcleo está em organização deste Agosto deste ano -, está a previsão de criação da Escola Nacional de Defesa Cibernética (pdf).

Objetivo: "conceber Instituição de Ensino de presença nacional, que tenha como foco formar e capacitar profissionais para exercerem funções específicas na manutenção da defesa cibernética, contribuindo com a segurança cibernética das infraestruturas críticas nacionais, por meio da inclusão da sociedade nas atividades do Setor Cibernético."

Ações Estratégicas: "criar a Escola Nacional de Defesa Cibernética (EsNaDCiber), fomentar a parceria entre a Escola e as instituições de ensino públicas e privadas, fomentar a parceria entre a Escola e entidades públicas e privadas, capacitar profissionais para atuarem na segurança e na defesa cibernética das infraestruturas críticas nacionais, incentivar a participação do MEC e do MCT no aprimoramento do projeto, identificar as melhores práticas no emprego das novas tecnologias de ensino, quantificar as demandas de pessoal a qualificar, identificar competências existentes para atuar no setor, identificar cursos já existentes que atendam às demandas prementes, implementar cursos de demanda premente, visando atender às necessidades de curto prazo, sugerir ao MEC a implementação de ações educacionais de fomento na área de segurança e defesa cibernética."

Existem diversas universidades que potencialmente podem auxiliar este projeto relacionado à Segurança das Informações e Comunicações: Unb, Unicamp, USP, UFPel, UFSM, ITA, IME, UECE, UFPE  - apenas para citar algumas mais ativas no setor (* veja update abaixo para uma lista mais completa).

Além disto, diferentes órgãos de governo possuem material humano com expertise para auxiliar a iniciativa: Ministério da Defesa (Exército, Marinha, Aeronáutica), Presidência da República (Secretaria de Assuntos Estratégicos, Agência Brasileira de Inteligência, Gabinete de Segurança Institucional - DSIC/CTIR), Ministério da Justiça (Departamento de Polícia Federal, Procuradoria Geral da República), Ministério do Planejamento, Ministério da Educação (RNP), Ministério de Ciência e Tecnologia (Secretaria de Politica de Informática, Comitê Gestor da Internet no Brasil - CERT.BR).

Listando rapidamente (e não exaustivamente) apenas algumas das diferentes especialidades necessárias para formar e suportar times complexos de cibersegurança. É possível visualizar a dificuldade de contratação (e/ou coordenação) deste grupo de profissionais (aproveito para listar algumas referências profissionais e organizacionais brasileiras com experiência comprovada nas áreas listadas).

   1. Análise de Malware e Engenharia Reversa (Febraban, GAS, Ronaldo Lima, Fábio Assolini, Pedro Bueno, Ranieri Romera, Guilherme Venere, Tiago Assumpção)
   2. Análise de Risco (Módulo, Axur)
   3. Análise de Vulnerabilidades em Hardware (CEPESC, ..)
   4. Conscientização de Segurança (Anderson Ramos, Patrícia Peck)
   5. Correlação de Eventos de Segurança (Luiz Zanardo, Marcelo Souza, Janilson Correia, Daniel Cid)
   6. Criptografia (Routo Terada, ABIN, Cryptus, eSEC, José Gondim)
   7. Direito Digital (Opice Blum, Coriolano Camargo, Atheniense, Omar Kaminski, José Milagre)
   8. Resposta a Incidentes (Jacomo Picolini, Klaus Jessen, Cristine Hoepers)
   9. Forense Computacional (SEPINF, Techbiz Forense, DataSecurity, Tony Rodrigues, Marcelo Caiado, William Teles)
  10. Pentesting (Wendel Henrique, Rodrigo Rubira, Felipe Balestra, Joaquim Espinhara, Rafael Ferreira)
  11. Segurança de Sistemas Embarcados (Alberto Fabiano, Rodrigo Almeida, Sérgio Prado)
  12. Segurança de Sistemas Operacionais (Fernando Cima, Jeronimo Zucco, Marcelo Tossati)
  13. Segurança de Aplicações Web (Wagner Elias, Lucas Ferreira, Thiago Zaninotti)
  14. Segurança de Backbone (Daniel Kratz, Karlos Correia, Kleber Carriello)
  15. Segurança de Sistemas SCADA (Marcelo Branquinho, ..)
  16. Segurança de Rede (Aker, Breno Silva, Frank Ned, ..)
  17. Segurança de Redes Wireless (Nelson Murilo, Leonardo Militelli, ..)

PS: Estas lista de áreas e referências acadêmicas, governamentais e empresariais se iniciou a partir de referências pessoais e aguardo sugestões (especialmente para os tópicos com reticências ...) para atualizar a lista com nomes que os leitores podem incluir nos comentários, abaixo.

Aos interessados em se atualizar no assunto "Segurança e Defesa Cibernética), seguem 10 artigos -  recheados de informações e links - publicados recentemente aqui no blog com assuntos relevantes à Segurança e Defesa Cibernética:

    * http://sseguranca.blogspot.com/2011/02/revista-info-fev2011-quando-bits-viram.html
    * http://sseguranca.blogspot.com/2011/07/i-jornada-de-trabalho-de-defesa.html
    * http://sseguranca.blogspot.com/2011/09/diginotar-cassl-e-netnames-dns-ataques.html
    * http://sseguranca.blogspot.com/2010/07/0day-lnk-infocon-amarelo-senha-default.html
    * http://sseguranca.blogspot.com/2011/05/empreiteira-militar-americana-atacada.html
    * http://sseguranca.blogspot.com/2011/04/aprendendo-com-o-ovo-do-cuco-cuckos-egg.html
    * http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
    * http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
    * http://sseguranca.blogspot.com/2009/01/governo-obama-lista-cybersecurity-como.html
    * http://sseguranca.blogspot.com/2011/08/timeline-da-cobertura-de-ataques.html

Como contribuição, segue algum material sobre treinamento na área já publicado por aqui:

    * http://sseguranca.blogspot.com/2009/12/livros-de-seguranca-resposta-incidentes.html
    * http://sseguranca.blogspot.com/2009/03/material-de-treinamento-para-equipes-de.html
    * http://sseguranca.blogspot.com/2010/12/preparacao-de-equipes-na-area-de.html



(*)

Através da COMSIC, o José Eduardo Brandão, do IPEA, colaborou com a lista de outras universidades ainda não citadas, a partir de um levantamente feito em dezembro de 2010:


Centro Universitário do Pará, Faculdade de Tecnologia e Ciências, Faculdade Estácio, Faculdade Paraíso do Ceará, Faculdades Integradas Rio Branco, FURB - Universidade Regional de Blumenau, IFES, IFPR, IFRS, IFSC, IME, Instituto Federal Catarinense Campus Videira, Instituto Federal de Goiás, Instituto Federal de Mato Grosso, IPEA, IPT, ITA, PUCPR, PUCRS, SENAC, SENAC/RS, UDESC, UECE, UENP, UESPI, UFABC, UFAM, UFBA, UFCG, UFF, UFMA, UFMG, UFMT, UFPI, UFPR, UFRGS, UFRN, UFRJ, UFPE, UFSC, UFSE, UFSM, UFU, UnB, UNESP, UniCEUB, Unibalsas, Unicamp, UNIFACS , UNIJORGE, UNIMEP/FATEC, Uninove, UNISINOS, Unisul, UNIVALI, Universidade Católica de Brasília, Universidade Cruzeiro do Sul, Universidade do Estado de Mato Grosso, Universidade Estadual de Maringá, USP e UTFPR.


Como referência, os Estados Unidos possuem uma iniciativa que lista "Centros de Excelência" acadêmica em "Information Assurance" publicada em http://www.nsa.gov/ia/academic_outreach/nat_cae/institutions.shtml


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.