SIC-UTAD

Os SIC-UTAD utilizam alguns SI para o suporte das suas atividades diárias, sendo eles:

Network operation center, IT service management, Infrastructure communication service e Information security management system. Para além destes sistemas utilizados nos níveis

Operacional e Técnico, nos níveis superiores de gestão (Tático e Estratégico) são utilizadas Folhas de cálculo.

Network operation center

Os SIC-UTAD na tentativa de divulgarem informações relativas às suas competências para chegarem a um maior número de pessoas da comunidade académica, decidiram produzir um portal web, o Network operations center. Em termos de caraterísticas, utilidade e benefícios, este sistema assemelha-se ao Sistema de disseminação de informação dos SDB-UTAD (excetuando-se evidentemente as funcionalidades relativas às competências desses serviços).

Relativamente às competências dos SIC-UTAD, este sistema dispõe de funcionalidades como: disponibilização de avisos de segurança, com o intuito de aumentar a consciencialização da comunidade para esta matéria; verificar a velocidade de conexão ao centro de dados da UTAD (download e upload); visualizar e atualizar o catálogo de serviços prestados; redireccionamento para a plataforma de help desk; efetuar uma visita guiada (em 360º) virtual ao centro de dados da UTAD; e visualização de alguns indicadores de interesse para a comunidade como o estado dos serviços, o nº de utilizadores conectados à rede EDUROAM, o

130

nº de páginas impressas no mês corrente (com o impacto no nº de árvores abatidas e CO2

produzido em kg) e o nº de servidores funcionais e não funcionais). A descrição deste sistema não é tão aprofundada em relação a outros apresentados neste documento, uma vez que ainda se encontra numa fase embrionária.

Este sistema é utilizado nos SIC-UTAD em dois dos níveis da arquitetura proposta, nomeadamente nos níveis Operacional e Técnico, sendo que no primeiro é aplicado para a realização de tarefas de registo e monitorização, enquanto que no segundo é utilizado para a criação de reports e validação dos registos criados no nível inferior.

IT service management

No atendimento aos utilizadores, quanto mais célere for a capacidade de responder aos seus problemas, dúvidas ou dificuldades solicitadas, maior será a satisfação obtida com o serviço prestado. Nesse sentido, os SIC-UTAD adotaram um sistema de help desk para gerir e organizar de melhor forma o atendimento dos utilizadores que solicitam os seus serviços. O sistema adotado é um SI que, de um modo geral, permite a estes serviços obter ganhos de eficiência na receção, processamento e resposta às solicitações dos utilizadores integrantes da comunidade académica através de tickets, através da centralização da gestão de todo o processo. A utilização deste tipo de sistema permite a estes serviços obter diversos benefícios como o aumento dos canais de comunicação, a melhoria na comunicação com os utilizadores, a padronização de respostas e a diminuição de perdas de informação uma vez que as solicitações são arquivadas e centralizadas num só lugar. Para além destes benefícios, estes serviços conseguem ainda: oferecer transparência e excelência na resposta às solicitações; supervisionar as tarefas delegadas e o cumprimento dos prazos associados; diminuir o custo de atendimento através de outras vias (e.g. telefone); controlar o tempo médio gasto para a resolução dos serviços disponíveis em catálogo (de modo a cumprir as exigências institucionais relacionadas com a qualidade); diminuir o número de deslocações dos técnicos; e permitir conhecer o comportamento dos utilizadores através do seu histórico de tickets.

Quanto às funcionalidades que este sistema apresenta, algumas das principais são as seguintes: criação de tickets e atribuição a um técnico especialista; criação de respostas automáticas; notificação via e-mail de novos tickets; definição de workflows; visualização do historial de evolução dos pedidos e da informação relativa às ações realizadas; criação e

131

personalização de templates; criação de lembretes; divisão e fusão de tickets; atribuição de gestão coletiva de tickets; definir estados e prioridades; anexar ficheiros em diversos formatos de texto e imagem; definir permissões e acessos; registo de notas internas; customização de alarmística; avaliação do atendimento; criação de relatórios; exportação de ficheiros (e.g. histórico de tickets dos últimos seis meses); validação de tickets; criação de alguns indicadores de desempenho e de solicitações; e suporte para SSO.

Este sistema é utilizado nos SIC-UTAD em dois dos níveis da arquitetura proposta, nomeadamente nos níveis Operacional e Técnico, sendo que no primeiro é aplicado para a realização de tarefas de registo e monitorização, enquanto que no segundo é utilizado para a criação de reports e validação dos registos criados no nível inferior.

Infrastructure communication service

Os SIC-UTAD uma vez que são responsáveis pela gestão da infraestrutura de rede da universidade, necessitam de ter um meio que lhes permita monitorizar todos os elementos que fazem parte da rede informática, de modo a conseguirem dar uma resposta mais célere, competente e eficaz no caso de surgirem problemas nos equipamentos. Para poderem monitorizar a infraestrutura, estes serviços adotaram uma plataforma capaz de localizar um problema num host (através de plugins externos vigiados por um daemon) e notificar os responsáveis pela gestão do equipamento em causa via email, SMS ou outras alternativas previamente definidas.

O sistema adotado oferece diversos benefícios para estes serviços, como são exemplos: monitorização intrusiva e não intrusiva; monitorização de hosts (e.g. servidores, APs, routers) e serviços (e.g. Hypertext Transfer Protocol [HTTP], Simple Mail Transfer Protocol [SMTP], Telnet, Secure Shell [SSH]) ativos da rede; escalabilidade, uma vez que os processos de monitorização são feitos de forma paralela; utilizar o sistema de um modo distribuído, agregando posteriormente todo o resultado de processamento numa única interface. Este sistema é utilizado nos SIC-UTAD em dois dos níveis da arquitetura proposta, nomeadamente nos níveis Operacional e Técnico, sendo que no primeiro é aplicado para a realização de tarefas de registo e monitorização, enquanto que no segundo é utilizado para a criação de reports e validação dos registos criados no nível inferior.

132

No que concerne às funcionalidades, este sistema permite: adicionar equipamentos e serviços para monitorizar; definir uma hierarquia de hosts; notificar através dos canais definidos a ocorrência de falhas em tempo real e quando o problema é resolvido; monitorizar recursos de servidores (e.g. espaço em disco, carga de processamento, utilização de memória); desenvolver

plugins para a resolução de problemas (e.g. corrigir falhas detetadas, resolver problemas de

compatibilidade para monitorizar um equipamento); atribuir diferentes estados aos equipamentos e serviços (e.g. desconhecido, OK, crítico); definir respostas automáticas a falhas (e.g. reiniciar um servidor que parou de responder à monitorização); e efetuar monitorização remota de forma segura utilizando SSH e Secure Sockets Layer (SSL).

Information security management system

A crescente utilização de SI/TI e infraestruturas de rede nas IES tem feito com que estas instituições estejam mais dependentes dos meios tecnológicos para a realização das suas atividades, o que faz com que nestes recursos circulem informação sensível desde dados pessoais, dados estratégicos confidenciais, dados relacionados com a execução dos serviços prestados nas áreas funcionais, entre outros. Atendendo a este panorama, os recursos tecnológicos passam a ser alvos apetecíveis para atacantes informáticos, que tentam tirar partido das vulnerabilidades que encontram para aceder aos dados e informação.

No sentido de mitigar as vulnerabilidades dos seus SI, os SIC-UTAD conceberam um sistema de defesa, tomando uma atitude preventiva e proativa para bloquear ataques em tempo real, tendo em conta que é alta a possibilidade de ocorrerem intrusões nestas infraestruturas de rede, num contexto em que muitas vezes os seus utilizadores fazem uso de dispositivos pessoais (e.g. smartphones, computadores, tablets) para fazerem os seus acessos, mas, muitas vezes, estes dispositivos encontram-se comprometidos ou com antivírus e patches de segurança desatualizados, conferindo ao utilizador uma falsa sensação de segurança e comportando altos riscos para o bom funcionamento dos SI e da própria infraestrutura de rede.

O sistema de defesa concebido, permite reunir numa única plataforma todos os eventos de segurança da instituição e enquadra-se na categoria dos SIEM, o que significa que é um sistema onde, pró-ativamente, se torna possível a análise e correlação automática de eventos de rede, eventos de firewall e registos dos sistemas sob proteção, desencadeando respostas

133

automáticas a possíveis incidentes de segurança, 24h por dia/7 dias por semana, aumentado a celeridade da deteção de intrusões e reduzindo possivelmente o impacto da atividade maliciosa.

As principais funcionalidades deste sistema são as seguintes: identificar comportamentos de atacantes; agregar e correlacionar eventos; identificar a rota e padrão comportamental de um ataque; criar mecanismos automáticos de resposta a incidentes; disponibilização de assinaturas de vírus presentes em bases de dados de entidades mundiais; boquear tráfego (e.g. range de IPs, porto atacado); notificar ocorrência de tentativas de ataque (tanto na plataforma como via e-mail); criação de thresholds para alarmística; identificar hosts afetados por ataques; identificar a proveniência dos ataques (e.g. IP, geolocalização, Media

Access Control [MAC]); a exportar documentos em formato de texto (e.g. comportamento de

um host atacado).

Este sistema é utilizado nos SIC-UTAD em dois dos níveis da arquitetura proposta, nomeadamente nos níveis Operacional e Técnico, sendo que no primeiro é aplicado para a realização de tarefas de registo e monitorização (na Figura 17 é apresentado o processo de processo de registo de evidência de segurança informática), enquanto que no segundo é utilizado para a criação de reports e validação dos registos criados no nível inferior (na Figura

18 é apresentado o processo de priorização, validação e reporting de evidência de segurança

informática).

134

Figura 18 - Processo de priorização, validação e reporting de evidência de segurança informática sob a perspetiva do Gestor Técnico

Folhas de cálculo

As Folhas de cálculo são utilizadas nos SIC-UTAD em dois dos níveis da arquitetura proposta, nomeadamente no nível Tático e no nível Estratégico, sendo que no primeiro são aplicadas para aferição de metas (na Figura 19 é apresentado o processo de criação de indicadores/dashboards para aferição de metas), enquanto que no segundo são aplicadas para realizar tarefas de análise estatística e estabelecimento de metas (na Figura 20 é apresentado o processo de estabelecimento de metas). Em ambos os níveis, os dados utilizados são resultantes do funcionamento dos SI dos níveis inferiores (Técnico e Operacional).

135

Figura 19 - Processo de criação de indicadores/dashboards sob a perspetiva do Gestor de Área Funcional

Figura 20 - Processo de estabelecimento de metas sob a perspetiva do Gestor de Topo

Os dados que são produzidos pelo sistema Network operation center alimentam as Folhas de cálculo com o intuito de produzir indicadores relativos a: nº de acessos à plataforma; quais as principais proveniências de acesso (interno/externo) e suas localizações; quais as páginas mais e menos visitadas; qual a sequência de páginas visitadas por utilizador; quais as alturas do dia/mês/ano com maior número de acessos; nº de testes de velocidade realizados; e nº de visitas guiadas (360º) virtuais realizadas.

Com os dados provenientes do sistema IT service management, pretende-se obter conhecimento relativo a: a evolução temporal do número de pedidos de suporte ao longo do tempo; quais os funcionários que respondem a mais pedidos de suporte; o estado em que se

136

encontram os pedidos; aferir a eficiência dos técnicos; quais os utilizadores que mais solicitam apoio técnico; as alturas do ano com mais pedidos de suporte de modo a dimensionar o serviço dos técnicos; quais os pedidos de suporte que não se encontram em catálogo e cuja solicitação é recorrente; e o tipo de pedidos de suporte mais solicitados.

Por fim, com os dados do sistema Information security management system, pretende- se recolher conhecimento relativo a: nº de ataques; nº de hosts comprometidos; quais os protocolos e portos mais visados; quais as regiões de maior proveniência de ataques; quais os SO mais utilizados para efetuarem ataques; evolução temporal das tentativas de ataque (e ataque consumado); equipamentos/serviços mais atacados; e principais clientes IP de origem de ataques ou tentativas.