Governo Brasileiro

O governo Brasileiro tem instituições governamentais e centros que tratam da questão da segurança de TI e da segurança cibernética, são eles:

O Departamento de Segurança da Informação e Comunicações – DSIC do Gabinete de Segurança Institucional da Presidência da República – GSI/PR

(http://dsic.planalto.gov.br ) tem como missão as seguintes ações no âmbito da

segurança cibernética e de segurança da informação e comunicações:

 Adotar as medidas necessárias e coordenar a implantação e o funcionamento do Sistema de Segurança e Credenciamento - SISEC, de pessoas e empresas, no trato de assuntos, documentos e tecnologia sigilosos;

 Planejar e coordenar a execução das atividades, e definir requisitos metodológicos na administração pública federal - APF;

 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da APF;

 Estudar legislações correlatas e implementar as propostas, e avaliar tratados, acordos ou atos internacionais sobre matérias afins;

 Coordenar a implementação de laboratório de pesquisa aplicada de desenvolvimento e de inovação metodológica, bem como de produtos, serviços e processos.

O Centro de Tratamento de Incidentes de Segurança de Redes de Computadores - CTIR da APF está subordinado ao DSIC do GS/IPR, sua finalidade é o atendimento aos incidentes em redes de computadores da APF (http://www.ctir.gov.br ).

O Instituto Nacional de Tecnologia da Informação - ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República, tem como missão: Atuar

na inovação, regulação e provimento de soluções tecnológicas que garantam segurança, autenticidade, integridade, privacidade e validade jurídica de documentos e transações eletrônicas, respeitando o cidadão, a sociedade e o meio ambiente (http://www.iti.gov.br )

A Rede Nacional de Ensino e Pesquisa (RNP) é a primeira rede de acesso à Internet no Brasil, integra mais de 800 instituições de ensino e pesquisa no país, beneficiando a mais de 3,5 milhões de usuários. Em 2005, o então Ministério da Ciência e Tecnologia (MCT) lançou a Nova RNP. O objetivo é melhorar a infraestrutura de redes em níveis nacional, metropolitano e local (redes de campus); atender, com aplicações e serviços inovadores, as demandas de comunidades específicas (telemedicina, biodiversidade, astronomia etc.); e promover a capacitação de recursos humanos em tecnologias da informação e comunicação (http://www.rnp.br ).

A RNP engloba o CAIS – Centro de Atendimento a Incidentes de Segurança que atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar práticas de segurança em redes.

O Comitê Gestor da Internet no Brasil (CGI.br) foi criado pela Portaria Interministerial nº 147, de 31 de maio de 1995 e alterada pelo Decreto Presidencial nº 4.829, de 3 de setembro de 2003, para coordenar e integrar todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados (http://www.cg.org.br ).

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) é mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, e atende a qualquer rede brasileira conectada à Internet (http://www.cert.br ). O CERT.br desenvolve projetos de análise de tendências de ataques, com o objetivo de melhor entender suas características no espaço Internet Brasileiro:

 Honeypots Distribuídos: para aumentar a capacidade de detecção de incidentes e correlação de eventos;

 SpamPots: obter informações sobre o abuso da infra-estrutura de redes conectadas à Internet para envio de spam.

O Núcleo de Informação e Coordenação do Ponto BR (NIC.br) é uma entidade civil, sem fins lucrativos, que desde dezembro de 2005 implementa as decisões e projetos do Comitê Gestor da Internet no Brasil.

A Divisão de Segurança de Sistemas de Informação (DSSI) é a unidade do Centro de Tecnologia da Informação Renato Archer (CTI) responsável por desenvolver pesquisas e criar soluções na área de Segurança da Informação (http://www.cti.gov.br). A DSSI possui duas Linhas de pesquisa:

1. Metodologias de Defesa Contra Códigos Maliciosos - Código malicioso é a maior ameaça atual à Segurança de Sistemas de Informação. Pesquisas e desenvolvimentos na área de coleta, análise e identificação de Malware é fundamental para a criação de contramedidas e prevenção;

2. Sistemas de Gestão e Métricas de Segurança da Informação - O objetivo dessa linha de pesquisa é estudar métodos, técnicas e desenvolver sistemas para especificar, implantar, operar e manter a segurança das Informações. Além da pesquisa, a DSSI tem mais duas áreas de interesse, que são:

Computação Forense - Pesquisa de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital, buscando a validade probatória em juízo; Visualização de Dados de Segurança - A área de visualização de dados aplicada à segurança ainda é muito recente, tendo, portanto, uma ampla gama de ferramentas e aplicações a se explorar, principalmente para análise de tráfego de rede suspeito ou malicioso, identificação de padrões de ataque baseados em dados temporais e análise de classificação de malware.

3.6 ANÁLISE E DISCUSSÃO

A procura crescente de produtos seguros com relação à vulnerabilidade exige uma melhoria de métodos para desenvolver e avaliar a segurança de software. Na prática, a construção de grandes e complexos sistemas de software desprovidos de erros, e vulnerabilidades de segurança, continua a ser uma tarefa difícil. Em primeiro lugar, especificações com os pressupostos explícitos, podem mudar ao longo do projeto, então algo que não era um erro pode se tornar um erro mais tarde. Segundo, especificações formais são raramente escritas na prática. Terceiro, ferramentas de verificação formal usado na prática

para encontrar e corrigir erros, incluindo vulnerabilidades específicas, como estouros de buffer, geralmente são ditas sólidas e robustas no comércio. Em quarto lugar, não se pode prever as vulnerabilidades do futuro, ou seja, os erros presentes em software não se sabem como serão atacados no futuro. As características de qualidade são utilizadas para derivar subcaracterísticas, atributos e medidas de qualidade, especificamente as características para medidas internas refletem nos atributos estáticos e, consequentemente, no design do software.

A vulnerabilidade de códigos (DUARTE, 2008), (BARBATO, 2009) com relação à ataques ou ações involuntárias que possam modificar dados restritos, pode ser utilizada como indicadores de medidas a serem coletadas e analisadas. Um resumo de publicações entre 1996 e 2000 foram encontradas e consideradas como pode ser visto na Tabela 3.5.

Tabela 3.5 _{– Publicações de 1996 a 2000}

Ano 1996 1997 1998 1999 2000

N. de publicações 1 1 1 2 0

A Tabela 3.6 mostra o número de publicações em requisitos e medições segurança de TI entre 2001 e 2013. À partir de 2006 as publicações sobre medições e requisitos de segurança se tornaram mais frequentes sendo que um dos que mais publicaram a partir de 2006 foi Reijo M. Savola (SAVOLA, 2007), pesquisador do Centro de Pesquisa Técnico VPP do Governo da Finlândia, com aproximadamente 20 publicações até 2013.

Tabela 3.6 – Publicações entre 2001 e 2013

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

5 15 17 10 8 9 3 5 5 4 1 4 3

A Tabela 3.7 indica as normas que têm relacionamento com segurança da informação, de software, de TI.

Com essa visão, fica mais fácil entender as diferenças (ou semelhanças) e nuances entre essas normas. A série ISO/IEC 27000 pode ser utilizada para a gestão e certificação de sistemas de gestão da segurança, a série ISO/IEC 15408 pode ser utilizada para a avaliação e certificação de segurança de TI e software, a série ISO/IEC 25000 pode ser utilizada para a elaboração de um modelo de qualidade de segurança de software.

Tabela 3.7- Resumo das principais normas relacionadas à segurança

NBR ISO/IEC 17799 (27002)

ISO/IEC 27001 ISO/IEC 15408-1 ISO/IEC 25010

Propriedades de

Segurança Gestão da Segurança

Alvo de avaliação

(TOE) Qualidade e _Segurança Confidencialidade Controles de

segurança Perfil proteção (PP) Confidencialidade Integridade Nível de avaliação

(EAL) Integridade Disponibilidade Objetivo da (ST) Não-repudio

Autenticidade Responsabilidade

Autenticidade

Conformidade da segurança

Modelo de segurança utilizado no contexto abordado neste trabalho se refere ao modelo de referência de atributos de segurança. Esse modelo serve como ponto de partida para ser desdobrado em componentes mensuráveis da segurança do software. Os requisitos a serem desdobrados do modelo de segurança foram estudados em várias fontes (ISO/IEC 25000, 2005), (ISO/IEC FDIS 27000, 2009), (SAVOLA; ABIE, 2009b), (ISO/IEC 15408-1, 2009), entre outros e foi possível extrair as melhores práticas de segurança de uma aplicação web sem levar em conta o ambiente no qual está inserida essa aplicação. São requisitos fundamentais de segurança para que um aplicativo de software na web contenha o mínimo de práticas utilizadas pela comunidade de prática.